26
Neues Netzwerk 10 GBit VMware und VLAN mit IEEE 802.1X Microsoft NAP
Planung neues Netzwerk
Hallo,
ich plane ein neues Netzwerk, könnt ihr mir da ein wenig weiterhelfen und beurteilen ob das alles so funktioniert
oder evtl. es auch eine bessere Variante gibt. Zum einen sollte es schneller werden und die Broadcast Domainen sollen den Broadcast eindämmen
und zum zweiten sollte das Netz sicherer werden, auch wegen Gast WLANs und Externen Geräten die sich bei uns immer im Netzwerk aufhalten.
Folgendes ist geplant. Wir schaffen uns eine Core Switch von HP E5406zl an.
Mit den ganzen Modulen die wir brauchen. Die Konstruktionshalle / Halle 6 (30 CAD Arbeitsplätze) werden mit 10GBit Netzwerk angefahren sowie die zwei VMware Server.
Dort wird jeweils eine 10GBit NIC direkt zum Fileserver durchgeschleift (VMDirectPath I/O) da sonst keine 10GBit direkt am Fileserver ankommen.
Zur Zeit hat unserer Fileserver auch schon 10GBit und ist deshalb als einziger nicht Virtualisiert, was sich hiermit ändern würde.
Es würd ein Backup Server ausgelagert. Falls eine Halle abbrennt haben wir die Daten immernoch in einer anderen Halle.
Desweiteren haben wir zur Zeit nur ein Subnetz 192.168.1.0, mit ca 100 PCs und 12 Server usw.
Hier ist der Broadcast extrem hoch.
Deshalb würde ich in Zukunft alle Bereiche unterteile in VLAN´s und die VLAN Zuordnung mit dem Microsoft NAP / IAS erledigen.
Die Core Switch E5406zl soll das Unterstützen (IEEE 802.1X). Alle anderen Switche in den einzelnen Halle werden durch HP ProCorve 2824 / 2848 ersetzt.
Somit habe ich eine einheitliche Umgebung auch für dynamische VLAN Zuordnung. Routing würde dann auch die HP 5406zl erledigen und die VLAN´s mit den Server verbinden.
Es müsste so überall die VLAN ID Zuordnung funktionieren, so wies ich gelesen habe. Switch 5406zl müsste dann immer beim Radius NAP Server anfragen und überprüfen ob es den User gibt und ihn ins richtige VLAN einloggen, falls nicht komm er ins Qurantäne Netzwerk wo er nur ins Internet darf.
Drucker usw. kann ich wohl über die MAC-Adresse dann dem richtigen VLAN zuordnen lassen, wenn ich in der Active Directory einen User mit der MAC Adresse anlege.
Wenn sich externe PC´s ins Netzwerk übers WLAN einloggen, landen Sie in einem separaten Netzwerk wo Sie nur ins Internet gehen können.
Da das für mich Neuland ist mit den VLAN Zuordnungen und dem Microsoft NAP Server,
frage ich euch. Funktioniert das nachher so alles? Oder hab ich da was gravierendes vergessen?
Ausserdem zu dem VMware Thema, so wie ich das verstanden habe, kann ich nur die 10GBit NIC direkt durchschleifen zum Windows 2008 FileServer, damit 10GBit für den Fileserver voll ausgenutzt werden kann. Oder kann man auch einfach dem VMware Server die 10Gbit zuordnen und allen VM´s auf dem Server die 10Gbit Netzwerk geben, und jeder Windows Server hat dann 10Gbit? Angeblich sollen die Server dann nur aufgeteilt 1GBit bekommen? (vShpere 5 Ess. Plus)
Netzwerk-Übersicht
VLAN Übersicht
Hallo,
ich plane ein neues Netzwerk, könnt ihr mir da ein wenig weiterhelfen und beurteilen ob das alles so funktioniert
oder evtl. es auch eine bessere Variante gibt. Zum einen sollte es schneller werden und die Broadcast Domainen sollen den Broadcast eindämmen
und zum zweiten sollte das Netz sicherer werden, auch wegen Gast WLANs und Externen Geräten die sich bei uns immer im Netzwerk aufhalten.
Folgendes ist geplant. Wir schaffen uns eine Core Switch von HP E5406zl an.
Mit den ganzen Modulen die wir brauchen. Die Konstruktionshalle / Halle 6 (30 CAD Arbeitsplätze) werden mit 10GBit Netzwerk angefahren sowie die zwei VMware Server.
Dort wird jeweils eine 10GBit NIC direkt zum Fileserver durchgeschleift (VMDirectPath I/O) da sonst keine 10GBit direkt am Fileserver ankommen.
Zur Zeit hat unserer Fileserver auch schon 10GBit und ist deshalb als einziger nicht Virtualisiert, was sich hiermit ändern würde.
Es würd ein Backup Server ausgelagert. Falls eine Halle abbrennt haben wir die Daten immernoch in einer anderen Halle.
Desweiteren haben wir zur Zeit nur ein Subnetz 192.168.1.0, mit ca 100 PCs und 12 Server usw.
Hier ist der Broadcast extrem hoch.
Deshalb würde ich in Zukunft alle Bereiche unterteile in VLAN´s und die VLAN Zuordnung mit dem Microsoft NAP / IAS erledigen.
