7
Einrichten dynamischer VLANs
Hallo, in Rahmen meiner Projektarbeit führe ich an unserer Außenstelle VLANs ein und hätte fragen zum Verständnis bzw. der Konfiguration, da ich ein neuling bin :D .
Hardware:
HPE Aruba 3810M 48G PoE+ Bundle 1050 W LAYER 3
HPE Aruba 2540 48G PoE+ 4SFP+ Switch LAYER 2
So wie ich es verstanden habe muss ich für eine dynamische VLAN-Zuordnung, im Radius-Server den Switch hinzufügen und zwei Gruppen erzeugen.
Eins mit Benutzer-Account und das andere per MAC-Authentifizierung.
Nun zur ersten Frage.
Wie soll ich die Switche am besten konfigurieren?
Auf beide Switche die VLANs anlegen, sowie die Verbindung zum Radius-Server und anschließend die Inferfaces konfigurieren/trunk anlegen oder gibt es eine bessere Möglichkeit/Sicherheit?
Weitere Infos auf dem Bild.
Bedanke mich schon mal für Ideen und Anregungen
Hardware:
HPE Aruba 3810M 48G PoE+ Bundle 1050 W LAYER 3
HPE Aruba 2540 48G PoE+ 4SFP+ Switch LAYER 2
So wie ich es verstanden habe muss ich für eine dynamische VLAN-Zuordnung, im Radius-Server den Switch hinzufügen und zwei Gruppen erzeugen.
Eins mit Benutzer-Account und das andere per MAC-Authentifizierung.
Nun zur ersten Frage.
Wie soll ich die Switche am besten konfigurieren?
Auf beide Switche die VLANs anlegen, sowie die Verbindung zum Radius-Server und anschließend die Inferfaces konfigurieren/trunk anlegen oder gibt es eine bessere Möglichkeit/Sicherheit?
Weitere Infos auf dem Bild.
Bedanke mich schon mal für Ideen und Anregungen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 564654
Url: https://administrator.de/contentid/564654
Printed on: May 4, 2024 at 11:05 o'clock
7 Comments
Latest comment
Hardware:
HPE Aruba 3810M 48G PoE+ Bundle 1050 W LAYER 3
HPE Aruba 2540 48G PoE+ 4SFP+ Switch LAYER 2
So wie ich es verstanden habe muss ich für eine dynamische VLAN-Zuordnung, im Radius-Server den Switch hinzufügen und zwei Gruppen erzeugen.
Eins mit Benutzer-Account und das andere per MAC-Authentifizierung.
Kommt drauf an....was setzt du denn als Radius Server ein?HPE Aruba 3810M 48G PoE+ Bundle 1050 W LAYER 3
HPE Aruba 2540 48G PoE+ 4SFP+ Switch LAYER 2
So wie ich es verstanden habe muss ich für eine dynamische VLAN-Zuordnung, im Radius-Server den Switch hinzufügen und zwei Gruppen erzeugen.
Eins mit Benutzer-Account und das andere per MAC-Authentifizierung.
Du kannst z.b. auch PacketFence (beinhaltet ein Radius Server + vieles mehr) einsetzen....da ist alles an Board und die neue Clients tauchen dort automatisch auf bzw. kannst du sie auch importieren.
Aber.....Viele wegen führen nach Rom.
Nun zur ersten Frage.
Wie soll ich die Switche am besten konfigurieren?
Auf beide Switche die VLANs anlegen, sowie die Verbindung zum Radius-Server und anschließend die Inferfaces konfigurieren/trunk anlegen oder gibt es eine bessere Möglichkeit/Sicherheit?
Als erstes natürliches alle VLAN und die Trunks, damit die Verbindung besteht.....dann die Verbindung zum Radius Server.....und dann weiter gemäß Handbuch vom Hersteller.Wie soll ich die Switche am besten konfigurieren?
Auf beide Switche die VLANs anlegen, sowie die Verbindung zum Radius-Server und anschließend die Inferfaces konfigurieren/trunk anlegen oder gibt es eine bessere Möglichkeit/Sicherheit?
Weitere Infos auf dem Bild.
Das soll uns jetzt was sagen?
So wie ich es verstanden habe muss ich für eine dynamische VLAN-Zuordnung, im Radius-Server den Switch hinzufügen
Das hast du absolut richtig verstanden ! Der Switch (oder auch AP im WLAN) ist der Authenticator. Guckst du auch hier:https://de.wikipedia.org/wiki/IEEE_802.1X
Wie soll ich die Switche am besten konfigurieren?
https://support.hpe.com/hpesc/public/docDisplay?docId=a00091309en_usKapitel 25 Lesen und verstehen...
Als Beispiel findest du unten in den Tutorials wasserdicht funktionierende Konfigs für Ruckus ICX Switches und Cisco Catalyst Switches.
Diese Tutorials sollten alle deine Fragen zu dem Thema umfassend beantworten. Wie immer: Lesen und Verstehen !
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Das soll uns jetzt was sagen?
Stimmt ! Den Sinn des Bildes, was ja mit dem Thema gar nichts zu tun hat, erschliesst sich nicht wirklich ?!
Kommt drauf an....was setzt du denn als Radius Server ein?
