7
Packetfence - Port als Trunk konfigurieren
Moin,
mal eine Frage an die Experten hier. Ich plane die Installation von nem Packetfence-System. Jetzt habe ich auf einem Switch das Problem das ein Port mal nen Trunk sein kann (Cisco-Switches) ODER nen Access-Port. Im Endeffekt würde ich halt gerne Faul sein und sagen das System soll entscheiden was dahinter hängt und den Port selbstständig zwischen Trunk und Access mit den jeweiligen VLAN(s) schalten.
Leider finde ich bei der Suche nach Packetfence und Trunk natürlich 100e Anleitungen weil dort PF an nem Trunk hängt. Aber ob ich einen "Endport" eben dynamisch schalten kann steht bisher nirgends. Einzig das Cisco das nicht unterstützt hab ich bisher gefunden, bin aber nicht sicher ob das tatsächlich die korrekte Aussage ist oder ob ich das nur falsch verstanden habe.
Ggf. hat jemand da ja mehr Erfahrungen als ich (was nicht so schwer ist ;) )
Lg,
Mike
mal eine Frage an die Experten hier. Ich plane die Installation von nem Packetfence-System. Jetzt habe ich auf einem Switch das Problem das ein Port mal nen Trunk sein kann (Cisco-Switches) ODER nen Access-Port. Im Endeffekt würde ich halt gerne Faul sein und sagen das System soll entscheiden was dahinter hängt und den Port selbstständig zwischen Trunk und Access mit den jeweiligen VLAN(s) schalten.
Leider finde ich bei der Suche nach Packetfence und Trunk natürlich 100e Anleitungen weil dort PF an nem Trunk hängt. Aber ob ich einen "Endport" eben dynamisch schalten kann steht bisher nirgends. Einzig das Cisco das nicht unterstützt hab ich bisher gefunden, bin aber nicht sicher ob das tatsächlich die korrekte Aussage ist oder ob ich das nur falsch verstanden habe.
Ggf. hat jemand da ja mehr Erfahrungen als ich (was nicht so schwer ist ;) )
Lg,
Mike
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 502240
Url: https://administrator.de/contentid/502240
Ausgedruckt am: 23.11.2024 um 07:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
wie soll Packetfence denn entscheiden ob es ein Access Port oder ein Trunk Port werden soll?
Welche Kriterien stehen dir den für diese Entscheidung zur Verfügung?
Gerade bei Trunk Port sehe ich diese Anforderung eher nicht, da die meisten Netzwerke was die reine Hardware Situation als relativ Statisch.
Ein Trunk (Cisco) wird nur zwischen Switchen und / oder Routern gebaut.
Ist in deinem Netz soviel Variabilität drin das ein Port Regelmässig geändert werden muss?
brammer
wie soll Packetfence denn entscheiden ob es ein Access Port oder ein Trunk Port werden soll?
Welche Kriterien stehen dir den für diese Entscheidung zur Verfügung?
Gerade bei Trunk Port sehe ich diese Anforderung eher nicht, da die meisten Netzwerke was die reine Hardware Situation als relativ Statisch.
Ein Trunk (Cisco) wird nur zwischen Switchen und / oder Routern gebaut.
Ist in deinem Netz soviel Variabilität drin das ein Port Regelmässig geändert werden muss?
brammer
Moin,
also erst mal - generell stimme ich dir voll und ganz zu. Eine Änderung an der Infrastruktur sollte nicht von so nem System getroffen werden - aber wie üblich gibt es wieder "aber is doch soooo fancy" und soll genutzt werden wenns geht....
Die Kriterien wären das es entweder eben nen Cisco-AP/Switch wäre oder nen Endgerät (was alles sein kann, vom Rechner bis hin zum Smart-TV).
Das Problem ist eher das die Kisten halt schwimmen - und entsprechend soll das dynamisch passieren.