Die Core Switch E5406zl soll das Unterstützen (IEEE 802.1X). Alle anderen Switche in den einzelnen Halle werden durch HP ProCorve 2824 / 2848 ersetzt.
Somit habe ich eine einheitliche Umgebung auch für dynamische VLAN Zuordnung. Routing würde dann auch die HP 5406zl erledigen und die VLAN´s mit den Server verbinden.
Es müsste so überall die VLAN ID Zuordnung funktionieren, so wies ich gelesen habe. Switch 5406zl müsste dann immer beim Radius NAP Server anfragen und überprüfen ob es den User gibt und ihn ins richtige VLAN einloggen, falls nicht komm er ins Qurantäne Netzwerk wo er nur ins Internet darf.
Drucker usw. kann ich wohl über die MAC-Adresse dann dem richtigen VLAN zuordnen lassen, wenn ich in der Active Directory einen User mit der MAC Adresse anlege.
Wenn sich externe PC´s ins Netzwerk übers WLAN einloggen, landen Sie in einem separaten Netzwerk wo Sie nur ins Internet gehen können.
Da das für mich Neuland ist mit den VLAN Zuordnungen und dem Microsoft NAP Server,
frage ich euch. Funktioniert das nachher so alles? Oder hab ich da was gravierendes vergessen?
Ausserdem zu dem VMware Thema, so wie ich das verstanden habe, kann ich nur die 10GBit NIC direkt durchschleifen zum Windows 2008 FileServer, damit 10GBit für den Fileserver voll ausgenutzt werden kann. Oder kann man auch einfach dem VMware Server die 10Gbit zuordnen und allen VM´s auf dem Server die 10Gbit Netzwerk geben, und jeder Windows Server hat dann 10Gbit? Angeblich sollen die Server dann nur aufgeteilt 1GBit bekommen? (vShpere 5 Ess. Plus)
Netzwerk-Übersicht
VLAN Übersicht
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 172182
Url: https://administrator.de/contentid/172182
Ausgedruckt am: 19.11.2024 um 00:11 Uhr
26 Kommentare
Neuester Kommentar
HP ProCorve 2824 / 2848
Das sind Auslaufmodelle, die es längst nicht mehr gibt?!
falls nicht komm er ins Qurantäne Netzwerk wo er nur ins Internet darf.
Kann man machen, man sollte sich aber immer im klaren sein, dass 802.1x in kabelgebundenen Netzwerkken keine Sicherheitsfunktion ist!
Da das für mich Neuland ist mit den VLAN Zuordnungen und dem Microsoft NAP Server,
Jo.
Aber warum überhaupt so kompliziert?
Nach deinem Bild sehe ich keinen Grund eine dynamische VLAN-Zuweisung zu machen.
Sowas ist für Laptops oder Computer mit ständig wechselnden Benutzern gedacht.
Danke für deine Antwort.
Ok dann den Nachfolger der 2824 Switch
Wie meinst so kompliziert?
wie könnte man es besser machen. Es gibt Personen mit Laptops die wechseln die Hallen und Besprechungszimmer in denen WLAN ist.
Deshalb sollten Sie dann auch ins richtige VLAN zugeordnet werden. Wenn sich ein Gast im WLAN anmeldet sollte er in ein extra VLAN kommen wo er nur ins Internet kommt.
Oder wenn sich sonst irgendwo jemand sich in eine Patchdose einsteckt, und nicht bekannt ist.
Was gibts da für bessere Lösungen?
Ok dann den Nachfolger der 2824 Switch
Wie meinst so kompliziert?
wie könnte man es besser machen. Es gibt Personen mit Laptops die wechseln die Hallen und Besprechungszimmer in denen WLAN ist.
Deshalb sollten Sie dann auch ins richtige VLAN zugeordnet werden. Wenn sich ein Gast im WLAN anmeldet sollte er in ein extra VLAN kommen wo er nur ins Internet kommt.
Oder wenn sich sonst irgendwo jemand sich in eine Patchdose einsteckt, und nicht bekannt ist.
Was gibts da für bessere Lösungen?
Abgesehen davon das man von HP als Hersteller bei Core Switches besser ganz die Finger lassen sollte (es gibt eine Reihe anderer die das erheblich besser können und erheblich bessere VM Features haben auf der Netzhardware !) ist dein Konzept soweit OK und wird auch funktionieren.
Zur dynamischen VLAN Zuordnung bei Login und 802.1x findest du diverse Tutorials hier.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
bzw.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Zur dynamischen VLAN Zuordnung bei Login und 802.1x findest du diverse Tutorials hier.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
bzw.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Hallo,
das einzige wo drüber du dir evtl noch Gedanken machen solltest , ist die Anbinundg der Hallen 7 und 8.
Du kaskadierst hier Switche, denm die Halle 7 und 8 ist über den Switch der Halle 4 angebunden.
Da würde ich an deiner Stelle ein eigenständige Anbindung an den Core Switch überlegen.
Sonst hast du an der Stelle ein Bottleneck.
Ist halt die Frage wieviel Traffic über den Switch der Halle 4 geht und wieviel von Halle 7 und 8.
brammer
das einzige wo drüber du dir evtl noch Gedanken machen solltest , ist die Anbinundg der Hallen 7 und 8.
