Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN - Zuordnung durch IP Adressen

Frage Netzwerke

Mitglied: tactic

tactic (Level 1) - Jetzt verbinden

11.04.2007, aktualisiert 21.05.2007, 5583 Aufrufe, 9 Kommentare

Cisco Catalys 3750g

Hallo!

Ich konfiguriere gerade eine Umgebung zur Verteilung von Images.
Die Verteilung soll in einem VLAN erfolgen. Der Client bootet mit einem USB-Stick auf dem die IP gespeichert ist und meldet sich damit bei
der Image-Software an. Nach der Verteilung startet die Installationsroutine des Client und er sollte sich im produktiven Netz befinden.
Funktioniert die Zuordnung zu den VLANs über IP Adressen. Dies müsste doch mit einem Layer-3 Switch realisierbar sein, oder?

Für Anregung oder Lösungen wäre ich sehr dankbar!

Grüße
tactic
Mitglied: aqui
11.04.2007 um 11:58 Uhr
Du meinst sicher die automatische sprich dynamische Zuordnung von VLANs, oder ???

Nein, das geht nicht, denn Port basierend sieht ein Switch (auch ein L3 Switch) erstmal nicht auf die IP Adresse. Eine Forwarding Entscheidung wird beim Switch auch (erstmal) nicht auf Basis von L3 gefällt. Zudem gibt es derzeit kein standartisiertes Verfahren das das umsetzen kann.

Wohl aber kannst du die dynamische Zuordnung des VLANs per MAC Adresse machen und später final, wenn der Client installiert ist, mit 802.1x.
Gute Switches (wie z.B. dein o.a. Catalyst) lassen parallel beide Authentifizierungen (MAC und .1x) zu, sodas du so ein dynamisches Szenario problemlos abbilden kannst. Z.B.:
Client bootet von Stick, MAC Adresse ist (noch) nicht bekannt und der Switch setzt den Port in das Install VLAN. Hier bekommt der Client nun sein Image mit aktiviertem .1x Client, rebootet und wird dann dynamisch in sein Produktiv VLAN gesetzt...
Bitte warten ..
Mitglied: tactic
11.04.2007 um 13:11 Uhr
Danke für die Antwort.
Bin grad ein bisschen am grübeln...
Wie muss ich vorgehen damit der Switch den Port ins Install VLAN setzt?
Muss der 802.1x im Image aktiviert sein? Die sollte ich nämlich nicht anfassen.
g
Bitte warten ..
Mitglied: aqui
11.04.2007 um 13:39 Uhr
Das was oben als Install VLAN bezeichnet ist, kann jedes x-beliebige VLAN sein. Man kann ein sog. Quarantaene VLAN definieren, in das alle nicht authentifizierte Rechner kommen als Alternative dazu das man den Port blockt. Das macht Sinn wenn du neue Rechner mit dem Stick konfigurierst, dessen MAC Adresse noch nicht bekannt oder neu ist im Radius Server.
Bitte warten ..
Mitglied: tactic
11.04.2007 um 14:20 Uhr
Vielen Dank aqui.
Habe gerade nen neuen Gedanken:
Gibt es ein Tool das die MAC (schon in DOS) ändert?
Die Zuordnung zum VLAN erfolgt dann über die MAC.
Alternativ ginge es auch über eine USB-NIC.
Was meins du?
Bitte warten ..
Mitglied: aqui
12.04.2007 um 15:39 Uhr
Ja, meist gibt es auch DOS Tools von den Kartenherstellern die das können. Ist aber immer eine dedizierte SW und kann nicht mit DOS oder WIN Bordmitteln geschehen.
Das ist aber in jedem Falle HW bezogen und nicht jeder Hersteller supportet das. Auch eine USB NIC hat eine MAC Adresse !!!
Muss sie auch sonst ist eine Kommunikation in einem Ethernet LAN technisch nicht möglich !
Bitte warten ..
Mitglied: tactic
15.05.2007 um 14:13 Uhr
Hallo,

mir ist ein anderes Projekt dazwischengekommen, welches ich nun abgeschlossen habe.
Daher zurück zum VLAN:
Das mit der Zuordnung zum Install VLAN ist klar.
Aber wie realisiere ich die dynamische Zuordnung ins Produktiv VLAN.
Die Images sollten so bleiben wie sie sind.
Bitte warten ..
Mitglied: aqui
16.05.2007 um 22:04 Uhr
Das können sie auch ! Da du über die MAC Adresse ja eine Zuordnung ins Install VLAN machst kann die Zuordnung dann vom laufenden Image nur über eine 802.1x Authentifizierung sei es mit Username Passwort oder Zertifikat geschehen. Oder du musst als Alternative die MAC ändern was aber einen erheblichen Aufwand bedeutet. Ausserdem muss es technisch auf deinen Adaptern möglich sein, was nicht bei allen NICs gegeben ist !
Fasst alle guten Switches können eine Kombination von MAC Authentifizierung und 802.1x Authentifizierung als Kombination an einem Port.
Da klappt dann auch das nachträgliche dynamische Umsetzen ins Produktiv VLAN per .1x wenn das Image auf dem Rechner ist.
Bitte warten ..
Mitglied: tactic
21.05.2007 um 08:50 Uhr
Vielen Dank für deine Antwort!
Die 802.1x Authentifizierung gestaltet sich schwierig. Nach dem der Rechner mit dem neuen Image bootet, wird ein unbeaufsichtigter Installationsvorgang durchlaufen. In dieser Prozedur wird auch die Domänenzugehörigkeit aktiviert, d.h. der Client ist im produktiven Netz. Das 802.1x kann ich doch aber erst im laufenden Betriebssystem aktivieren, oder?
Bitte warten ..
Mitglied: aqui
21.05.2007 um 13:48 Uhr
Das kommt darauf an... Du kannst einen laufenden .1x Client ja gleich mit dem Image installieren. Allerdings verbietet sich dann bei einem folgenden automatischen Installationsvorgang die Benutzung von Username und Passwort Verfahren. Wer sollte die denn auch eingeben wenn der User nicht dabei ist.
Die einzige Lösung ist dann das du mit Zertifikaten arbeitest im .1x Client !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
SAN, NAS, DAS
gelöst QNAP TS-453U - drei IP-Adressen für iSCSI , SMB , Management (2)

Frage von caspi-pirna zum Thema SAN, NAS, DAS ...

SAN, NAS, DAS
QNAP Installationsproblem wenn der Client mehre statische IP-Adressen hat (6)

Erfahrungsbericht von StefanKittel zum Thema SAN, NAS, DAS ...

Sicherheit
Mirai-Botnetz: Dyn bestätigt Angriff von zig-Millionen IP-Adressen

Link von runasservice zum Thema Sicherheit ...

Ubuntu
gelöst Amavis Whitelist IP-Adressen

Frage von runasservice zum Thema Ubuntu ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...