Konfigurationsmöglichkeiten eines VLAN

[Eleu]

Hallo,

ich hätte ein paar Fragen zum Thema:

Konfigurationsmöglichkeiten eines VLAN

Bei einem portbasiertem VLAN wird im Switch zum Beispiel PORT 1 bis PORT 6

dem VLAN 10 zugeordnet.

Ich nehme an, der Administrator tut dies an allen Switchen einer

Netzwerkinfrastruktur über ein Management - Tool.

Ist es so, dass bei einem dynamischen VLAN der Administrator

die MAC-Adresse des teilnehmenden Host dem jeweiligen VLAN im Switch zuordnet ?

Programmiert er das dann, in eine extra Tabelle im Switch ?

Kommt ein Frame mit der entsprechenden Source - MAC Adresse am Switch an,

wird es entsprechend dem VLAN getaggt und ist entsprechend zugeordnet.

Muss der Admin das an allen Switchen pflegen, oder woher bekommen die Switche

einer Netzwerkinfrastruktur diese Information. Wird das vielleicht automatisch verteilt ?

Von der Funktion her, verstehe ich es dann so, dass der Teilnehmer sich

mit seinem Laptop an einem beliebigen Switchport der Netzwerkinfrastruktur verbinden kann

und so dieser Port automatisch dem entsprechenden VLAN zugeordnet wird.

Der Nachteil ist, dass der Admin die MAC - Adressen aller NIC`s kennen muss.

Gruß

Eleu

[lordy]

Damit man den Wahnsinn nicht au fallen Switches pflegen muss gibt es dafür eine zentrale Komponente:

VLAN Management Policy Server - Wikipedia, the free encyclopedia

[Eleu]

Danke für die schnelle Info.

Gibt es das nur von cisco ?

Was ist eigentlich die gängige Praxis ?

Portbasiert oder dynamisch ?

Gruß

Eleu

[lordy]

Der kann das auch:

FreeRADIUS -- VMPS

Aus meiner Erfahrung ist port-basiert noch der Standard. Das hängt mit vielen Faktoren zusammen:

- nicht alle Switches sprechen 802.1x

- Admins haben nichts von VMPS gehört

- Admins sind zu faul mal alle MACs zu inventarisieren

- usw.

[Gnork]

Der Nachteil ist, dass der Admin die MAC - Adressen aller NIC`s kennen muss.

Wieso ist das ein Nachteil? Wenn ich eine Gästeliste für meinen Geburtstag machen, muss ich doch auch die Namen meiner Gäste kennen, ist doch klar!

Ansonsten dürfte hier mit VMPS schon das richtige Stichwort genannt worden sein. Gibt natürlich auch noch andere Authentifizierungsansätz wie z.B. RADIUS oder TACACS+ aber das ist dann wieder eine andere Richtung.

edit:

Muss der Admin das an allen Switchen pflegen, oder woher bekommen die Switche

einer Netzwerkinfrastruktur diese Information. Wird das vielleicht automatisch verteilt ?

Also bei CISCO z.B. gibt es VTP zum "automatischen verteilen".

http://upload.wikimedia.org/wikipedia/commons/e/e7/VLAN_Trunking_Protocol_.gif

Bearbeitet 1. Februar 2010 von hades
Bild in Url geaendert: Denkt daran, dass es auch User mit Modem/ISDN bzw. DSL light gibt...

[Eleu]

Ich müsste hier aber vielleicht mal einen Kritikpunkt,

bzgl. dynamisches VLAN loswerden.

Viele User machen von ihren Rechnern zur Datensicherung ein Image.

Ist der Rechner defekt, wird das Image auf ein Ersatzsystem gezogen.

Jedoch kommt der User mit dem neuen Rechner dann nicht in sein dyn. VLAN zurück, da die MAC Adresse der neuen NIC unbekannt ist.

Der User sucht verzweifelt in den Eingeweiden des Betriebssystems nach dem Fehler,

weil er nicht darauf kommt, dass es an der neuen NIC liegen könnte.

Bei einem Port - basierten VLAN wäre das kein Thema.

