Eleu Geschrieben 28. Januar 2010 Geschrieben 28. Januar 2010 Hallo, ich hätte ein paar Fragen zum Thema: Konfigurationsmöglichkeiten eines VLAN Bei einem portbasiertem VLAN wird im Switch zum Beispiel PORT 1 bis PORT 6 dem VLAN 10 zugeordnet. Ich nehme an, der Administrator tut dies an allen Switchen einer Netzwerkinfrastruktur über ein Management - Tool. Ist es so, dass bei einem dynamischen VLAN der Administrator die MAC-Adresse des teilnehmenden Host dem jeweiligen VLAN im Switch zuordnet ? Programmiert er das dann, in eine extra Tabelle im Switch ? Kommt ein Frame mit der entsprechenden Source - MAC Adresse am Switch an, wird es entsprechend dem VLAN getaggt und ist entsprechend zugeordnet. Muss der Admin das an allen Switchen pflegen, oder woher bekommen die Switche einer Netzwerkinfrastruktur diese Information. Wird das vielleicht automatisch verteilt ? Von der Funktion her, verstehe ich es dann so, dass der Teilnehmer sich mit seinem Laptop an einem beliebigen Switchport der Netzwerkinfrastruktur verbinden kann und so dieser Port automatisch dem entsprechenden VLAN zugeordnet wird. Der Nachteil ist, dass der Admin die MAC - Adressen aller NIC`s kennen muss. Gruß Eleu Zitieren
lordy Geschrieben 28. Januar 2010 Geschrieben 28. Januar 2010 Damit man den Wahnsinn nicht au fallen Switches pflegen muss gibt es dafür eine zentrale Komponente: VLAN Management Policy Server - Wikipedia, the free encyclopedia Zitieren
Eleu Geschrieben 28. Januar 2010 Autor Geschrieben 28. Januar 2010 Danke für die schnelle Info. Gibt es das nur von cisco ? Was ist eigentlich die gängige Praxis ? Portbasiert oder dynamisch ? Gruß Eleu Zitieren
lordy Geschrieben 28. Januar 2010 Geschrieben 28. Januar 2010 Der kann das auch: FreeRADIUS -- VMPS Aus meiner Erfahrung ist port-basiert noch der Standard. Das hängt mit vielen Faktoren zusammen: - nicht alle Switches sprechen 802.1x - Admins haben nichts von VMPS gehört - Admins sind zu faul mal alle MACs zu inventarisieren - usw. Zitieren
Gnork Geschrieben 28. Januar 2010 Geschrieben 28. Januar 2010 (bearbeitet) Der Nachteil ist, dass der Admin die MAC - Adressen aller NIC`s kennen muss. Wieso ist das ein Nachteil? Wenn ich eine Gästeliste für meinen Geburtstag machen, muss ich doch auch die Namen meiner Gäste kennen, ist doch klar! Ansonsten dürfte hier mit VMPS schon das richtige Stichwort genannt worden sein. Gibt natürlich auch noch andere Authentifizierungsansätz wie z.B. RADIUS oder TACACS+ aber das ist dann wieder eine andere Richtung. edit: Muss der Admin das an allen Switchen pflegen, oder woher bekommen die Switche einer Netzwerkinfrastruktur diese Information. Wird das vielleicht automatisch verteilt ? Also bei CISCO z.B. gibt es VTP zum "automatischen verteilen". http://upload.wikimedia.org/wikipedia/commons/e/e7/VLAN_Trunking_Protocol_.gif Bearbeitet 1. Februar 2010 von hades Bild in Url geaendert: Denkt daran, dass es auch User mit Modem/ISDN bzw. DSL light gibt... Zitieren
Eleu Geschrieben 28. Januar 2010 Autor Geschrieben 28. Januar 2010 Ich müsste hier aber vielleicht mal einen Kritikpunkt, bzgl. dynamisches VLAN loswerden. Viele User machen von ihren Rechnern zur Datensicherung ein Image. Ist der Rechner defekt, wird das Image auf ein Ersatzsystem gezogen. Jedoch kommt der User mit dem neuen Rechner dann nicht in sein dyn. VLAN zurück, da die MAC Adresse der neuen NIC unbekannt ist. Der User sucht verzweifelt in den Eingeweiden des Betriebssystems nach dem Fehler, weil er nicht darauf kommt, dass es an der neuen NIC liegen könnte. Bei einem Port - basierten VLAN wäre das kein Thema. Er meldet sich wie gewohnt an und ist mit dem neuen Rechner wieder in der Domäne. Jetzt habe ich mich mal umgesehen