Eine Netzwerkdose im Wechsel für zwei unterschiedliche Netze
Hallo liebe Admins,
ich habe von einem Kollegen eine kleine Anfrage bezüglich der Nutzung einer wenig genutzen LAN-Dose:
Gegebenes Netzwerk: Modem-> Firewall->CoreRouter mit Radiusserver (hier werden 20 VLAN aufgespannt) ->Trunk zum CoreSwitch ->an Port10 hängt UNTAG das VLAN10 -> LANkabel zur Netzwerkdose -> Client bekommt via DHCP und Radiusserver (MAC-Filter) eine statische IP aus dem 172.16.10.0 /24 Netz
Jetzt der Wunsch des Kollegen:
da der Anschluss (LAN-Dose) wird nur an 1 - 2 Tagen pro Woche genutzt wird möchte besagter Kollege den Anschluss ebenfalls nutzen. Aus Sicherheitsgründen soll er aber nicht in das o.g. Netz. Ich habe mir jetzt folgende Lösung ausgedacht und wollte Euch fragen was Ihr davon haltet.
Im CoreRouter ein weiteres VLAN erstellen (VLAN21 - DHCP 172.16.21.0/24 - ebenfalls via Radius aber OHNE MAC-Filter) und dieses im Trunk an den CoreSwitch leiten. Auch dieses UNTAG an Port 21 zur Verfügung stellen. Jetzt Port 10 und 21 an einen Switch zusammenführen. Die LANDose wird jetzt via Kabel ebenfalls mit dem Switch verbunden.
Erhofftes Ergebnis: der Client der 1-2 mal in der Woche den Anschluss nutzt (mit MAC-Filterung am Radiusserver) bekommt IMMER/NUR seine feste IP aus dem 172.16.10.0/24 Netz. Der o.g. Kollege bekommt ebenfalls eine IP (OHNE MAC-Filterung am Radiusserver) aber NUR/IMMER via DHCP aus dem 172.16.21.0/24 Netz.
Funktioniert das so? Was ist mit dem Broadcast aus den beiden Netzen? Könnte es da Probleme geben?
Freue mich über jede Antwort!
Danke und Gruß
Kartoffelesser
ich habe von einem Kollegen eine kleine Anfrage bezüglich der Nutzung einer wenig genutzen LAN-Dose:
Gegebenes Netzwerk: Modem-> Firewall->CoreRouter mit Radiusserver (hier werden 20 VLAN aufgespannt) ->Trunk zum CoreSwitch ->an Port10 hängt UNTAG das VLAN10 -> LANkabel zur Netzwerkdose -> Client bekommt via DHCP und Radiusserver (MAC-Filter) eine statische IP aus dem 172.16.10.0 /24 Netz
Jetzt der Wunsch des Kollegen:
da der Anschluss (LAN-Dose) wird nur an 1 - 2 Tagen pro Woche genutzt wird möchte besagter Kollege den Anschluss ebenfalls nutzen. Aus Sicherheitsgründen soll er aber nicht in das o.g. Netz. Ich habe mir jetzt folgende Lösung ausgedacht und wollte Euch fragen was Ihr davon haltet.
Im CoreRouter ein weiteres VLAN erstellen (VLAN21 - DHCP 172.16.21.0/24 - ebenfalls via Radius aber OHNE MAC-Filter) und dieses im Trunk an den CoreSwitch leiten. Auch dieses UNTAG an Port 21 zur Verfügung stellen. Jetzt Port 10 und 21 an einen Switch zusammenführen. Die LANDose wird jetzt via Kabel ebenfalls mit dem Switch verbunden.
Erhofftes Ergebnis: der Client der 1-2 mal in der Woche den Anschluss nutzt (mit MAC-Filterung am Radiusserver) bekommt IMMER/NUR seine feste IP aus dem 172.16.10.0/24 Netz. Der o.g. Kollege bekommt ebenfalls eine IP (OHNE MAC-Filterung am Radiusserver) aber NUR/IMMER via DHCP aus dem 172.16.21.0/24 Netz.
Funktioniert das so? Was ist mit dem Broadcast aus den beiden Netzen? Könnte es da Probleme geben?
Freue mich über jede Antwort!
Danke und Gruß
Kartoffelesser
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 349943
Url: https://administrator.de/contentid/349943
Ausgedruckt am: 24.11.2024 um 02:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
der einfachste Weg wäre, einen VLAN-fähigen Desktop-Switch an den Port zu hängen und dort zwei VLANs zu konfigurerien, die dann über den Port zum Core-Router tagged weitergeleitet werden.
Du legst dann das eine Netzwerk ganz links auf den Switch und das andere ganz rechts. Dann können die zwei sogar den Port gleichzeitig nutzen.
lks
der einfachste Weg wäre, einen VLAN-fähigen Desktop-Switch an den Port zu hängen und dort zwei VLANs zu konfigurerien, die dann über den Port zum Core-Router tagged weitergeleitet werden.