Er meldet sich wie gewohnt an und ist mit dem neuen Rechner

wieder in der Domäne.

Jetzt habe ich mich mal umgesehen und vielleicht etwas gefunden

was diesen Umstand verbessert (FreeNAC).

Und zwar funktioniert das wohl so, dass eine neue NIC automatisch

in eine Art "Gäste - VLAN" geleitet wird.

FreeNAC| Die FreeNAC Lösung

Der User würde in so einem Szenario merken, dass er nur eingeschränkte

Zugangsrechte hat und würde dann den Admin anrufen.

Bietet VMPS oder das von Gnork vorgestellte VTP auch so etwas wie ein "Gäste VLAN" für neue MAC`s ?

Ich Frage deshalb, weil VMPS oder VTP ein von cisco entwickeltes Protokoll ist

und wohl deshalb am besten auf cisco Switchen funktionieren wird ?

Oder wäre dieses FreeNAC kein Problem (Stichwort: Herstellerhomogenität) ?

Gruß

Eleu

[lordy]

Also ich kann dir nur sagen, das man mit VMPS natürlich ein "Gäste-VLAN" realisieren kann. Wir hatten sowas. Unregistrierte MAC-Adressen konnten dann zwar surfen, aber sonst nix. Da ist den Leuten schon klar geworden, das da was nicht stimmt.

Aber in den Firmen, die ich so kenne übernimmt der Admin das Image-Erstellen und Zurückspielen auf neue Hardware, so dass er auch weiß, worauf zu achten ist.

[Eleu]

Aber in den Firmen, die ich so kenne übernimmt der Admin das Image-Erstellen und Zurückspielen auf neue Hardware, so dass er auch weiß, worauf zu achten ist.

Nun, das ist sicherlich auch richtig so.

Es gibt aber auch viele Firmen mit Servicetechniker,

die Inbetriebnahmen weltweit durchführen.

Diese Leute müssen sich im Fehlerfall zu helfen wissen.

[Gnork]

Ich müsste hier aber vielleicht mal einen Kritikpunkt,

bzgl. dynamisches VLAN loswerden.

Viele User machen von ihren Rechnern zur Datensicherung ein Image.

Ist der Rechner defekt, wird das Image auf ein Ersatzsystem gezogen.

Jedoch kommt der User mit dem neuen Rechner dann nicht in sein dyn. VLAN zurück, da die MAC Adresse der neuen NIC unbekannt ist.

Hier noch ein Kritikpunkt: Wenn ich meine MAC Adresse zu einer in diesem Netz gültigen Adresse ändere, bekomme ich Zugriff zum System, obwohl ich dazu nicht berechtigt bin! :eek

Naja, so ist das halt...

Bietet VMPS oder das von Gnork vorgestellte VTP auch so etwas wie ein "Gäste VLAN" für neue MAC`s ?

Das kommt doch immer darauf an, wie man das ganze konfiguriert... :hells:

The second line of the sample below specifies security mode, which can be either open or secure. In secure mode, an unknown MAC address causes the port to be shut down. In open mode, unknown MAC addresses are assigned to fallback (default) "unsecure" VLAN, specified with the vmps fallback line. The default mode is open. You can also specify whether requests with no VTP/VMPS domain are allowed or denied. By the way, when unknown MAC addresses or denied situations occur, the switch can send a SNMP trap to your SNMP trap receiver (management station). This might be useful for tracking use of unauthorized PC's in a campus environment (provided that's something you care to manage).

[axxis]

Hier noch ein Kritikpunkt: Wenn ich meine MAC Adresse zu einer in diesem Netz gültigen Adresse ändere, bekomme ich Zugriff zum System, obwohl ich dazu nicht berechtigt bin!

Und wenn ich nen internen PC aus der Dose reiße und mich selbst dranstöpsel ists ebenso.

Irgendeinen Tod muss man sterben.

Ich bin schon länger am überlegen, wie man die Sache zu 99% abschotten kann.

Ein Mix aus beidem könnte man wohl auch überlisten.