und vielleicht etwas gefunden was diesen Umstand verbessert (FreeNAC). Und zwar funktioniert das wohl so, dass eine neue NIC automatisch in eine Art "Gäste - VLAN" geleitet wird. FreeNAC| Die FreeNAC Lösung Der User würde in so einem Szenario merken, dass er nur eingeschränkte Zugangsrechte hat und würde dann den Admin anrufen. Bietet VMPS oder das von Gnork vorgestellte VTP auch so etwas wie ein "Gäste VLAN" für neue MAC`s ? Ich Frage deshalb, weil VMPS oder VTP ein von cisco entwickeltes Protokoll ist und wohl deshalb am besten auf cisco Switchen funktionieren wird ? Oder wäre dieses FreeNAC kein Problem (Stichwort: Herstellerhomogenität) ? Gruß Eleu Zitieren
lordy Geschrieben 28. Januar 2010 Geschrieben 28. Januar 2010 Also ich kann dir nur sagen, das man mit VMPS natürlich ein "Gäste-VLAN" realisieren kann. Wir hatten sowas. Unregistrierte MAC-Adressen konnten dann zwar surfen, aber sonst nix. Da ist den Leuten schon klar geworden, das da was nicht stimmt. Aber in den Firmen, die ich so kenne übernimmt der Admin das Image-Erstellen und Zurückspielen auf neue Hardware, so dass er auch weiß, worauf zu achten ist. Zitieren
Eleu Geschrieben 28. Januar 2010 Autor Geschrieben 28. Januar 2010 Aber in den Firmen, die ich so kenne übernimmt der Admin das Image-Erstellen und Zurückspielen auf neue Hardware, so dass er auch weiß, worauf zu achten ist. Nun, das ist sicherlich auch richtig so. Es gibt aber auch viele Firmen mit Servicetechniker, die Inbetriebnahmen weltweit durchführen. Diese Leute müssen sich im Fehlerfall zu helfen wissen. Zitieren
Gnork Geschrieben 28. Januar 2010 Geschrieben 28. Januar 2010 Ich müsste hier aber vielleicht mal einen Kritikpunkt, bzgl. dynamisches VLAN loswerden. Viele User machen von ihren Rechnern zur Datensicherung ein Image. Ist der Rechner defekt, wird das Image auf ein Ersatzsystem gezogen. Jedoch kommt der User mit dem neuen Rechner dann nicht in sein dyn. VLAN zurück, da die MAC Adresse der neuen NIC unbekannt ist. Hier noch ein Kritikpunkt: Wenn ich meine MAC Adresse zu einer in diesem Netz gültigen Adresse ändere, bekomme ich Zugriff zum System, obwohl ich dazu nicht berechtigt bin! :eek Naja, so ist das halt... Bietet VMPS oder das von Gnork vorgestellte VTP auch so etwas wie ein "Gäste VLAN" für neue MAC`s ? Das kommt doch immer darauf an, wie man das ganze konfiguriert... :hells: The second line of the sample below specifies security mode, which can be either open or secure. In secure mode, an unknown MAC address causes the port to be shut down. In open mode, unknown MAC addresses are assigned to fallback (default) "unsecure" VLAN, specified with the vmps fallback line. The default mode is open. You can also specify whether requests with no VTP/VMPS domain are allowed or denied. By the way, when unknown MAC addresses or denied situations occur, the switch can send a SNMP trap to your SNMP trap receiver (management station). This might be useful for tracking use of unauthorized PC's in a campus environment (provided that's something you care to manage). Zitieren
axxis Geschrieben 29. Januar 2010 Geschrieben 29. Januar 2010 Hier noch ein Kritikpunkt: Wenn ich meine MAC Adresse zu einer in diesem Netz gültigen Adresse ändere, bekomme ich Zugriff zum System, obwohl ich dazu nicht berechtigt bin! Und wenn ich nen internen PC aus der Dose reiße und mich selbst dranstöpsel ists ebenso. Irgendeinen Tod muss man sterben. Ich bin schon länger am überlegen, wie man die Sache zu 99% abschotten kann. Ein Mix aus beidem könnte man wohl auch überlisten. Ciao ciao Hauke Zitieren