Du legst dann das eine Netzwerk ganz links auf den Switch und das andere ganz rechts. Dann können die zwei sogar den Port gleichzeitig nutzen.
lks
Wenn auf Gigabit verzichtet werden kann, wenn es überhaupt vorhanden ist, und die Verkabelung es zulässt, mit CableSharing-Adaptern. Erspart einiges an Arbeit und Chaos.
Deine Variante mit dem zusammenführen über einen Switch und beides parallel übertragen wird nicht funktionieren. Der Switch mit der Port Security erwartet ja eine bestimmte SRC-MAC, wenn was falsches kommt, geht der Port auf blocked. Da jetzt aber auch der Router aus dem 21er-Netz mit auf dem Port liegt und der ab und an mal seine ARPs losschickt, sieht er im normalen Betrieb eine andere SRC-MAC und macht zu.
Bei der Variante von lks hab ich auch gewisse Zweifel, da die Port-Security ja unterhalb der VLANs arbeitet und dann bei der Parallelnutzung der Ports ebenfalls dicht macht. Die PortSecurity müsste auf den nachgelagerten Switch verlegt werden.
Deine Variante mit dem zusammenführen über einen Switch und beides parallel übertragen wird nicht funktionieren. Der Switch mit der Port Security erwartet ja eine bestimmte SRC-MAC, wenn was falsches kommt, geht der Port auf blocked. Da jetzt aber auch der Router aus dem 21er-Netz mit auf dem Port liegt und der ab und an mal seine ARPs losschickt, sieht er im normalen Betrieb eine andere SRC-MAC und macht zu.
Bei der Variante von lks hab ich auch gewisse Zweifel, da die Port-Security ja unterhalb der VLANs arbeitet und dann bei der Parallelnutzung der Ports ebenfalls dicht macht. Die PortSecurity müsste auf den nachgelagerten Switch verlegt werden.
Davon bin ich ausgegangen, daß das dann "mitmigriert" wird.
lks
Zitat von @kartoffelesser:
Könntest Du das bitte genauer erklären. An welchen Port des CoreSwitchs würdest Du den (neuen) DesktopSwitch anschließen?
Könntest Du das bitte genauer erklären. An welchen Port des CoreSwitchs würdest Du den (neuen) DesktopSwitch anschließen?
Dort wo der Admin des Coreswitches das sagt. Und nicht vergessen: Wenn Ihr Portsecurity einsetzt, muß der nachgelagerte Switch das mit übernehmen.
lks
Moin,
du hast doch schon nen RADIUS dran - also warum nicht den nutzen? Dein Port bekommt nativ den Port für "alle" (172.16.21.0/24). Der Kollege für 1-2 Tage bekommt nen schönen Eintrag im RADIUS:
"080037xxxxxx" Cleartext-Password := "080037xxxxxx"
Tunnel-Type = VLAN,
Tunnel-Private-Group-ID = 1,
Tunnel-Medium-Type = 6
(deine Private-Group-ID ist dann das geschützte VLAN - 1 wäre hier vermutlich nicht deine Wahl).
So - jetzt setzt du den Port nur noch auf eine Prüfung gegen den RADIUS-Server und dein Problem ist Geschichte... Soweit sich die MAC-Adresse an dem Port meldet wird der Rechner automatisch ins passende VLAN geworfen. Jeder andere geht ins Default-VLAN... (z.B. siehe hier: https://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_8021x/configuration ... )
Vorteil ist das du dich dann auch nicht mehr lange um irgendwelche IPs kümmern musst oder den Port irgendwie physikalisch verändern musst. Ebenfalls ist kein zusätzlicher Switch nötig - sondern es läuft einfach mit vorhandenen Mitteln.
du hast doch schon nen RADIUS dran - also warum nicht den nutzen? Dein Port bekommt nativ den Port für "alle" (172.16.21.0/24). Der Kollege für 1-2 Tage bekommt nen schönen Eintrag im RADIUS:
"080037xxxxxx" Cleartext-Password := "080037xxxxxx"
Tunnel-Type = VLAN,
Tunnel-Private-Group-ID = 1,
Tunnel-Medium-Type = 6
(deine Private-Group-ID ist dann das geschützte VLAN - 1 wäre hier vermutlich nicht deine Wahl).
So - jetzt setzt du den Port nur noch auf eine Prüfung gegen den RADIUS-Server und dein Problem ist Geschichte... Soweit sich die MAC-Adresse an dem Port meldet wird der Rechner automatisch ins passende VLAN geworfen. Jeder andere geht ins Default-VLAN... (z.B. siehe hier: https://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_8021x/configuration ... )
Vorteil ist das du dich dann auch nicht mehr lange um irgendwelche IPs kümmern musst oder den Port irgendwie physikalisch verändern musst. Ebenfalls ist kein zusätzlicher Switch nötig - sondern es läuft einfach mit vorhandenen Mitteln.