Du kaskadierst hier Switche, denm die Halle 7 und 8 ist über den Switch der Halle 4 angebunden.
Da würde ich an deiner Stelle ein eigenständige Anbindung an den Core Switch überlegen.
Sonst hast du an der Stelle ein Bottleneck.
Ist halt die Frage wieviel Traffic über den Switch der Halle 4 geht und wieviel von Halle 7 und 8.
brammer
Zitat von @aqui:
Abgesehen davon das man von HP als Hersteller bei Core Switches besser ganz die Finger lassen sollte (es gibt eine Reihe anderer
die das erheblich besser können und erheblich bessere VM Features haben auf der Netzhardware !) ist dein Konzept soweit OK
und wird auch funktionieren.
Zur dynamischen VLAN Zuordnung bei Login und 802.1x findest du diverse Tutorials hier.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
bzw.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Abgesehen davon das man von HP als Hersteller bei Core Switches besser ganz die Finger lassen sollte (es gibt eine Reihe anderer
die das erheblich besser können und erheblich bessere VM Features haben auf der Netzhardware !) ist dein Konzept soweit OK
und wird auch funktionieren.
Zur dynamischen VLAN Zuordnung bei Login und 802.1x findest du diverse Tutorials hier.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
bzw.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
da stimme ich Aqui voll und ganz zu - bei der 10Gbit Technik bist bei HP falsch (und vorallem im Core-Bereich), denn dadurch werden die Geräte sehr teuer, da kannst du dann auch auf Cisco oder Brocade zurückgreifen, die werden dann sogar in der Summe (mit der 10Gb Technik) günstiger wie HP und liefern weitaus mehr Leistung und Features wie die HP Dinger (die mittlerweise bei uns nach und nach rausfliegen)
Spätestens wenn du dir die technischen Daten der Switch anschaust, wirst du merken, dass die HP Kisten bei voller bestückung garnicht die Backplane haben und alles zu bedienen, das schaffen die einfach nicht (379 Gbit Backplane bei 144 Ports ... Brocade bei 48 Ports liefern 200 Gbit
- somit hast bei 96 Ports schon mehr Bandbreite zur Verfügung wie die gesamte HP Kiste kann).
Danke, ja bisher sitzen dort nur 3 Personen in einem Meisterbüro. Falls in Zukunft mehr geplant wird lege ich noch eine neue Leitung rüber was ich aber erstmal nicht glaube....
Zitat von @clSchak:
> Zitat von @aqui:
> ----
> Abgesehen davon das man von HP als Hersteller bei Core Switches besser ganz die Finger lassen sollte (es gibt eine Reihe
anderer
> die das erheblich besser können und erheblich bessere VM Features haben auf der Netzhardware !) ist dein Konzept soweit
OK
> und wird auch funktionieren.
> Zur dynamischen VLAN Zuordnung bei Login und 802.1x findest du diverse Tutorials hier.
> Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
> bzw.
> Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
>
da stimme ich Aqui voll und ganz zu - bei der 10Gbit Technik bist bei HP falsch (und vorallem im Core-Bereich), denn dadurch
werden die Geräte sehr teuer, da kannst du dann auch auf Cisco oder Brocade zurückgreifen, die werden dann sogar in der
Summe (mit der 10Gb Technik) günstiger wie HP und liefern weitaus mehr Leistung und Features wie die HP Dinger (die
mittlerweise bei uns nach und nach rausfliegen)
Spätestens wenn du dir die technischen Daten der Switch anschaust, wirst du merken, dass die HP Kisten bei voller
bestückung garnicht die Backplane haben und alles zu bedienen, das schaffen die einfach nicht (379 Gbit Backplane bei 144
Ports ... Brocade bei 48 Ports liefern 200 Gbit - somit hast bei 96 Ports schon mehr Bandbreite zur Verfügung wie die
gesamte HP Kiste kann).
> Zitat von @aqui:
> ----
> Abgesehen davon das man von HP als Hersteller bei Core Switches besser ganz die Finger lassen sollte (es gibt eine Reihe
anderer
> die das erheblich besser können und erheblich bessere VM Features haben auf der Netzhardware !) ist dein Konzept soweit
OK
> und wird auch funktionieren.
> Zur dynamischen VLAN Zuordnung bei Login und 802.1x findest du diverse Tutorials hier.
> Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
> bzw.
> Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
>
da stimme ich Aqui voll und ganz zu - bei der 10Gbit Technik bist bei HP falsch (und vorallem im Core-Bereich), denn dadurch
werden die Geräte sehr teuer, da kannst du dann auch auf Cisco oder Brocade zurückgreifen, die werden dann sogar in der
Summe (mit der 10Gb Technik) günstiger wie HP und liefern weitaus mehr Leistung und Features wie die HP Dinger (die
mittlerweise bei uns nach und nach rausfliegen)
Spätestens wenn du dir die technischen Daten der Switch anschaust, wirst du merken, dass die HP Kisten bei voller
bestückung garnicht die Backplane haben und alles zu bedienen, das schaffen die einfach nicht (379 Gbit Backplane bei 144
Ports ... Brocade bei 48 Ports liefern 200 Gbit
- somit hast bei 96 Ports schon mehr Bandbreite zur Verfügung wie diegesamte HP Kiste kann).
