kartoffelesser
Goto Top

Eine Netzwerkdose im Wechsel für zwei unterschiedliche Netze

Hallo liebe Admins,
ich habe von einem Kollegen eine kleine Anfrage bezüglich der Nutzung einer wenig genutzen LAN-Dose:

Gegebenes Netzwerk: Modem-> Firewall->CoreRouter mit Radiusserver (hier werden 20 VLAN aufgespannt) ->Trunk zum CoreSwitch ->an Port10 hängt UNTAG das VLAN10 -> LANkabel zur Netzwerkdose -> Client bekommt via DHCP und Radiusserver (MAC-Filter) eine statische IP aus dem 172.16.10.0 /24 Netz

Jetzt der Wunsch des Kollegen:
da der Anschluss (LAN-Dose) wird nur an 1 - 2 Tagen pro Woche genutzt wird möchte besagter Kollege den Anschluss ebenfalls nutzen. Aus Sicherheitsgründen soll er aber nicht in das o.g. Netz. Ich habe mir jetzt folgende Lösung ausgedacht und wollte Euch fragen was Ihr davon haltet.

Im CoreRouter ein weiteres VLAN erstellen (VLAN21 - DHCP 172.16.21.0/24 - ebenfalls via Radius aber OHNE MAC-Filter) und dieses im Trunk an den CoreSwitch leiten. Auch dieses UNTAG an Port 21 zur Verfügung stellen. Jetzt Port 10 und 21 an einen Switch zusammenführen. Die LANDose wird jetzt via Kabel ebenfalls mit dem Switch verbunden.

Erhofftes Ergebnis: der Client der 1-2 mal in der Woche den Anschluss nutzt (mit MAC-Filterung am Radiusserver) bekommt IMMER/NUR seine feste IP aus dem 172.16.10.0/24 Netz. Der o.g. Kollege bekommt ebenfalls eine IP (OHNE MAC-Filterung am Radiusserver) aber NUR/IMMER via DHCP aus dem 172.16.21.0/24 Netz.

Funktioniert das so? Was ist mit dem Broadcast aus den beiden Netzen? Könnte es da Probleme geben?

Freue mich über jede Antwort!

Danke und Gruß
Kartoffelesser

Content-ID: 349943

Url: https://administrator.de/contentid/349943

Ausgedruckt am: 24.11.2024 um 02:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 23.09.2017 um 19:37:41 Uhr
Goto Top
Moin,

der einfachste Weg wäre, einen VLAN-fähigen Desktop-Switch an den Port zu hängen und dort zwei VLANs zu konfigurerien, die dann über den Port zum Core-Router tagged weitergeleitet werden.

Du legst dann das eine Netzwerk ganz links auf den Switch und das andere ganz rechts. Dann können die zwei sogar den Port gleichzeitig nutzen.

lks
tikayevent
tikayevent 23.09.2017 aktualisiert um 19:48:23 Uhr
Goto Top
Wenn auf Gigabit verzichtet werden kann, wenn es überhaupt vorhanden ist, und die Verkabelung es zulässt, mit CableSharing-Adaptern. Erspart einiges an Arbeit und Chaos.

Deine Variante mit dem zusammenführen über einen Switch und beides parallel übertragen wird nicht funktionieren. Der Switch mit der Port Security erwartet ja eine bestimmte SRC-MAC, wenn was falsches kommt, geht der Port auf blocked. Da jetzt aber auch der Router aus dem 21er-Netz mit auf dem Port liegt und der ab und an mal seine ARPs losschickt, sieht er im normalen Betrieb eine andere SRC-MAC und macht zu.

Bei der Variante von lks hab ich auch gewisse Zweifel, da die Port-Security ja unterhalb der VLANs arbeitet und dann bei der Parallelnutzung der Ports ebenfalls dicht macht. Die PortSecurity müsste auf den nachgelagerten Switch verlegt werden.
kartoffelesser
kartoffelesser 23.09.2017 um 19:50:54 Uhr
Goto Top
Hallo Lochkartenstanzer,
DANKE für die schnelle Antwort!!
Könntest Du das bitte genauer erklären. An welchen Port des CoreSwitchs würdest Du den (neuen) DesktopSwitch anschließen?