dgr243 Geschrieben 29. Januar 2010 Geschrieben 29. Januar 2010 Zum Abschotten 802.1x mit rechnergebundenem Zertifikat. Erfordert natürlich ein deutliches mehr an Adminaufwand (unter anderem weil du für die Zertifikate auch erstmal eine CA brauchst ), aber so ist das mit der Sicherheit nunmal. Zitieren
Gnork Geschrieben 29. Januar 2010 Geschrieben 29. Januar 2010 Vollkommene Sicherheit hat man nur, wenn ein PC komplett vom Netz getrennt ist - wobei selbst das nicht mal vollkommen sicher ist. Im Grunde geht es doch nur darum, einen guten Kompromiss zu finden. Zitieren
Eleu Geschrieben 1. Februar 2010 Autor Geschrieben 1. Februar 2010 IP basiertes VLAN funktioniert, wie der Name schon sagt, durch die Zuordnung der IP zum VLAN anstatt durch die MAC. Würde doch, wenn ich alles richtig verstanden habe, dass von mir angesprochene Problem auch umgehen. Die Anforderungen an die Sicherheit werden doch eigentlich erfüllt, weil der User sich doch ohnehin über einen Login in der Domäne anmelden muss ? Oder wird das deshalb nicht gemacht, weil in den meisten Umgebungen die nächste freie IP über DHCP zum host geschickt wird ? Andernfalls müsste ich eine feste IP dem User und dem VLAN zuordnen. Wird es deshalb nicht verwendet, oder hat das damit gar nichts zu tun ? Gruß Eleu Zitieren
Eleu Geschrieben 2. Februar 2010 Autor Geschrieben 2. Februar 2010 Eine kurze Erklärung, wann oder weshalb man überhaupt in einem dynamischen VLAN die Adressierung über IP anstatt über MAC Adressen durchführt, würde mir auch schon reichen. Oder ist das ne blöde Frage ?:old Gruß Eleu Zitieren
Gnork Geschrieben 2. Februar 2010 Geschrieben 2. Februar 2010 ich würd sagen, dass ist ne blöde frage, bzw. ich verstehe sie einfach nicht. wenn du mit einem dynamischen vlan sowas wie vmps etc. meinst, dann würde ich sagen: das mapping funktioniert eigentlich nach dem prinzip vlan -> MAC. die adressierung in einem netz funktioniert eigentlich immer über ip addressen, das macht im grunde layer 3 aus... vllt HIER nochmal schauen Zitieren
Eleu Geschrieben 2. Februar 2010 Autor Geschrieben 2. Februar 2010 Aber bei Wikipedia steht, dass die Zugehörigkeit zu einem dyn. VLAN auf der Basis der MAC oder der IP Adresse geschehen kann. Virtual Local Area Network ? Wikipedia MAC ist Layer 2 und IP ist Layer 3. Eine IP Adresse könnte doch auch einem host fest zugeordnet werden und somit auch einem VLAN ? Dann würde doch theoretisch die Notwendigkeit einer Zuordnung über die MAC im Switch entfallen. In dem Fall würde der Switch wie gehabt die Sourc - Mac Adresse einlernen und dem Switch - Port zuordnen. Aber wenn das sowie nicht vorkommt, wieso steht das dann bei Wikipedia. Oder habe ich da was Grundsätzliches noch nicht kapiert ? Zitieren
ardcore Geschrieben 2. Februar 2010 Geschrieben 2. Februar 2010 Dynamisches VLAN :upps Sorry, aber manchmal sind die Wikipedia-Einträge einfach nur stumpfsinnig. Ein VLAN ist nicht dynamisch, einzig die Zuordnung zu dessen. Kein VLAN macht "Pufff..." und erscheint aus dem Nirgendwo und verschwindet wieder wenn die VLAN-Member ausgeschalten werden Wie du ein Gerät einem VLAN zuweist bleibt dir überlassen. L1-L7 bieten da eine Menge flexibilität. Egal ob MAC oder IP. Zitieren
Eleu Geschrieben 2. Februar 2010 Autor Geschrieben 2. Februar 2010 Wie du ein Gerät einem VLAN zuweist bleibt dir überlassen. L1-L7 bieten da eine Menge flexibilität. Egal ob MAC oder IP. Genau. Und um noch mal auf meine eigentliche Frage zurückzukommen. Was ich bis jetzt so herausgehört habe, ist es aber wohl allgemein üblich die Zuordnung MAC -> VLAN vorzunehmen. Warum ist das allgemein üblich so, dass es mehr über die MAC erfolgt und nicht so oft über die IP ? Zitieren