Komme ganz grob für die HP 5406zl mit den Module auf ca. 8000 Eur. Gut klar die 379 GBit sind nicht viel, aber für mich würden Sie ausreichen da ich nur weniges Port mit Voll-Last fahre und die 7 Hallen damit angebunden werden.
Denke des müsste für uns gut ausreichen. Vor Cisco hab ich seither immer die Finger gelassen, hatte vor kurzem mit zwei Cisco WLANs eine Brigde eingerichtet und fand das alleine schon mega kompliziert gelöst. Wie ist das dann mit den Cisco Switchen erst. Kam mit HP seither immer recht einfach zurecht. Oder gibt es da eine gute kostenlose Cisco Konfigurationssoftware? Vielleicht sollte ich mich einfach auch nur mit dem Thema Cisco mehr auseinandersetzen und auch auf Schulungen gehen.
Kenn sich vielleicht auch jemand zu dem VMware Thema aus? 10Gbit den VMClient zuweisen?
Ist jetzt hier ein wenig im falschen Thema Bereich..........
Ist jetzt hier ein wenig im falschen Thema Bereich..........
@schram....
Der HP5400er wäre das allerfalscheste was du dir in den Core stellen solltest !!! Dort sind die 10 GiG Interfaces kein Wirespeed sondern schaffen nur max 6 GiG also mal gerade die Hälfte im Durchsatz, da sie hoffnungslos überbucht sind ! Der 5400er ist ein simpler Edge Switch ohne Funktion und Performance.
Was aber viel schwerwiegender ist ist die Tatsache das das Teil nicht redundant ist. Das benutzt ein internes Taktungs und Information Modul (so nennt HP das..) was nicht redundant ist und auch nicht austauschbar ist. Tödlich für einen Core Switch.
Der 5400er ist selber laut HP ein "Edge" Switch. Sich so einen, gelinde gesagt, "Schrott" in den Core zu stellen ist fahrlässig und was die Performance angeht ja auch mehr als kontraproduktiv.
Wenn du HP Knecht bleiben willst dann musst du zwingend einen 8200er nehmen oder einen von dem neuen Huawei/H3C Mist den HP sich da zugekauft hat. Wie lange diese Modelle allerdings im HP Portfolio überleben steht in den Sternen !
Es bleibt dabei: Im Core ist HP Schrott und hat nichts Adäquates daher Finger weg. Andere Hersteller können das weitaus besser. Sieh also besser mal etwas über den Tellerrand wenn du was funktionierendes und performantes für den Netzwerk haben willst ! HP baut gute Server, PCs und Drucker aber im Netzwerk haben sie null Kompetenz und keine gute Hardware.
Der HP5400er wäre das allerfalscheste was du dir in den Core stellen solltest !!! Dort sind die 10 GiG Interfaces kein Wirespeed sondern schaffen nur max 6 GiG also mal gerade die Hälfte im Durchsatz, da sie hoffnungslos überbucht sind ! Der 5400er ist ein simpler Edge Switch ohne Funktion und Performance.
Was aber viel schwerwiegender ist ist die Tatsache das das Teil nicht redundant ist. Das benutzt ein internes Taktungs und Information Modul (so nennt HP das..) was nicht redundant ist und auch nicht austauschbar ist. Tödlich für einen Core Switch.
Der 5400er ist selber laut HP ein "Edge" Switch. Sich so einen, gelinde gesagt, "Schrott" in den Core zu stellen ist fahrlässig und was die Performance angeht ja auch mehr als kontraproduktiv.
Wenn du HP Knecht bleiben willst dann musst du zwingend einen 8200er nehmen oder einen von dem neuen Huawei/H3C Mist den HP sich da zugekauft hat. Wie lange diese Modelle allerdings im HP Portfolio überleben steht in den Sternen !
Es bleibt dabei: Im Core ist HP Schrott und hat nichts Adäquates daher Finger weg. Andere Hersteller können das weitaus besser. Sieh also besser mal etwas über den Tellerrand wenn du was funktionierendes und performantes für den Netzwerk haben willst ! HP baut gute Server, PCs und Drucker aber im Netzwerk haben sie null Kompetenz und keine gute Hardware.
Zitat von @aqui:
@schram....
Der HP5400er wäre das allerfalscheste was du dir in den Core stellen solltest !!! Dort sind die 10 GiG Interfaces kein
Wirespeed sondern schaffen nur max 6 GiG also mal gerade die Hälfte im Durchsatz, da sie hoffnungslos überbucht sind !
Der 5400er ist ein simpler Edge Switch ohne Funktion und Performance.
Was aber viel schwerwiegender ist ist die Tatsache das das Teil nicht redundant ist. Das benutzt ein internes Taktungs und
Information Modul (so nennt HP das..) was nicht redundant ist und auch nicht austauschbar ist. Tödlich für einen Core
Switch.
Der 5400er ist selber laut HP ein "Edge" Switch. Sich so einen, gelinde gesagt, "Schrott" in den Core zu
stellen ist fahrlässig und was die Performance angeht ja auch mehr als kontraproduktiv.
Wenn du HP Knecht bleiben willst dann musst du zwingend einen 8200er nehmen oder einen von dem neuen Huawei/H3C Mist den HP sich
da zugekauft hat. Wie lange diese Modelle allerdings im HP Portfolio überleben steht in den Sternen !
