borjia
12.04.2020
view6040
view7
0
Goto Top

Einrichten dynamischer VLANs

gelöstFrageNetzwerke
Hallo, in Rahmen meiner Projektarbeit führe ich an unserer Außenstelle VLANs ein und hätte fragen zum Verständnis bzw. der Konfiguration, da ich ein neuling bin :D .

Hardware:
HPE Aruba 3810M 48G PoE+ Bundle 1050 W LAYER 3
HPE Aruba 2540 48G PoE+ 4SFP+ Switch LAYER 2


So wie ich es verstanden habe muss ich für eine dynamische VLAN-Zuordnung, im Radius-Server den Switch hinzufügen und zwei Gruppen erzeugen.
Eins mit Benutzer-Account und das andere per MAC-Authentifizierung.

Nun zur ersten Frage.
Wie soll ich die Switche am besten konfigurieren?

Auf beide Switche die VLANs anlegen, sowie die Verbindung zum Radius-Server und anschließend die Inferfaces konfigurieren/trunk anlegen oder gibt es eine bessere Möglichkeit/Sicherheit?

Weitere Infos auf dem Bild.

Bedanke mich schon mal für Ideen und Anregungen face-smile
rack
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 564654

Url: https://administrator.de/contentid/564654

Ausgedruckt am: 26.11.2024 um 11:11 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
tech-flare
tech-flare 12.04.2020 um 23:07:30 Uhr
Goto Top
Hardware:
HPE Aruba 3810M 48G PoE+ Bundle 1050 W LAYER 3
HPE Aruba 2540 48G PoE+ 4SFP+ Switch LAYER 2


So wie ich es verstanden habe muss ich für eine dynamische VLAN-Zuordnung, im Radius-Server den Switch hinzufügen und zwei Gruppen erzeugen.
Eins mit Benutzer-Account und das andere per MAC-Authentifizierung.
Kommt drauf an....was setzt du denn als Radius Server ein?
Du kannst z.b. auch PacketFence (beinhaltet ein Radius Server + vieles mehr) einsetzen....da ist alles an Board und die neue Clients tauchen dort automatisch auf bzw. kannst du sie auch importieren.
Aber.....Viele wegen führen nach Rom.


Nun zur ersten Frage.
Wie soll ich die Switche am besten konfigurieren?
Auf beide Switche die VLANs anlegen, sowie die Verbindung zum Radius-Server und anschließend die Inferfaces konfigurieren/trunk anlegen oder gibt es eine bessere Möglichkeit/Sicherheit?
Als erstes natürliches alle VLAN und die Trunks, damit die Verbindung besteht.....dann die Verbindung zum Radius Server.....und dann weiter gemäß Handbuch vom Hersteller.

Weitere Infos auf dem Bild.
Das soll uns jetzt was sagen?
aqui
aqui 13.04.2020 aktualisiert um 11:44:59 Uhr
Goto Top
So wie ich es verstanden habe muss ich für eine dynamische VLAN-Zuordnung, im Radius-Server den Switch hinzufügen
Das hast du absolut richtig verstanden ! Der Switch (oder auch AP im WLAN) ist der Authenticator. Guckst du auch hier:
https://de.wikipedia.org/wiki/IEEE_802.1X
Wie soll ich die Switche am besten konfigurieren?
https://support.hpe.com/hpesc/public/docDisplay?docId=a00091309en_us
Kapitel 25 Lesen und verstehen... face-wink
Als Beispiel findest du unten in den Tutorials wasserdicht funktionierende Konfigs für Ruckus ICX Switches und Cisco Catalyst Switches.

Diese Tutorials sollten alle deine Fragen zu dem Thema umfassend beantworten. Wie immer: Lesen und Verstehen ! face-wink
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Das soll uns jetzt was sagen?
Stimmt ! Den Sinn des Bildes, was ja mit dem Thema gar nichts zu tun hat, erschliesst sich nicht wirklich ?!
borjia
borjia 13.04.2020 um 13:03:23 Uhr
Goto Top
Kommt drauf an....was setzt du denn als Radius Server ein?

Ich dachte das der Radius Server vom Servermanager würde reichen und das ich keine zusätzlich Software benötige.

