mario87
Goto Top

1 Port in mehreren VLANs?

Hallo zusammen,
ich habe bei einem Kunden nun 3 VLANS eingerichtet auf einem Layer-3-Switch, der das Routing in die jeweiligen VLANS übernimmt.
Soweit klappt auch alles super. Es gibt jetzt nur "Probleme" in Besprechungsräumen.
Mitarbeiter A aus VLAN 10 geht mit seinem Notebook in den Besprechungsraum und möchte dort eine Präsentation halten.
Nun kann ich den Port im Besprechungsraum auf VLAN 10 konfigurieren und Mitarbeiter A ist glücklich. Die Mitarbeiter aus VLAN20 und 30 stehen dann aber dumm da.

Nun bleibt mir wahrscheinlich ja nur die Möglichkeit, dass die MItarbeiter dann Ihre Notebooks auf DHCP umstellen und die passende IP-Adresse für einen Netzwerkzugriff zu gelangen oder gibt es noch einen anderen Weg?

Ich bedanke mich vorab für jede Hilfe.

MfG
Mario

Content-ID: 323116

Url: https://administrator.de/contentid/323116

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 07.12.2016 um 16:17:58 Uhr
Goto Top
Zitat von @mario87:

Nun bleibt mir wahrscheinlich ja nur die Möglichkeit, dass die MItarbeiter dann Ihre Notebooks auf DHCP umstellen und die passende IP-Adresse für einen Netzwerkzugriff zu gelangen oder gibt es noch einen anderen Weg?

Stell da einen kleine Mikrotik hex oder hap hin und konfiguriere einen Port als tagged uplink zu Deinem switch und die restlichen Port labelst Du jeweils mti 10, 20 und 30

Dann soll derjenige seinen Laptop halt in den richtigen Port stecken.

Oder du machst ein viertes VLAN und stellst übe reine Firewall regeln auf, was der besprechungsraum alles darf (oder ncith darf).

lks
chiefteddy
Lösung chiefteddy 07.12.2016 um 16:20:53 Uhr
Goto Top
Nun bleibt mir wahrscheinlich ja nur die Möglichkeit, dass die MItarbeiter dann Ihre Notebooks auf DHCP umstellen und die
passende IP-Adresse für einen Netzwerkzugriff zu gelangen

Hallo,

ja, das ist der richtige Weg.


Was spricht denn aus Deiner Sicht gegen DHCP? DHCP macht das Leben doch viel einfacher.

Und mit Reservierungen bekommen die Clients auch immer die selbe Adresse.

Beachte aber, dass Du im Switch dann die DHCP-Relay-Funktion aktivieren und konfigurieren mußt.

Jürgen
mario87
mario87 07.12.2016 um 16:26:24 Uhr
Goto Top
ja, das schon, aber im VLAN 10 bekommt Mitarbeiter A die IP 192.168.10.12.
Benutzt nun Mitarbeiter B den Besprechungsraum, der in VLAN 20 ist und die IP 192.168.20.12, kann ja nur einer Zugriff auf das Netzwerk gelangen, weil der andere im falschen VLAN ist.

Ist das so verständlich erklärt?
Lochkartenstanzer
Lösung Lochkartenstanzer 07.12.2016 um 16:30:49 Uhr
Goto Top
Zitat von @mario87:

Ist das so verständlich erklärt?


Sind die Mitarbeiter "gutmütig"? Dann nimmst Du die oben erwähnte methode mit drei einzelnen Anschluüssen für das jeweilige VLAN. Sind sie das nciht udn muß man restriktrionen einrichten, so nimmst Du die variante mit dem 4. VLAn und regelst dann über eine Firewall den Zugriff auf die anderen VLANs.

lks
chiefteddy
Lösung chiefteddy 07.12.2016 um 19:02:18 Uhr
Goto Top
??????

Jedes VLAN hat doch sein eigenes Subnetz und bekommt im DHCP-Server einen eigenen Range.

VLAN1 zB 192.168.10.0/24; VLAN2 192.168.20.0/24, VLAN3 192.168.30,0/24 usw. Das jeweilige Gateway im VLAN ist zB. 192.168.xx.254.

Wenn Mitarbeiter A im VLAN1 ist, hat er zB. die IP 192.168.10.12 vom DHCP-Server zugewiesen bekommen. Geht er nun in den Besprechungsraum, erhält er zB die IP 192.168.20.12 vom DHCP-Server zugewiesen (VLAN2). Mitarbeiter B im VLAN2 kann nicht die gleiche IP vom DHCP-Server zugewiesen bekommen.

Entweder Du läßt den DHCP-Server das alleine regeln oder Du arbeitest mit Reservierungen auf MAC-Ebene. Aber auch da kannst Du nicht eine IP an 2 MAC-Adressen binden.

Wo ist das Problem?

Und im Zweifelsfall machst Du noch ein VLAN4 mit 192.168.40.0/24 nur für den Besprechungsraum.

Jürgen
aqui
Lösung aqui 07.12.2016 aktualisiert um 19:15:55 Uhr
Goto Top
Du machst einen generellen Denkfehler im VLAN Design weil dir vermutlich der Horizont dazu etwas fehlt... ?!
So ein quasi offenes Netzwerk wie der Besprechungsraum bzw. die Switchports die dahin gepatcht sind gehören logischerweise niemals in eins der produktiven VLANs.
Damit hebelt man jegliche Sicherheit aus. Bedenke nur mal wenn dort externe Gäste sitzen und wohlmöglich noch fremdes Equipment mitbringen.
Nur völlige Netzwerk Dummies machen das so.
Der Besprechungsraum kommt immer in ein gesondertes VLAN was entsprechend mit einer Firewall und einem Captive Portal, mindestens aber mit einer Layer 3 Accessliste auf dem L3 Switch abgetrennt ist !!

Damit gillt dann gleiches Recht für alle. Internen Mitarbeitern gibt man mit DHCP Nailing über die Mac Adresse immer eine feste IP im Gastnetz und erlaubt diesen IPs und einer entsprechenden Firewall Regel oder Accessliste dann den Zugriff auf ihre lokalen Resourcen über den L3 Switch oder Router.
Gäste können nur übers Captive Portal ins Internet !
Noch besser ist es wenn man über den Switch eine dynamische VLAN Zuweisung über die Mac Adresse per Radius macht an den Besprechungsraum Ports. Stichwort 802.1x Port Security.
Dein L3 Switch kann das ganz sicher auch !
Mitarbeiter landen so immer automatisch in ihren Heim VLANs aufgrund ihrer Mac Adresse, Gäste dann im Besprechungs Gast VLAN
So macht man das und nicht anders !
Da kommt aber auch der Azubi schon mit dem gesunden Menschenverstand drauf.

Hier findest du Lösungen dazu:
Dyn. VLAN Zuweisung:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Gast LAN mit Captive Portal:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
mario87
mario87 08.12.2016 aktualisiert um 06:58:07 Uhr
Goto Top
Das habe ich mir schon gedacht, daher frage ich ja nach.
Externe Gäste sind kein Thema, weil diese über den Gast-WLAN-Zugang ins Netz gelangen. Über die LAN Ports bekommen die Gäste keine IP,weil die IP´s nur über die Mac-Bindung vergeben werden.

Ich favorisiere die Lösung mit der festen IP-Adresse anhang der MAC-Adresse im Besprechungsraum für Mitarbeiter.

Danke für eure hilfreiche Unterstüzung.

Mit freundlichen Grüßen
Mario