Es bleibt dabei: Im Core ist HP Schrott und hat nichts Adäquates daher Finger weg. Andere Hersteller können das weitaus
besser. Sieh also besser mal etwas über den Tellerrand wenn du was funktionierendes und performantes für den Netzwerk
haben willst ! HP baut gute Server, PCs und Drucker aber im Netzwerk haben sie null Kompetenz und keine gute Hardware.
@schram....
Der HP5400er wäre das allerfalscheste was du dir in den Core stellen solltest !!! Dort sind die 10 GiG Interfaces kein
Wirespeed sondern schaffen nur max 6 GiG also mal gerade die Hälfte im Durchsatz, da sie hoffnungslos überbucht sind !
Der 5400er ist ein simpler Edge Switch ohne Funktion und Performance.
Was aber viel schwerwiegender ist ist die Tatsache das das Teil nicht redundant ist. Das benutzt ein internes Taktungs und
Information Modul (so nennt HP das..) was nicht redundant ist und auch nicht austauschbar ist. Tödlich für einen Core
Switch.
Der 5400er ist selber laut HP ein "Edge" Switch. Sich so einen, gelinde gesagt, "Schrott" in den Core zu
stellen ist fahrlässig und was die Performance angeht ja auch mehr als kontraproduktiv.
Wenn du HP Knecht bleiben willst dann musst du zwingend einen 8200er nehmen oder einen von dem neuen Huawei/H3C Mist den HP sich
da zugekauft hat. Wie lange diese Modelle allerdings im HP Portfolio überleben steht in den Sternen !
Es bleibt dabei: Im Core ist HP Schrott und hat nichts Adäquates daher Finger weg. Andere Hersteller können das weitaus
besser. Sieh also besser mal etwas über den Tellerrand wenn du was funktionierendes und performantes für den Netzwerk
haben willst ! HP baut gute Server, PCs und Drucker aber im Netzwerk haben sie null Kompetenz und keine gute Hardware.
Hab mir jetzt auch die HP E8200 angeschaut, würde auch noch vom Preis her gehen......
Ok glaube euch, dann schau ich jetzt mal über den Tellerrand hinaus.
Was könnt ihr mit empfehlen was ungefähr in der Preisklasse liegt und zu unserem Netzwerk passt?
Cisco? Welche Switch? Catalyst 4500? 6500? oder was anderes? Brache Layer 3 und 802.1x
DANKE!!!
Ja, Cisco 4500 (10 GiG Stackable 4900), Brocade SX-800 (Stackable VDX Serie, TurboIron-24), Extreme X480, X670 usw. usw. DAS wäre so das worauf du achten solltest...
Layer3 und 802.1x können die alle von Haus aus schon...ist ja kein HP !
Layer3 und 802.1x können die alle von Haus aus schon...ist ja kein HP !
Brocade FCX648S (haben wir hier im Einsatz) - vom Preis her gut und von der Leistung auch, davon dann zwei oder drei im Stack und alles ist im grünen Bereich, für die Access Seite tausche ich momentan alle 2510G-xx gegen Brocade FWS648G/FWS624G aus.
Und du kannst dort auch dritt-Anbieter Module von anderen LWL Herstellern einbauen, was die Gesamtkosten der Projektes reduziert.
Und du kannst dort auch dritt-Anbieter Module von anderen LWL Herstellern einbauen, was die Gesamtkosten der Projektes reduziert.
Es wird jetzt wahrscheinlich eine IBM BNT RackSwitch G8124
http://www.redbooks.ibm.com/abstracts/tips0787.html
Sowie ich das sehe ist das kein Problem mit dem RADIUS und NAP Server / Der VLAN Zuordnung.
Einzige Frage wäre nur noch:
Woran erkenn ich ob die Switch einen MAC Adressen fallback macht wenn das Gerät (z.B. Drucker) keine 802.1X Anmeldung unterstützt.
Wie Ordne ich solche Geräte zu? Bei den HP Switche hatte ich gelesen, dass man in der Active Directory als Benutzer und Passwort die MAC Adresse anlegt. Funktioniert das bei dieser Switch auch?
http://www.redbooks.ibm.com/abstracts/tips0787.html
Sowie ich das sehe ist das kein Problem mit dem RADIUS und NAP Server / Der VLAN Zuordnung.
Einzige Frage wäre nur noch:
Woran erkenn ich ob die Switch einen MAC Adressen fallback macht wenn das Gerät (z.B. Drucker) keine 802.1X Anmeldung unterstützt.
Wie Ordne ich solche Geräte zu? Bei den HP Switche hatte ich gelesen, dass man in der Active Directory als Benutzer und Passwort die MAC Adresse anlegt. Funktioniert das bei dieser Switch auch?
Da musst du zwingend in das Datenblatt zu diesem Switch sehen ! Das ist ein Switch der ex Firma Blade Networks die IBM aufgekauft hat. Die Blade Switches sind reine dummer Layer 2 Switches fürs Data Center. Meist bringen die nur einen eingeschränkten Featureset mit also prüfe das besser sehr genau.
IBM hat keinerlei eigene Netzwerk Hardware sondern nur einen Zoo von zugekauften oder OEMten Netzwerk Produkten (Blade, Cisco, Brocade, Juniper) entsprechend mies ist auch deren Support und Produkt Weiterentwicklung. Bei einer "Behörde" wie IBM so oder so....
