Computer anhand der Mac-Adresse zu VLAN zuweisen
Hallo,
ich habe hier einen Linksys SRW-2024-Switch, an welchem unserer Server, unsere Workstations, unsere Firewall (IPcop) und unsere Maschinen (wir sind eine Tischlerei) hängen.
Aus Sicherheitsgründen würde ich die Maschinen gerne durch ein VLAN von unserem Server und den Workstation trennen.
Leider hängen die Maschinen nicht direkt am Linksys-Switch, sondern sind noch über einige 'billig-Switches' angeschlossen.
Ein weiteres Problem ist, dass an diesen billig-Switches auch noch ein Rechner hängt, welcher in dem VLAN der Workstations und Server bleiben soll.
Also habe ich mir gedacht, dass ich die Computer anhand von Mac-Adressen und anhand der Ports, an welchen sie angeschlossen sind zu verschiedenen VLANs zuordne.
Da ich bisher wenig Erfahrungen mit VLANs habe und die Dokumentation dieses Switches mehr als dürftig ist, bin ich etwas auf eure Hilfe angewiesen.
Ich würde gerne eine Regel nach diesem Schema anlegen:
alle Computer an allen Ports -> VLAN1
alle Rechner an Port 24 -> VLAN2, Ausnahme wenn mac-adresse=xyz, dann => VLAN1
Im Webinterface habe ich folgende Menüs gefunden, ich weiß aber leider z.T. nicht genau was sie bewirken:
-VLAN-Managemant
-Create VLAN (klar)
-Port Setting (ModeAccess,General,Trunk) pro Port) ??
-Ports to VLAN MöglichkeitenAccess,Trunk,General,Tagged,UnTagged,Forbidden,Excluded) ??
-VLAN to Ports ??
-GVRP ?!?!
-ACL
-IP based ACL ?
-MAC based ACL ?
-Security
-ACL Binding?
-....
-Admin
-Dynamic Address?
-Static Address?
-.....
Ich hoffe ihr könnt mir bei meinem Vorhaben etwas weiterhelfen!
Danke und Gruß
Nico
ich habe hier einen Linksys SRW-2024-Switch, an welchem unserer Server, unsere Workstations, unsere Firewall (IPcop) und unsere Maschinen (wir sind eine Tischlerei) hängen.
Aus Sicherheitsgründen würde ich die Maschinen gerne durch ein VLAN von unserem Server und den Workstation trennen.
Leider hängen die Maschinen nicht direkt am Linksys-Switch, sondern sind noch über einige 'billig-Switches' angeschlossen.
Ein weiteres Problem ist, dass an diesen billig-Switches auch noch ein Rechner hängt, welcher in dem VLAN der Workstations und Server bleiben soll.
Also habe ich mir gedacht, dass ich die Computer anhand von Mac-Adressen und anhand der Ports, an welchen sie angeschlossen sind zu verschiedenen VLANs zuordne.
Da ich bisher wenig Erfahrungen mit VLANs habe und die Dokumentation dieses Switches mehr als dürftig ist, bin ich etwas auf eure Hilfe angewiesen.
Ich würde gerne eine Regel nach diesem Schema anlegen:
alle Computer an allen Ports -> VLAN1
alle Rechner an Port 24 -> VLAN2, Ausnahme wenn mac-adresse=xyz, dann => VLAN1
Im Webinterface habe ich folgende Menüs gefunden, ich weiß aber leider z.T. nicht genau was sie bewirken:
-VLAN-Managemant
-Create VLAN (klar)
-Port Setting (ModeAccess,General,Trunk) pro Port) ??
-Ports to VLAN MöglichkeitenAccess,Trunk,General,Tagged,UnTagged,Forbidden,Excluded) ??
-VLAN to Ports ??
-GVRP ?!?!
-ACL
-IP based ACL ?
-MAC based ACL ?
-Security
-ACL Binding?
-....
-Admin
-Dynamic Address?
-Static Address?
-.....
Ich hoffe ihr könnt mir bei meinem Vorhaben etwas weiterhelfen!
Danke und Gruß
Nico
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 74382
Url: https://administrator.de/contentid/74382
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
1 Kommentar
So ist das nicht zu realisieren.
Ein Switchport ist entweder ein Access Port, und damit EINEM VLAN zugeordnet, oder es ist ein Trunkport, dass gehen über diesen Port viele VLANs. Trunkports braucht man vor allem für die Verbindung zu Uplinkswitches, wenn mehrere VLANs über den Uplink transportiert werden sollen.
Das was du machen willst - dynamisches Zuweisen des VLANs je nach MAC-Adresse - wäre meines Wissns nur über 802.1X in Verbindung mit EAP-over-LAN (EoL) zu realisieren. Dazu brauchst du aber auch eine Radius-Server und Vewaltungs-Datenbank-Infrastruktur.
Durch die Uplink-Billig-Switches wäre jedoch selbst das nicht realisierbar. Die Uplinkswitches haben ja alle Ports in einem VLAN und können wohl garnicht mit verschiedenen VLANs umgehen. Wie sollte das also funktionieren?
Das einfachste bzw. die "gängige" Methode wäre wohl, alle Switches VLAN-fähig zu machen, die Uplinkports zwischen den Switches zu Trunkports zu machen, und je nachdem welcher PC an welchem Switchport hängt, an diesem Switchport das entsprechende VLAN konfigurieren.
Dynamische Zuweisung je nach MAC Adresse ist recht aufwendig und arbeitsintensiv.
Ein Switchport ist entweder ein Access Port, und damit EINEM VLAN zugeordnet, oder es ist ein Trunkport, dass gehen über diesen Port viele VLANs. Trunkports braucht man vor allem für die Verbindung zu Uplinkswitches, wenn mehrere VLANs über den Uplink transportiert werden sollen.
Das was du machen willst - dynamisches Zuweisen des VLANs je nach MAC-Adresse - wäre meines Wissns nur über 802.1X in Verbindung mit EAP-over-LAN (EoL) zu realisieren. Dazu brauchst du aber auch eine Radius-Server und Vewaltungs-Datenbank-Infrastruktur.
Durch die Uplink-Billig-Switches wäre jedoch selbst das nicht realisierbar. Die Uplinkswitches haben ja alle Ports in einem VLAN und können wohl garnicht mit verschiedenen VLANs umgehen. Wie sollte das also funktionieren?
Das einfachste bzw. die "gängige" Methode wäre wohl, alle Switches VLAN-fähig zu machen, die Uplinkports zwischen den Switches zu Trunkports zu machen, und je nachdem welcher PC an welchem Switchport hängt, an diesem Switchport das entsprechende VLAN konfigurieren.
Dynamische Zuweisung je nach MAC Adresse ist recht aufwendig und arbeitsintensiv.