Das soll uns jetzt was sagen?

Hatte anfangs vor die Switche Portbasiert zu konfigurieren. Der 3810 M als Core-Switch.

Danke schon mal für die Infos

Diese Tutorials sollten alle deine Fragen zu dem Thema umfassend beantworten. Wie immer: Lesen und Verstehen !
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Werde es durchlesen
aqui
aqui 13.04.2020 aktualisiert um 13:14:08 Uhr
Goto Top
Ich dachte das der Radius Server vom Servermanager würde reichen und das ich keine zusätzlich Software benötige.
Du brauchst nur irgendeinen Radius Server irgendwo. Welcher das ist ob FreeRadius, Windows NPS oder dein "Servermanager" spielt keinerlei Rolle. Radius ist Radius !
Hatte anfangs vor die Switche Portbasiert zu konfigurieren. Der 3810 M als Core-Switch.
OK auf dem Core machst du ja normal keine 802.1x Port Authentisierung. Sowas macht man in der Regel ja einzig im Access Bereich, also auf den oberen Switches wenn man mal von einem simplen Allerwelts Design wie dem folgenden ausgeht. Im Access gilt es ja unbefugten Zugriff zu verhindern und den Clients dynamisch die VLANs zuzuweisen in die sie auch sollen.

stackdesign
borjia
borjia 13.04.2020 um 21:35:32 Uhr
Goto Top
Ich habe mich für konfiguration von statischen VLANs entschieden. Passt die Konfiguration von den Switchen, vor allem mit dem tagging?

Core-Switch 3810M:

interface 1
name "Clients X"
exit

snmp-server community "public" operator
snmp-server contact "..." location "Serverraum"
oobm
ip address dhcp-bootp
exit
vlan 99
name "Management"
tagged 1-3
ip address 192.168.x.x 255.255.255.0
ip helper-address 192.168.x.x
exit
vlan 10
name "Clients-Außenstelle"
tagged 1-3
ip address 10.2.10.1 255.255.255.0
ip helper-address 192.168.x.x
exit
vlan 50
name "WLAN"
tagged 1-3
ip address 10.2.50.1 255.255.255.0
ip helper-address 192.168.x.x
exit
vlan 254
name "GATEWAY"
tagged 1
ip address 192.168.x.x 255.255.255.0
exit
vlan 80
name "Kamera"
tagged 1-3
ip address 10.2.80.1 255.255.255.0
ip helper-address 192.168.x.x
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1-16
no ip address
exit
primary-vlan 99
spanning-tree

2510:

vlan 10
name "Clients-Außenstelle"
untagged 1-40
tagged 49-52
no ip address
exit
vlan 50
name "WLAN"
tagged 41-52
no ip address
exit
vlan 99
name "Management"
untagged 41-48
tagged 49-52
ip address 192.168.x.x 255.255.255.0
exit
vlan 80
name "Kamera"
tagged 49-52
no ip address
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1-52
no ip address
exit
primary-vlan 99
spanning-tree
status
aqui
Lösung aqui 14.04.2020 um 09:02:18 Uhr
Goto Top
Ich habe mich für konfiguration von statischen VLANs entschieden.
Wie langweilig !!
Passt die Konfiguration von den Switchen
Ja passt alles !

Case closed !
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
borjia
borjia 15.04.2020 um 16:25:37 Uhr
Goto Top
Noch zweiFrage.
Am Switch habe ich noch einen "Aruba X372 54VDC 105W PS" eingesteckt und er wird auch mit dem Befehl "show stacking" angezeigt, trotzdem blinckt am Switch der Status Back.

Desweiteren kann ich keinen Port auswählen. Hab auf den nachfolgend Bildern sieht man die Meldung.
tagged
showinterface
gelöstFrageNetzwerke
Mehr von borjiaborjiaHyper-V- Managerborjia - 16 KommentareborjiaWindows Server 2016 einrichtenborjia - 36 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 16 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareStefanKittelWarum machen Leute eigentlich einen Job von dem sie keine Ahnung haben?StefanKittel - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareEnrixkHilfe bei Netzwerkinfrastruktur für AbschlussprojektEnrixk - 12 Kommentare