Du solltest dir also wohlweislich überlegen ob du auf so einen Exot setzt. Gerade bei den erhöhten erforderlichen 802.1x Anforderungen die du hast !!
IBM hat keinerlei eigene Netzwerk Hardware sondern nur einen Zoo von zugekauften oder OEMten Netzwerk Produkten (Blade, Cisco, Brocade, Juniper) entsprechend mies ist auch deren Support und Produkt Weiterentwicklung. Bei einer "Behörde" wie IBM so oder so....
Du solltest dir also wohlweislich überlegen ob du auf so einen Exot setzt. Gerade bei den erhöhten erforderlichen 802.1x Anforderungen die du hast !!
Hallo,
wenn ich die etwas chaotischen Angaben von IBM zu ihren Geräte Zoo lese wird der Switch wohl eher als Access und nicht als Core Switch vorgesehen.
Was spricht den gegen einen Cisco 4900?
Die liegen in der selben Preiskategorie, können mehr und der Support ist um Klassen besser.
brammer
wenn ich die etwas chaotischen Angaben von IBM zu ihren Geräte Zoo lese wird der Switch wohl eher als Access und nicht als Core Switch vorgesehen.
Was spricht den gegen einen Cisco 4900?
Die liegen in der selben Preiskategorie, können mehr und der Support ist um Klassen besser.
brammer
Ok würde dann den Cisco Catalyst 4900M weil der Cisco ME 4924-10GE keine SFP+ Ports hat (auch ca. 8000-9000 EUR)
Aber jetzt fällt mir auf das der 4900M wieder keine normalen SFP Ports hat, da brauch ich 8 Stück damit ich die Hallen mir 1GBIT SX Modulen anfahren kann.
Müsste dann aus zwei bis drei X2 Ports den oneXconverter auf SPF+ verwenden oder 10GBASE-T Module hinzufügen.
weil ich die VMWare Server direkt verbinden möchte mit dem SPF+ 10GBit Kupfer Kabel, das Spart Geld.
und 1x X2 10GBit brauche ich für die Halle 6, aber den Supportet die Switch.
Oder gibts ne bessere Möglichkeit? Danke für eure Unterstützung
Von der VLAN Seite her kann Cisco wohl alles......
Advanced Security
• TACACS+ and RADIUS, which enable centralized control of the switch and restrict unauthorized users from altering the configuration
• 802.1x RADIUS-supplied timeout
• Standard and extended ACLs on all ports
• 802.1x user authentication (with VLAN assignment, port security, voice VLAN, and guest VLAN extensions)
• 802.1x accounting
• 802.1x authentication failure
• 802.1x Private VLAN assignment
• 802.1x Private Guest VLAN
• VLAN ACLs (VACLs)
• Port ACLs (PACLs)
• PVLANs on access and trunk ports
• 802.1x Inaccessible Authentication Bypass
• MAC Authentication Bypass
If the IEEE 802.1x authentication succeeds, the switch grants the client access to the LAN.
If IEEE 802.1x authentication times out while waiting for an EAPOL message exchange and MAC authentication bypass is enabled, the switch can use the client MAC address for authorization. If the client MAC address is valid and the authorization succeeds, the switch grants the client access to the network. If the client MAC address is invalid and the authorization fails, the switch assigns the client to a guest VLAN that provides limited services, if a guest VLAN is configured.
If the IEEE 802.1x authentication fails and a restricted VLAN is configured, the switch assigns the client to a restricted VLAN that provides limited services.
If the authentication server does not respond and inaccessible authentication bypass is enabled, the switch grants the client access to the network by putting the port in the critical-authentication state in the RADIUS-configured or the user-specified access VLAN.
3.3 VLAN assignment
When configured on the switch and on the RADIUS server, VLAN assignment works as follows:
If no VLAN is supplied by the RADIUS server, the port is configured in its access VLAN.
If the IEEE 802.1x authentication is enabled but the VLAN information from the RADIUS server is not valid, the port returns to the unauthorized state and remains in the configured access VLAN.
If the IEEE 802.1x authentication is enabled and VLAN information from the RADIUS server is valid, the port is configured in the RADIUS server specified VLAN.
If the IEEE 802.1x authentication is disabled on the port, it is returned to the configured access VLAN.
The IEEE 802.1x authentication with VLAN assignment feature is not supported on trunk ports, dynamic ports, or with dynamic-access port assignment through a VLAN Membership Policy Server (VMPS). If we want to use RADIUS server VLAN assignment, server must return these attributes:
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID = VLAN ID
Aber jetzt fällt mir auf das der 4900M wieder keine normalen SFP Ports hat, da brauch ich 8 Stück damit ich die Hallen mir 1GBIT SX Modulen anfahren kann.
Müsste dann aus zwei bis drei X2 Ports den oneXconverter auf SPF+ verwenden oder 10GBASE-T Module hinzufügen.
weil ich die VMWare Server direkt verbinden möchte mit dem SPF+ 10GBit Kupfer Kabel, das Spart Geld.
und 1x X2 10GBit brauche ich für die Halle 6, aber den Supportet die Switch.
Oder gibts ne bessere Möglichkeit? Danke für eure Unterstützung
Von der VLAN Seite her kann Cisco wohl alles......
