binarybear
Goto Top

802.1X oder Alternative für Trunk-Ports?

Hallo,

für gesicherte Verbindungen wo nicht jeder Hans und Franz sein Laptop via LAN anschließen können soll gibt's ja 802.1X.
Hab ich mit einem HP ProCurve 2626 testweise auch mal konfiguriert, funktioniert wundervoll. Besonders die VLAN-Zuordnung!

Doch gibt es etwas vergleichbares für Trunk-Ports wo mehrere VLANs tagged erlaubt sind / erlaubt sein müssen? Ich habe z.B. WLAN-AccessPoints, welche eben nicht mit einem Controller arbeiten und man eben die VLAN-IDs an dem Port erlauben muss, damit das WLAN auch funktioniert (habe dann mehrere SSIDs, für Gast, Intern und Co. sowie WPA2-Enterprise mit dynamischer VLAN-Zuordnung)

Auch ist mein Server z.B. als DHCP-Server in jedem VLAN aktiv.

Klar würde man in Firmen die Server entsprechend "wegschließen" und professionelle Lösungen für WLAN einsetzen, aber es muss doch irgendwie auch möglich sein Trunk-Verbindungen zu schützen ohne den LAN-Stecker mit Reißzwecken zu präparieren ...

Content-ID: 367425

Url: https://administrator.de/forum/802-1x-oder-alternative-fuer-trunk-ports-367425.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

wiesi200
wiesi200 08.03.2018 um 17:15:26 Uhr
Goto Top
Hallo,

DHCP macht man eigentlich per Relay auf dem Layer 3 Switch bzw. Router.
BinaryBear
BinaryBear 08.03.2018 um 18:38:10 Uhr
Goto Top
... Wenn ich einen hätte (L3-Switch). Ist bei meinem Heimnetz aber auch nicht so wichtig.
Mein Server ist tatsächlich auch mein Router, da der natürlich ein wenig mehr Dampf als so eine Plastikkiste hat...

Trotzdem habe ich halt noch Geräte, die zwingend Trunk brauchen und in irgendeiner Weise abgesichert werden sollten.
Ist in meinem Heimnetz-Setup zwar nicht zwingend notwendig, doch wundert es mich, dass ich nichts zu dem Thema finde...
tikayevent
tikayevent 08.03.2018 um 22:40:01 Uhr
Goto Top
Normal befinden sich Switches halt in abgeschlossenen Schränken und da Uplinks von Switch zu Switch gehen, dürfte es hier keine Problematik mit unerlaubten Zugriffen geben. Dazu kommt, dass Switch-to-Switch-Trunks eben zum kritischen Teil der Infrastruktur gehören und 802.1X dafür sorgen kann, dass dieser Teil ausfällt.

802.1X und dynamische VLAN-Zuordnung funktioniert zwar zusammen, ist aber kein zwingender Teil. VLAN-Trunks werden statisch konfiguriert, da Switches ja nicht mal eben rumwandern und bei einer statischen Konfiguration sollte auch 802.1X funktionieren (das Problem dürfte hier die Gegenstelle sein, Access Points werden wohl noch funktionieren, aber Router, Switches oder die VMWare-Farm werden es nicht unterstützen).
aqui
aqui 09.03.2018 aktualisiert um 12:18:51 Uhr
Goto Top
funktioniert wundervoll. Besonders die VLAN-Zuordnung!
Hast du da mal ne Beispiel Konfig nur des Switches ??
Auch wenns gruseliges HP Geraffel ist wäre das mal fürs hiesige .1x_Tutorial interessant sofern du nix dagegen hast ?! (Bitte per PM)

Übrigens funktioniert sowas auch problemlos auf Trunk Ports. .1x ist es doch egal ob die Ports getaggt oder ungetaggt sind. In der dynmaischen VLAN Zuweisung bekommen die IDs dann eben ein "T" davor. So lösen es die meisten der Hersteller.
Gute APs und andere Endgeräte haben deshalb auch immer einen .1x Client an Bord der dann die Authentisierung gegenüber der .1x Infrastruktur macht !
Also wie immer alles ne Frage der richtigen HW !