ardcore Geschrieben 2. Februar 2010 Geschrieben 2. Februar 2010 Warum ist das allgemein üblich so, dass es mehr über die MAC erfolgt und nicht so oft über die IP ? Historisch bedingt mit praktischer Unterlegung. Grundsätzlich sind erst einmal alle Switche Layer2 Devices. Folglich können und wollen Sie auch nur Layer2 Informationen auswerten. Deswegen die Zuweisung anhand der L2-Informationen. Isn't it simple? Zitieren
Gnork Geschrieben 2. Februar 2010 Geschrieben 2. Februar 2010 Wenn wir immer noch beim gleichen Thema sind, dann geht es doch darum, ein Gerät einem Vlan zuzuordnen. Da eine IP Adresse selten einem Gerät fest zu geordnet wird und vor allem problemlos und schnell geändert werden kann, lässt sich ein Gerät kaum anhand einer IP Adresse fest identifizieren, hier eignet sich die MAC Adresse eher, die sich nicht (ohne weiteres) ändern lässt. Zitieren
dgr243 Geschrieben 9. Februar 2010 Geschrieben 9. Februar 2010 Mit der Aussage wäre ich vorsichtig. Kenne diverse Rechner (und Server) bei denen ich die MAC des (onboard) Netzwerkadapters direkt im Bios per Eingabe vergeben kann. Ebenso kann ich bei den meisten Netzwerkkartentreibern eine MAC von Hand vergeben. Die Aussage "nicht so ohne weiteres" ist daher nicht korrekt. Zitieren
netzwerker Geschrieben 9. Februar 2010 Geschrieben 9. Februar 2010 VLAN-Zuordnung auf Basis von MAC- oder IP-Adressen macht doch in der freien Wildbahn ohnehin niemand, oder? VMPS ist eher ein Relikt aus alten Zeiten (wo sicherheit klein geschrieben wurde). Entweder portbasierend oder dot1x. Damit lassen sich dann beispielsweise Clients ohne aktuelle Updates und Virenpattern in ein spezielles VLAN schieben in dem nur die Updates möglich sind. Mirko Zitieren
Gnork Geschrieben 9. Februar 2010 Geschrieben 9. Februar 2010 Mit der Aussage wäre ich vorsichtig. Kenne diverse Rechner (und Server) bei denen ich die MAC des (onboard) Netzwerkadapters direkt im Bios per Eingabe vergeben kann. Ebenso kann ich bei den meisten Netzwerkkartentreibern eine MAC von Hand vergeben. Die Aussage "nicht so ohne weiteres" ist daher nicht korrekt. Naja, ein Laie wird kaum wissen, wie er auf die Schnelle seine MAC-Adresse ändert. Und hardware- bzw. treiberseitig ist die Möglichkeit seine MAC zu ändern nicht grundsätzlich implementiert. Natürlich gibt es wiederum Tools, mit denen IP- und MAC-Spoofing möglich ist, allerdings muss man natürlich ersteinmal herausfinden, welche MAC-Adresse überhaupt benutzt werden kann, um ein System zu umgehen, also eine gültige MAC sozusagen. Aber natürlich ist die MAC alleine kein ernstzunehmendes Hindernis für jemanden, der weiß, was er tut. Zitieren
Eleu Geschrieben 11. Februar 2010 Autor Geschrieben 11. Februar 2010 Ich hätte doch noch mal eine Frage zu der Variante mit dem MAC basierten VLAN Wenn jemand ein Home Office betreibt und über das Internet seine Firma kontaktiert, wird er aufgrund seiner MAC Adresse beim MAC basierten VLAN in ein bestimmtes VLAN geleitet. Hierbei müsste doch aber die MAC des letzen Routers im Switch hinterlegt werden ? Weil doch die MAC der Rechner NIC im Datenframe vom Internet Router herausgenommen wird und durch die MAC des Routers ersetzt wird (Layer 3). Des weiteren müsste es doch zu einem Problem kommen, wenn der letzte Router im Internet ausgeschaltet wird und alternativ über einen anderen Router geroutet wird. Die MAC des Routers ist dann unbekannt und der Teilnehmer kommt nicht mehr in sein VLAN. Wie wird dieses Problem in der Praxis gelöst ? Oder habe ich da wieder einen generellen Denkfehler ? Zitieren
dgr243 Geschrieben 11. Februar 2010 Geschrieben 11. Februar 2010 Hmm also ich kenn das so, dass HomeOffice / VPN Teilnehmer von der Firewall entsprechend in ein VLAN gestopft werden. Das geschieht dort dann entsprechend auf Basis des Usernamens (bzw. Zertifikats). Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.