Advanced Security
• TACACS+ and RADIUS, which enable centralized control of the switch and restrict unauthorized users from altering the configuration
• 802.1x RADIUS-supplied timeout
• Standard and extended ACLs on all ports
• 802.1x user authentication (with VLAN assignment, port security, voice VLAN, and guest VLAN extensions)
• 802.1x accounting
• 802.1x authentication failure
• 802.1x Private VLAN assignment
• 802.1x Private Guest VLAN
• VLAN ACLs (VACLs)
• Port ACLs (PACLs)
• PVLANs on access and trunk ports
• 802.1x Inaccessible Authentication Bypass
• MAC Authentication Bypass
If the IEEE 802.1x authentication succeeds, the switch grants the client access to the LAN.
If IEEE 802.1x authentication times out while waiting for an EAPOL message exchange and MAC authentication bypass is enabled, the switch can use the client MAC address for authorization. If the client MAC address is valid and the authorization succeeds, the switch grants the client access to the network. If the client MAC address is invalid and the authorization fails, the switch assigns the client to a guest VLAN that provides limited services, if a guest VLAN is configured.
If the IEEE 802.1x authentication fails and a restricted VLAN is configured, the switch assigns the client to a restricted VLAN that provides limited services.
If the authentication server does not respond and inaccessible authentication bypass is enabled, the switch grants the client access to the network by putting the port in the critical-authentication state in the RADIUS-configured or the user-specified access VLAN.
3.3 VLAN assignment
When configured on the switch and on the RADIUS server, VLAN assignment works as follows:
If no VLAN is supplied by the RADIUS server, the port is configured in its access VLAN.
If the IEEE 802.1x authentication is enabled but the VLAN information from the RADIUS server is not valid, the port returns to the unauthorized state and remains in the configured access VLAN.
If the IEEE 802.1x authentication is enabled and VLAN information from the RADIUS server is valid, the port is configured in the RADIUS server specified VLAN.
If the IEEE 802.1x authentication is disabled on the port, it is returned to the configured access VLAN.
The IEEE 802.1x authentication with VLAN assignment feature is not supported on trunk ports, dynamic ports, or with dynamic-access port assignment through a VLAN Membership Policy Server (VMPS). If we want to use RADIUS server VLAN assignment, server must return these attributes:
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID = VLAN ID
Ja, der kann das ! Alternative bei annähernd gleichem Preis wäre z.B. ein Brocade TurboIron 24 der hat 24 SFP+ und SFP Combo Ports mit full Layer 3 und bietet dir da etwas mehr Flexibilität in Bezug auf die SFP+ Ports. Analog Extreme X650 oder X670.
Die 802.1x Konfig ist bei fast allen Switches mit Cisco gleichem Kommandoset identisch da sie auch das gleiche CLI haben.
Als Beispiel für eine .1x Konfig dient dir das Tutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Die 802.1x Konfig ist bei fast allen Switches mit Cisco gleichem Kommandoset identisch da sie auch das gleiche CLI haben.
Als Beispiel für eine .1x Konfig dient dir das Tutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Hätte eigentlich gern den Cisco Nexus 5000 der hat auch SFP+ Ports....weil die die Catalysts ablösen.
aber der ist wohl noch nicht so ganz ausgereift und kann die Funktionen wie z.B. 802.1x noch garnicht. Steht immer in Zukunft dahinter.
Jetzt wird es wohl der Brocade TurboIron 24
Danke
aber der ist wohl noch nicht so ganz ausgereift und kann die Funktionen wie z.B. 802.1x noch garnicht. Steht immer in Zukunft dahinter.
Jetzt wird es wohl der Brocade TurboIron 24
Danke
Ja, der Nexus 5k ist ein reiner Data Center Switch rein für Layer 2 und DCB Umgebungen gedacht. Ist mehr oder weniger vergleichbar mit dem Brocade VDX. Im RZ direkt spielt Security da nicht so die Rolle.....leider, noch.
Mit dem TI-24 bist du aber gut beraten, der hat ja auch SFP+ Ports und alles das was du willst. Kommt mit Full Layer 3 wie OSPF und dem ganzen Schnickschnack für das du nix extra bezahlen musst. .1x mit deine Anforderungen supportet der alles problemlos ! Hat genau die gleiche Kommandooberfläche wie HP und Cisco.
Außerdem sind die wie andere auch von MS certified was NAP und Port Security angeht und damit auch von MS direkt zertifiziert.
Mit dem TI-24 bist du aber gut beraten, der hat ja auch SFP+ Ports und alles das was du willst. Kommt mit Full Layer 3 wie OSPF und dem ganzen Schnickschnack für das du nix extra bezahlen musst. .1x mit deine Anforderungen supportet der alles problemlos ! Hat genau die gleiche Kommandooberfläche wie HP und Cisco.
Außerdem sind die wie andere auch von MS certified was NAP und Port Security angeht und damit auch von MS direkt zertifiziert.
Zitat von @schramlschnaith:
Kenn sich vielleicht auch jemand zu dem VMware Thema aus? 10Gbit den VMClient zuweisen?
Ist jetzt hier ein wenig im falschen Thema Bereich..........
Kenn sich vielleicht auch jemand zu dem VMware Thema aus? 10Gbit den VMClient zuweisen?
