Packetfence - Port als Trunk konfigurieren

Moin,

mal eine Frage an die Experten hier. Ich plane die Installation von nem Packetfence-System. Jetzt habe ich auf einem Switch das Problem das ein Port mal nen Trunk sein kann (Cisco-Switches) ODER nen Access-Port. Im Endeffekt würde ich halt gerne Faul sein und sagen das System soll entscheiden was dahinter hängt und den Port selbstständig zwischen Trunk und Access mit den jeweiligen VLAN(s) schalten.

Leider finde ich bei der Suche nach Packetfence und Trunk natürlich 100e Anleitungen weil dort PF an nem Trunk hängt. Aber ob ich einen "Endport" eben dynamisch schalten kann steht bisher nirgends. Einzig das Cisco das nicht unterstützt hab ich bisher gefunden, bin aber nicht sicher ob das tatsächlich die korrekte Aussage ist oder ob ich das nur falsch verstanden habe.

Ggf. hat jemand da ja mehr Erfahrungen als ich (was nicht so schwer ist ;) )

Lg,

Mike

Content-Key: 502240

Url: https://administrator.de/contentid/502240

Ausgedruckt am: 24.07.2021 um 12:07 Uhr

Mitglied: brammer
brammer 08.10.2019 um 16:19:40 Uhr
Goto Top
Hallo,

wie soll Packetfence denn entscheiden ob es ein Access Port oder ein Trunk Port werden soll?
Welche Kriterien stehen dir den für diese Entscheidung zur Verfügung?

Gerade bei Trunk Port sehe ich diese Anforderung eher nicht, da die meisten Netzwerke was die reine Hardware Situation als relativ Statisch.
Ein Trunk (Cisco) wird nur zwischen Switchen und / oder Routern gebaut.
Ist in deinem Netz soviel Variabilität drin das ein Port Regelmässig geändert werden muss?

brammer
Mitglied: maretz
maretz 08.10.2019 um 16:30:05 Uhr
Goto Top
Moin,

also erst mal - generell stimme ich dir voll und ganz zu. Eine Änderung an der Infrastruktur sollte nicht von so nem System getroffen werden - aber wie üblich gibt es wieder "aber is doch soooo fancy" und soll genutzt werden wenns geht....

Die Kriterien wären das es entweder eben nen Cisco-AP/Switch wäre oder nen Endgerät (was alles sein kann, vom Rechner bis hin zum Smart-TV).
Das Problem ist eher das die Kisten halt schwimmen - und entsprechend soll das dynamisch passieren.

Aus MEINER Sicht soll also das NAC machen was jeder Admin (der halbwegs bei Verstand ist) unter Mord-Androhung untersagt: Ein End-User ballert irgendein Gerät ins Netz und das NAC soll den Port selbst und ohne Nachfrage selbst für nen Switch/AP freigeben. Die Risiken dahinter sind mir bewusst (nen Loop in dem Endgerät und der Spass geht los), hier ist halt wieder "erst auf die Nase fallen und dann lernen, nicht vorher hören" angesagt...
Mitglied: aqui
aqui 08.10.2019 aktualisiert um 16:41:30 Uhr
Goto Top
Wenn du den Portchannel LACP LAG auf dem Cisco Switch definierst ist es dem egal ob du dort einen LAG machst oder nicht. Wir raten hier jetzt mal das es sich um einen Catalyst Switch handelt ?? Oder doch ein SG SoHo Modell ?!
Der Lag kommt zustande sobald sich auf der Gegenseite auch ein LACP LAG Endgerät befindet und es dem Cisco signalisiert.
Wenn du an dem Port nur ein einzelnes Gerät anschliesst kommt der Portchannel auch hoch und es funktioniert auch nur "mit einem Bein".
In sofern ist es also völlig Wumpe ob du deinen Paketzaun mit einem LACP LAG oder als Einzelgerät am Cisco Switch Portchannel Port anschliesst.
Wie eine entsprechende Catalysten oder SG Konfig bei Cisco aussieht kannst du, wie immer, hier nachlesen:
https://administrator.de/wissen/netzwerk-management-server-raspberry-pi- ...
Mitglied: maretz
maretz 08.10.2019 um 16:52:45 Uhr
Goto Top
Moin,