Ciao ciao

Hauke

[dgr243]

Zum Abschotten 802.1x mit rechnergebundenem Zertifikat.

Erfordert natürlich ein deutliches mehr an Adminaufwand (unter anderem weil du für die Zertifikate auch erstmal eine CA brauchst ), aber so ist das mit der Sicherheit nunmal.

[Gnork]

Vollkommene Sicherheit hat man nur, wenn ein PC komplett vom Netz getrennt ist - wobei selbst das nicht mal vollkommen sicher ist.

Im Grunde geht es doch nur darum, einen guten Kompromiss zu finden.

[Eleu]

IP basiertes VLAN funktioniert, wie der Name schon sagt, durch die Zuordnung der IP zum VLAN anstatt durch die MAC.

Würde doch, wenn ich alles richtig verstanden habe, dass von mir angesprochene Problem auch umgehen.

Die Anforderungen an die Sicherheit werden doch eigentlich erfüllt, weil der User sich doch ohnehin über einen

Login in der Domäne anmelden muss ?

Oder wird das deshalb nicht gemacht, weil in den meisten Umgebungen

die nächste freie IP über DHCP zum host geschickt wird ?

Andernfalls müsste ich eine feste IP dem User und dem VLAN zuordnen.

Wird es deshalb nicht verwendet, oder hat das damit gar nichts zu tun ?

Gruß

Eleu

[Eleu]

Eine kurze Erklärung, wann oder weshalb man überhaupt in einem dynamischen VLAN die Adressierung über IP anstatt über MAC Adressen durchführt, würde mir auch schon reichen.

Oder ist das ne blöde Frage ?:old

Gruß

Eleu

[Gnork]

ich würd sagen, dass ist ne blöde frage, bzw. ich verstehe sie einfach nicht.

wenn du mit einem dynamischen vlan sowas wie vmps etc. meinst, dann würde ich sagen: das mapping funktioniert eigentlich nach dem prinzip vlan -> MAC.

die adressierung in einem netz funktioniert eigentlich immer über ip addressen, das macht im grunde layer 3 aus...

vllt HIER nochmal schauen

[Eleu]

Aber bei Wikipedia steht, dass die Zugehörigkeit zu einem dyn. VLAN

auf der Basis der MAC oder der IP Adresse geschehen kann.

Virtual Local Area Network ? Wikipedia

MAC ist Layer 2 und IP ist Layer 3.

Eine IP Adresse könnte doch auch einem host fest zugeordnet werden

und somit auch einem VLAN ?

Dann würde doch theoretisch die Notwendigkeit einer Zuordnung über die MAC im Switch entfallen.

In dem Fall würde der Switch wie gehabt die Sourc - Mac Adresse einlernen und dem Switch - Port

zuordnen.

Aber wenn das sowie nicht vorkommt, wieso steht das dann bei Wikipedia.

Oder habe ich da was Grundsätzliches noch nicht kapiert ?

[ardcore]

Dynamisches VLAN :upps

Sorry, aber manchmal sind die Wikipedia-Einträge einfach nur stumpfsinnig.

Ein VLAN ist nicht dynamisch, einzig die Zuordnung zu dessen.

Kein VLAN macht "Pufff..." und erscheint aus dem Nirgendwo und verschwindet wieder wenn die VLAN-Member ausgeschalten werden

Wie du ein Gerät einem VLAN zuweist bleibt dir überlassen.

L1-L7 bieten da eine Menge flexibilität. Egal ob MAC oder IP.

[Eleu]

Wie du ein Gerät einem VLAN zuweist bleibt dir überlassen.

L1-L7 bieten da eine Menge flexibilität. Egal ob MAC oder IP.

Genau.

Und um noch mal auf meine eigentliche Frage zurückzukommen.

Was ich bis jetzt so herausgehört habe, ist es aber wohl allgemein üblich

die Zuordnung MAC -> VLAN vorzunehmen.

Warum ist das allgemein üblich so, dass es mehr über die MAC erfolgt

und nicht so oft über die IP ?