Aus MEINER Sicht soll also das NAC machen was jeder Admin (der halbwegs bei Verstand ist) unter Mord-Androhung untersagt: Ein End-User ballert irgendein Gerät ins Netz und das NAC soll den Port selbst und ohne Nachfrage selbst für nen Switch/AP freigeben. Die Risiken dahinter sind mir bewusst (nen Loop in dem Endgerät und der Spass geht los), hier ist halt wieder "erst auf die Nase fallen und dann lernen, nicht vorher hören" angesagt...
also erst mal - generell stimme ich dir voll und ganz zu. Eine Änderung an der Infrastruktur sollte nicht von so nem System getroffen werden - aber wie üblich gibt es wieder "aber is doch soooo fancy" und soll genutzt werden wenns geht....
Die Kriterien wären das es entweder eben nen Cisco-AP/Switch wäre oder nen Endgerät (was alles sein kann, vom Rechner bis hin zum Smart-TV).
Das Problem ist eher das die Kisten halt schwimmen - und entsprechend soll das dynamisch passieren.
Aus MEINER Sicht soll also das NAC machen was jeder Admin (der halbwegs bei Verstand ist) unter Mord-Androhung untersagt: Ein End-User ballert irgendein Gerät ins Netz und das NAC soll den Port selbst und ohne Nachfrage selbst für nen Switch/AP freigeben. Die Risiken dahinter sind mir bewusst (nen Loop in dem Endgerät und der Spass geht los), hier ist halt wieder "erst auf die Nase fallen und dann lernen, nicht vorher hören" angesagt...
Wenn du den Portchannel LACP LAG auf dem Cisco Switch definierst ist es dem egal ob du dort einen LAG machst oder nicht. Wir raten hier jetzt mal das es sich um einen Catalyst Switch handelt ?? Oder doch ein SG SoHo Modell ?!
Der Lag kommt zustande sobald sich auf der Gegenseite auch ein LACP LAG Endgerät befindet und es dem Cisco signalisiert.
Wenn du an dem Port nur ein einzelnes Gerät anschliesst kommt der Portchannel auch hoch und es funktioniert auch nur "mit einem Bein".
In sofern ist es also völlig Wumpe ob du deinen Paketzaun mit einem LACP LAG oder als Einzelgerät am Cisco Switch Portchannel Port anschliesst.
Wie eine entsprechende Catalysten oder SG Konfig bei Cisco aussieht kannst du, wie immer, hier nachlesen:
Netzwerk Management Server mit Raspberry Pi
Der Lag kommt zustande sobald sich auf der Gegenseite auch ein LACP LAG Endgerät befindet und es dem Cisco signalisiert.
Wenn du an dem Port nur ein einzelnes Gerät anschliesst kommt der Portchannel auch hoch und es funktioniert auch nur "mit einem Bein".
In sofern ist es also völlig Wumpe ob du deinen Paketzaun mit einem LACP LAG oder als Einzelgerät am Cisco Switch Portchannel Port anschliesst.
Wie eine entsprechende Catalysten oder SG Konfig bei Cisco aussieht kannst du, wie immer, hier nachlesen:
Netzwerk Management Server mit Raspberry Pi
1
Moin,
nich LACP, nur Trunk. Catalyst ist korrekt.
Es sind halt ports bei denen ich entweder nen Accesspoint (welcher dann X VLANs als trunk enthalten kann) oder nen Endgerät (mit genau 1 VLAN als Access) hängen kann..
nich LACP, nur Trunk. Catalyst ist korrekt.
Es sind halt ports bei denen ich entweder nen Accesspoint (welcher dann X VLANs als trunk enthalten kann) oder nen Endgerät (mit genau 1 VLAN als Access) hängen kann..
OK, sorry ! Freudscher Fehler....missverstanden im Eifer des Gefechts. 
Das kommt davon bei dem verwirrenden Begriff "Trunk" den Cisco anders versteht als der Rest der Welt !
Dann sieht das natürlich anders aus.
Das geht dann nur wenn das Native VLAN, sprich also das was immer untagged an einem Port liegt ausreichend ist.
Soll heissen alles was von einem angeschlossenen Endgerät ohne Tagging gesendet wird schaufelt der Cisco dann in das am Port konfigurierte Native VLAN.