Kartoffelesser
kartoffelesser
kartoffelesser 23.09.2017 um 19:57:41 Uhr
Goto Top
Hallo tikayevent,
auch Dir DANKE für die schnelle Antwort! Wir haben hier (natürlich) ein Gigabit-Netz. Das mit den Cable Sharing Adapter habe ich mir auch schon überlegt. Das die Geschwindigkeit auf 100 "runter geht" wäre nicht so schlimm. Was mir aber nicht so gefällt, ist die Bauform des Adapters. Gibt es diese eigentlich auch in Form / Aussehen einer Twindoswe?

Kartoffelesser
Lochkartenstanzer
Lochkartenstanzer 23.09.2017 um 20:10:14 Uhr
Goto Top
Zitat von @tikayevent:

Die PortSecurity müsste auf den nachgelagerten Switch verlegt werden.

Davon bin ich ausgegangen, daß das dann "mitmigriert" wird.

lks
Lochkartenstanzer
Lochkartenstanzer 23.09.2017 aktualisiert um 20:16:37 Uhr
Goto Top
Zitat von @kartoffelesser:

Könntest Du das bitte genauer erklären. An welchen Port des CoreSwitchs würdest Du den (neuen) DesktopSwitch anschließen?

Dort wo der Admin des Coreswitches das sagt. Und nicht vergessen: Wenn Ihr Portsecurity einsetzt, muß der nachgelagerte Switch das mit übernehmen.

lks
kartoffelesser
kartoffelesser 23.09.2017 aktualisiert um 22:11:17 Uhr
Goto Top
@ Lochkartenstanzer,
also im Gegensatz zu tikayevent sagt Du das es funktionieren würde? Vorraussetzung ist aber das die Portsicherheit beachtet wird.

Dies vorrausgesetzt würde das Ganze wie folgt aussehen:
LANDose-> an einen untagged Port am DesktopSwitch. Des weiteren ist hier ein Tagged Port (u.a. für VLANs 10 und 21) mit einem Tagged Port des CoreSwitch verbunden. ZUSÄTZLICH sind auf dem DesktopSwitch noch 2 Port Untagged für die VLANs 10 und 21 "freigeschaltet". Auch diese sind mit dem CoreSwitch (Untagged auf Port 10 und 21) verbunden.

Habe ich das so richtig verstanden?

Kartoffelesser
brammer
brammer 23.09.2017 um 21:59:51 Uhr
Goto Top
Hallo,

Nicht die günstigste Lösung.... aber das wäre elegant...

Einbau Switch

Brammer
kartoffelesser
kartoffelesser 23.09.2017 um 22:07:33 Uhr
Goto Top
Hallo Brammer,
toller Switch sogar managebar / VLAN fähig!! Leider ist er meinem Chef sicher zu teuer face-sad

Kartoffelesser
emeriks
emeriks 23.09.2017 um 22:12:25 Uhr
Goto Top
Hi,
Cooles Teil! Kannte ich noch gar nicht ...

E.
maretz
maretz 24.09.2017 um 08:17:20 Uhr
Goto Top
Moin,

du hast doch schon nen RADIUS dran - also warum nicht den nutzen? Dein Port bekommt nativ den Port für "alle" (172.16.21.0/24). Der Kollege für 1-2 Tage bekommt nen schönen Eintrag im RADIUS:

"080037xxxxxx" Cleartext-Password := "080037xxxxxx"
Tunnel-Type = VLAN,
Tunnel-Private-Group-ID = 1,
Tunnel-Medium-Type = 6

(deine Private-Group-ID ist dann das geschützte VLAN - 1 wäre hier vermutlich nicht deine Wahl).

So - jetzt setzt du den Port nur noch auf eine Prüfung gegen den RADIUS-Server und dein Problem ist Geschichte... Soweit sich die MAC-Adresse an dem Port meldet wird der Rechner automatisch ins passende VLAN geworfen. Jeder andere geht ins Default-VLAN... (z.B. siehe hier: https://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_8021x/configuration ... )

Vorteil ist das du dich dann auch nicht mehr lange um irgendwelche IPs kümmern musst oder den Port irgendwie physikalisch verändern musst. Ebenfalls ist kein zusätzlicher Switch nötig - sondern es läuft einfach mit vorhandenen Mitteln.
kartoffelesser
kartoffelesser 24.09.2017 um 15:52:19 Uhr
Goto Top
Hallo maretz,
ein SUPERTIPP! Danke! Der Radiusserver läuft als FreeRadius PlugIn auf einem Mikrotik RB1100AHx2. Hoffentlich läßt sich die "Auth Fail VLAN" Option bei mir umsetzen.
So, jetzt geht es erstmal mit der Familie zum Wählen!

Gruß Kartoffelesser