[ardcore]

Warum ist das allgemein üblich so, dass es mehr über die MAC erfolgt

und nicht so oft über die IP ?

Historisch bedingt mit praktischer Unterlegung.

Grundsätzlich sind erst einmal alle Switche Layer2 Devices.

Folglich können und wollen Sie auch nur Layer2 Informationen auswerten.

Deswegen die Zuweisung anhand der L2-Informationen.

Isn't it simple?

[Gnork]

Wenn wir immer noch beim gleichen Thema sind, dann geht es doch darum, ein Gerät einem Vlan zuzuordnen. Da eine IP Adresse selten einem Gerät fest zu geordnet wird und vor allem problemlos und schnell geändert werden kann, lässt sich ein Gerät kaum anhand einer IP Adresse fest identifizieren, hier eignet sich die MAC Adresse eher, die sich nicht (ohne weiteres) ändern lässt.

[dgr243]

Mit der Aussage wäre ich vorsichtig. Kenne diverse Rechner (und Server) bei denen ich die MAC des (onboard) Netzwerkadapters direkt im Bios per Eingabe vergeben kann. Ebenso kann ich bei den meisten Netzwerkkartentreibern eine MAC von Hand vergeben.

Die Aussage "nicht so ohne weiteres" ist daher nicht korrekt.

[netzwerker]

VLAN-Zuordnung auf Basis von MAC- oder IP-Adressen macht doch in der freien Wildbahn ohnehin niemand, oder? VMPS ist eher ein Relikt aus alten Zeiten (wo sicherheit klein geschrieben wurde).

Entweder portbasierend oder dot1x. Damit lassen sich dann beispielsweise Clients ohne aktuelle Updates und Virenpattern in ein spezielles VLAN schieben in dem nur die Updates möglich sind.

Mirko

[Gnork]

Mit der Aussage wäre ich vorsichtig. Kenne diverse Rechner (und Server) bei denen ich die MAC des (onboard) Netzwerkadapters direkt im Bios per Eingabe vergeben kann. Ebenso kann ich bei den meisten Netzwerkkartentreibern eine MAC von Hand vergeben.

Die Aussage "nicht so ohne weiteres" ist daher nicht korrekt.

Naja, ein Laie wird kaum wissen, wie er auf die Schnelle seine MAC-Adresse ändert. Und hardware- bzw. treiberseitig ist die Möglichkeit seine MAC zu ändern nicht grundsätzlich implementiert. Natürlich gibt es wiederum Tools, mit denen IP- und MAC-Spoofing möglich ist, allerdings muss man natürlich ersteinmal herausfinden, welche MAC-Adresse überhaupt benutzt werden kann, um ein System zu umgehen, also eine gültige MAC sozusagen.

Aber natürlich ist die MAC alleine kein ernstzunehmendes Hindernis für jemanden, der weiß, was er tut.

[Eleu]

Ich hätte doch noch mal eine Frage zu der Variante mit dem MAC basierten VLAN

Wenn jemand ein Home Office betreibt und über das Internet

seine Firma kontaktiert, wird er aufgrund seiner MAC Adresse beim MAC basierten VLAN

in ein bestimmtes VLAN geleitet.

Hierbei müsste doch aber die MAC des letzen Routers im Switch hinterlegt werden ?

Weil doch die MAC der Rechner NIC im Datenframe vom Internet Router herausgenommen wird

und durch die MAC des Routers ersetzt wird (Layer 3).

Des weiteren müsste es doch zu einem Problem kommen, wenn der letzte Router im Internet

ausgeschaltet wird und alternativ über einen anderen Router geroutet wird.

Die MAC des Routers ist dann unbekannt und der Teilnehmer kommt nicht mehr in sein VLAN.

Wie wird dieses Problem in der Praxis gelöst ?

Oder habe ich da wieder einen generellen Denkfehler ?

[dgr243]

Hmm also ich kenn das so, dass HomeOffice / VPN Teilnehmer von der Firewall entsprechend in ein VLAN gestopft werden. Das geschieht dort dann entsprechend auf Basis des Usernamens (bzw. Zertifikats).