Wenn du was Getaggtes anschliesst dann in die entsprechenden VLANs gemäß Tag.
OK, simpler Standard und weisst du ja auch selber...
Dynamisiert lässt sich das dann nur mit 802.1x oder Mac Bypass machen.
Das kommt davon bei dem verwirrenden Begriff "Trunk" den Cisco anders versteht als der Rest der Welt !
Dann sieht das natürlich anders aus.
Das geht dann nur wenn das Native VLAN, sprich also das was immer untagged an einem Port liegt ausreichend ist.
Soll heissen alles was von einem angeschlossenen Endgerät ohne Tagging gesendet wird schaufelt der Cisco dann in das am Port konfigurierte Native VLAN.
Wenn du was Getaggtes anschliesst dann in die entsprechenden VLANs gemäß Tag.
OK, simpler Standard und weisst du ja auch selber...
Dynamisiert lässt sich das dann nur mit 802.1x oder Mac Bypass machen.
Moin,
ok, im endeffekt is es das was ich erwartet habe - das ich eben nich einfach zwischen Trunk und Access-Konfig wechseln kann. Klar könnte ich einfach das native vlan wechseln (aber nich über 802.1x da cisco das nicht auf trunks kennt - das is das was ich oben gelesen hab), aber im endeffekt is es das was ich erwartet habe... Ist jetzt auch keine grosse Überraschung das es eher ungewöhnlich ist das man die Infrastruktur automatisch anpassen will - habe mir da auch schon was eigenes gebaut was zumindest etwas helfen würde. Ist halt eine sehr spezielle Anforderung die eher ungewöhnlich is.... wieder mal :D
Auf jeden Fall erst mal danke Ich denke wenn noch 2 andere erfahrene Netzwerker nich auf Anhieb sagen „klar geht das, musst nur da klicken“ dann sagt das schon was aus
ok, im endeffekt is es das was ich erwartet habe - das ich eben nich einfach zwischen Trunk und Access-Konfig wechseln kann. Klar könnte ich einfach das native vlan wechseln (aber nich über 802.1x da cisco das nicht auf trunks kennt - das is das was ich oben gelesen hab), aber im endeffekt is es das was ich erwartet habe... Ist jetzt auch keine grosse Überraschung das es eher ungewöhnlich ist das man die Infrastruktur automatisch anpassen will - habe mir da auch schon was eigenes gebaut was zumindest etwas helfen würde. Ist halt eine sehr spezielle Anforderung die eher ungewöhnlich is.... wieder mal :D
Auf jeden Fall erst mal danke
Ich denke wenn noch 2 andere erfahrene Netzwerker nich auf Anhieb sagen „klar geht das, musst nur da klicken“ dann sagt das schon was aus
Cisco kann natürlich ja Port Auto Detection über VTP. Sprich es erkennt automatisch ob sich am anderen Ende ein Trunk Port befindet oder ein Access Port !
Damit wäre das natürlich problemlos möglich was du willst. Jetzt kommt aber das Aber:
Spannend wäre die Frage ob das mit LLDP Standard möglich ist. LLDP signalisiert dem Gegenüber ja auch genau was da ist also ob Trunk/Tagged oder Access/Untagged.
Mir ist aber kein Hersteller derzeit bekannt der das entsprechend dynamisch umsetzt auf Ports per LLDP.
Damit wäre das natürlich problemlos möglich was du willst. Jetzt kommt aber das Aber:
- Ist nur supportet auf Catalyst Hardware, nicht auf SG Modellen.
- Geht nur mit Cisco (Catalyst) als Gegenüber weil es deren proprietäres VTP Protokoll nutzt. Oder natürlich Cisco HW die auch VTP kann.
Spannend wäre die Frage ob das mit LLDP Standard möglich ist. LLDP signalisiert dem Gegenüber ja auch genau was da ist also ob Trunk/Tagged oder Access/Untagged.
Mir ist aber kein Hersteller derzeit bekannt der das entsprechend dynamisch umsetzt auf Ports per LLDP.