nich LACP, nur Trunk. Catalyst ist korrekt.
Es sind halt ports bei denen ich entweder nen Accesspoint (welcher dann X VLANs als trunk enthalten kann) oder nen Endgerät (mit genau 1 VLAN als Access) hängen kann..
Mitglied: aqui
aqui 08.10.2019 aktualisiert um 17:02:19 Uhr
Goto Top
OK, sorry ! Freudscher Fehler....missverstanden im Eifer des Gefechts. :-) face-smile
Das kommt davon bei dem verwirrenden Begriff "Trunk" den Cisco anders versteht als der Rest der Welt ! :-( face-sad
Dann sieht das natürlich anders aus.
Das geht dann nur wenn das Native VLAN, sprich also das was immer untagged an einem Port liegt ausreichend ist.
Soll heissen alles was von einem angeschlossenen Endgerät ohne Tagging gesendet wird schaufelt der Cisco dann in das am Port konfigurierte Native VLAN.
Wenn du was Getaggtes anschliesst dann in die entsprechenden VLANs gemäß Tag.
OK, simpler Standard und weisst du ja auch selber... ;-) face-wink
Dynamisiert lässt sich das dann nur mit 802.1x oder Mac Bypass machen.
Mitglied: maretz
maretz 08.10.2019 um 17:05:35 Uhr
Goto Top
Moin,
ok, im endeffekt is es das was ich erwartet habe - das ich eben nich einfach zwischen Trunk und Access-Konfig wechseln kann. Klar könnte ich einfach das native vlan wechseln (aber nich über 802.1x da cisco das nicht auf trunks kennt - das is das was ich oben gelesen hab), aber im endeffekt is es das was ich erwartet habe... Ist jetzt auch keine grosse Überraschung das es eher ungewöhnlich ist das man die Infrastruktur automatisch anpassen will - habe mir da auch schon was eigenes gebaut was zumindest etwas helfen würde. Ist halt eine sehr spezielle Anforderung die eher ungewöhnlich is.... wieder mal :D

Auf jeden Fall erst mal danke :) face-smile Ich denke wenn noch 2 andere erfahrene Netzwerker nich auf Anhieb sagen „klar geht das, musst nur da klicken“ dann sagt das schon was aus :) face-smile
Mitglied: aqui
aqui 08.10.2019 aktualisiert um 17:11:43 Uhr
Goto Top
Cisco kann natürlich ja Port Auto Detection über VTP. Sprich es erkennt automatisch ob sich am anderen Ende ein Trunk Port befindet oder ein Access Port !
Damit wäre das natürlich problemlos möglich was du willst. Jetzt kommt aber das Aber:
  • Ist nur supportet auf Catalyst Hardware, nicht auf SG Modellen.
  • Geht nur mit Cisco (Catalyst) als Gegenüber weil es deren proprietäres VTP Protokoll nutzt. Oder natürlich Cisco HW die auch VTP kann.
Unter den Rahmenbedingungen klappt das natürlich und du kannst "einfach" on the fly wechseln. Aber eben nur so. So ungewöhnlich ist das also nicht. Cisco hat da eh viele automatisiert aber eben nur in einer reinen Cisco IOS oder IOS-XE Welt only !
Spannend wäre die Frage ob das mit LLDP Standard möglich ist. LLDP signalisiert dem Gegenüber ja auch genau was da ist also ob Trunk/Tagged oder Access/Untagged.
Mir ist aber kein Hersteller derzeit bekannt der das entsprechend dynamisch umsetzt auf Ports per LLDP.
Heiß diskutierte Beiträge
question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 1 TagFrageBenchmarks46 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

general
Kosten nicht gerechtfertigt? Dienstleister stellt Kosten für "Troubleshooting" bei Neuanschaffung von HCI + CoreSwitchDirty2186Vor 1 TagAllgemeinZusammenarbeit17 Kommentare

Hallo Zusammen, ich interessiere mich für Eure Meinung zu dem Thema Leistungsnachweise von Systemhäusern und Dienstleistern und deren Berechnung von Leistungen. Da sich hier ja ...

question
Listet Microsoft Default ACLs von Windows?DerWoWussteVor 1 TagFrageSicherheit18 Kommentare

Moin Kollegen. Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt ...

question
Doppelte A-Records in DNSBPeterVor 1 TagFrageWindows Server10 Kommentare

Hallo, unsere Windows Notebooks registrieren sich im DNS mit ihrer Lan- und Wlan Adresse. D.h. es gibt 2 gleiche Namen mit 2 unterschiedlichen IP-Adressen. Wie ...

question
2U Home-Server Frage zur HardwaremossoxVor 22 StundenFrageServer-Hardware10 Kommentare

Hallo zusammen, ich habe in den letzten Jahren auf die Systeme von Synology gesetzt. Im Wesentlichen ging es immer nur um simple CIFS Dienste, nichts ...

question
Powershell Ordner löschen die älter als x Tage sindsascha46Vor 19 StundenFrageEntwicklung6 Kommentare

Hallo Ich würde gerne in einem Verzeichnis alle Ordner die älter als X Tage sind löschen. Aber irgendwie bekomme ich das nicht hin. Bisher habe ...

question
Antivirus auf Synology sinnvoll?CoreknabeVor 1 TagFrageSAN, NAS, DAS3 Kommentare

Moin, nachdem Antivirus Essentials auf unserem Synology-NAS wieder einmal lustige Kapriolen fabriziert (Installationsdatei für MS Office ist hochgefährlich), stelle ich mir die Frage, ob es ...

question
Firmengelände Glasfaser mehrere GebäudeTonLichtVideoVor 17 StundenFrageNetzwerke4 Kommentare

Hallo zusammen, Ist Zustand: Firmengelände mit mehreren großen Hallen die zentral per Glasfaser verbunden werden sollen. Längen zwischen 100 und 400 Metern. Aufgrund der Zukunftssicherheit ...