Ich dachte das der Radius Server vom Servermanager würde reichen und das ich keine zusätzlich Software benötige.
Das soll uns jetzt was sagen?
Hatte anfangs vor die Switche Portbasiert zu konfigurieren. Der 3810 M als Core-Switch.
Danke schon mal für die Infos
Diese Tutorials sollten alle deine Fragen zu dem Thema umfassend beantworten. Wie immer: Lesen und Verstehen !
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Werde es durchlesen
Ich dachte das der Radius Server vom Servermanager würde reichen und das ich keine zusätzlich Software benötige.
Du brauchst nur irgendeinen Radius Server irgendwo. Welcher das ist ob FreeRadius, Windows NPS oder dein "Servermanager" spielt keinerlei Rolle. Radius ist Radius !Hatte anfangs vor die Switche Portbasiert zu konfigurieren. Der 3810 M als Core-Switch.
OK auf dem Core machst du ja normal keine 802.1x Port Authentisierung. Sowas macht man in der Regel ja einzig im Access Bereich, also auf den oberen Switches wenn man mal von einem simplen Allerwelts Design wie dem folgenden ausgeht. Im Access gilt es ja unbefugten Zugriff zu verhindern und den Clients dynamisch die VLANs zuzuweisen in die sie auch sollen.
Ich habe mich für konfiguration von statischen VLANs entschieden. Passt die Konfiguration von den Switchen, vor allem mit dem tagging?
Core-Switch 3810M:
interface 1
name "Clients X"
exit
snmp-server community "public" operator
snmp-server contact "..." location "Serverraum"
oobm
ip address dhcp-bootp
exit
vlan 99
name "Management"
tagged 1-3
ip address 192.168.x.x 255.255.255.0
ip helper-address 192.168.x.x
exit
vlan 10
name "Clients-Außenstelle"
tagged 1-3
ip address 10.2.10.1 255.255.255.0
ip helper-address 192.168.x.x
exit
vlan 50
name "WLAN"
tagged 1-3
ip address 10.2.50.1 255.255.255.0
ip helper-address 192.168.x.x
exit
vlan 254
name "GATEWAY"
tagged 1
ip address 192.168.x.x 255.255.255.0
exit
vlan 80
name "Kamera"
tagged 1-3
ip address 10.2.80.1 255.255.255.0
ip helper-address 192.168.x.x
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1-16
no ip address
exit
primary-vlan 99
spanning-tree
2510:
vlan 10
name "Clients-Außenstelle"
untagged 1-40
tagged 49-52
no ip address
exit
vlan 50
name "WLAN"
tagged 41-52
no ip address
exit
vlan 99
name "Management"
untagged 41-48
tagged 49-52
ip address 192.168.x.x 255.255.255.0
exit
vlan 80
name "Kamera"
tagged 49-52
no ip address
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1-52
no ip address
exit
primary-vlan 99
spanning-tree
Core-Switch 3810M:
interface 1
name "Clients X"
exit
snmp-server community "public" operator
snmp-server contact "..." location "Serverraum"
oobm
ip address dhcp-bootp
exit
vlan 99
name "Management"
tagged 1-3
ip address 192.168.x.x 255.255.255.0
ip helper-address 192.168.x.x
exit
vlan 10
name "Clients-Außenstelle"
tagged 1-3
ip address 10.2.10.1 255.255.255.0
ip helper-address 192.168.x.x
exit
vlan 50
name "WLAN"
tagged 1-3
ip address 10.2.50.1 255.255.255.0
ip helper-address 192.168.x.x
exit
vlan 254
name "GATEWAY"
tagged 1
ip address 192.168.x.x 255.255.255.0
exit
vlan 80
name "Kamera"
tagged 1-3
ip address 10.2.80.1 255.255.255.0
ip helper-address 192.168.x.x
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1-16
no ip address
exit
primary-vlan 99
spanning-tree
2510:
vlan 10
name "Clients-Außenstelle"
untagged 1-40
tagged 49-52
no ip address
exit
vlan 50
name "WLAN"
tagged 41-52
no ip address
exit
vlan 99
name "Management"
untagged 41-48
tagged 49-52
ip address 192.168.x.x 255.255.255.0
exit
vlan 80
name "Kamera"
tagged 49-52
no ip address
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1-52
no ip address
exit
primary-vlan 99
spanning-tree
Ich habe mich für konfiguration von statischen VLANs entschieden.
Wie langweilig !!Passt die Konfiguration von den Switchen
Ja passt alles !Case closed !
Bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Noch zweiFrage.
Am Switch habe ich noch einen "Aruba X372 54VDC 105W PS" eingesteckt und er wird auch mit dem Befehl "show stacking" angezeigt, trotzdem blinckt am Switch der Status Back.
Desweiteren kann ich keinen Port auswählen. Hab auf den nachfolgend Bildern sieht man die Meldung.
Am Switch habe ich noch einen "Aruba X372 54VDC 105W PS" eingesteckt und er wird auch mit dem Befehl "show stacking" angezeigt, trotzdem blinckt am Switch der Status Back.
Desweiteren kann ich keinen Port auswählen. Hab auf den nachfolgend Bildern sieht man die Meldung.