Ist jetzt hier ein wenig im falschen Thema Bereich..........
zum VMware Thema, hier bauen wir jetzt in jeden VM Server zwei 10 Gbit Netzwerkkarten ein,
eine für die VMware Clients und die zweite wird direkt durchgemappt zum Fileserver....
Da bist du auf dem richtigen Weg...
Wenns das nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenns das nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
wollt mich jetzt mal noch melden, nachdem eigentlich schon das meiste läuft.
Erstmal dir Aqui vielen vielen dank für die umfangreiche Unterstützung!
Das Netzwerk läuft jetzt perfekt, die Brocade Turboiron ist extrem schnell und bindet meine 3 VMware Server jetzt mit jeweils 2x 10Gbit an. Genial.
Cool ist auch das alle Glasfaser Module von anderen Marken funktionieren.
2 extra 10 GBit Leitungen werden direkt zum Fileserver mit Passtrouth zum VMware Client durchgepatched. Läuft super.
Das Netzwerk ist jetzt mega schnell geworden, das merkt man auch wenn man mit Datenbanken usw. arbeitet.
VLAN´s laufen jetzt alle und eine Halle habe ich schon mit 802.1X angebunden. Routing funktioniert einwandfrei......
Wenn einmal alles eingerichtet ist und der Microsoft NAP Server die Drucker usw. sauber erkennt ist das jetzt perfekt. Keine unbefugten User mehr die mal kurz eine IP Adresse vergeben und meine Server blockieren können.
Jetzt muss ich nur noch meine WLAN AccessPoint und die anderen Hallen auf 802.1X umstellen.
In Zukunft kauf ich nur noch Brocade, klappt super und die tun sauber ihre dienste.
Einfach perfekt, gut das mich Aqui überzeugt hat keine HP dinger mehr zu kaufen und auf Brocade zu setzen.....
Gruß Philipp
Erstmal dir Aqui vielen vielen dank für die umfangreiche Unterstützung!
Das Netzwerk läuft jetzt perfekt, die Brocade Turboiron ist extrem schnell und bindet meine 3 VMware Server jetzt mit jeweils 2x 10Gbit an. Genial.
Cool ist auch das alle Glasfaser Module von anderen Marken funktionieren.
2 extra 10 GBit Leitungen werden direkt zum Fileserver mit Passtrouth zum VMware Client durchgepatched. Läuft super.
Das Netzwerk ist jetzt mega schnell geworden, das merkt man auch wenn man mit Datenbanken usw. arbeitet.
VLAN´s laufen jetzt alle und eine Halle habe ich schon mit 802.1X angebunden. Routing funktioniert einwandfrei......
Wenn einmal alles eingerichtet ist und der Microsoft NAP Server die Drucker usw. sauber erkennt ist das jetzt perfekt. Keine unbefugten User mehr die mal kurz eine IP Adresse vergeben und meine Server blockieren können
.Jetzt muss ich nur noch meine WLAN AccessPoint und die anderen Hallen auf 802.1X umstellen.
In Zukunft kauf ich nur noch Brocade, klappt super und die tun sauber ihre dienste.
Einfach perfekt, gut das mich Aqui überzeugt hat keine HP dinger mehr zu kaufen und auf Brocade zu setzen.....
Gruß Philipp
Aqui ist aber eher der Cisco Mensch wobei wir hier auch nahezu alle HP Kisten raus haben und nur noch Brocade einsetzen und mitte des Jahres im Serverbsckbone alles auf die VDX Serie umstellen werden.
wobei wir hier auch nahezu alle HP Kisten raus haben und nur noch Brocade einsetzen und mitte des Jahres im Serverbsckbone alles auf die VDX Serie umstellen werden.
@clSchak
Nöö, nicht wirklich. Ich bin Kosmopolit was Switches anbetrifft und seh da schon über den Tellerrand
(Ausnahme HP Gurken wenns ProCurve ist, die taugen wahrlich nix und können auch nur billich !)
Brocade hat da auch wirklich sehr gutes im Portfolio zumal es STP seitig voll kompatibel zu Cisco ist. Das CLI ist auch identisch. Performance sowieso. Preis Leistung aber besser.
Du und Kollege schram... werden das sicher voll bestätigen können, oder
Nöö, nicht wirklich. Ich bin Kosmopolit was Switches anbetrifft und seh da schon über den Tellerrand
(Ausnahme HP Gurken wenns ProCurve ist, die taugen wahrlich nix und können auch nur billich !)Brocade hat da auch wirklich sehr gutes im Portfolio zumal es STP seitig voll kompatibel zu Cisco ist. Das CLI ist auch identisch. Performance sowieso. Preis Leistung aber besser.
Du und Kollege schram... werden das sicher voll bestätigen können, oder
ahjo ... da muss ich dir recht geben :D
da muss ich dir recht geben :D
Kann ich voll und ganz bestätigen
Vor allem wo mir heute wieder die HP procurve entgegen schrie..... flow control und Jumbo frames auf einmal kann ich nicht da macht meine CPU nicht mit
....bin froh wenn irgendwann HP ganz weg ist
Vor allem wo mir heute wieder die HP procurve entgegen schrie..... flow control und Jumbo frames auf einmal kann ich nicht da macht meine CPU nicht mit
....bin froh wenn irgendwann HP ganz weg ist
