V-LAN die Verwaltung und Überwachung
Umstellung einer Flachen Netzwerkstruktur auf V-LANs zur erhöhung der Sicherheit
Folgendes Scenario:
Vorhanden ist ein Netzwerk mit ca. 2500 Endgeräten (PC, Drucker, Maschinen usw.) Dies soll in diverse V-LANs unterteilt werden. (Bin gerade mitten in der Umstellungsphase. Dabei wird auch Zeitgleich Portsecurity eingeführt. Dies bedeutet dass ein Radius Server beim AD nachprüft ob das Gerät / User vorhanden ist oder nicht und weißt Ihm dann das entsprechende V-LAN zu oder sperrt den Port.
Soweit so gut
Für mich und meine Kollegen in der EDV werden dadurch einige Sachen leichter andere schwerer
Allerdings funktioniert dadurch unsere Überwachungsprogramme nicht mehr. Hierbei handelt es sich um die Programme Gifi LanGuard Network Security Scanner, Wireshark und Wild Packets OmniPeak.
Ist es nun möglich dem V-LAN der EDV die entsprechende Rechte zu geben dass der Zugriff für Wartung und Fehlerbehebung in den anderen V-LANs funktioniert?
Es werden zum Beispiel das Netbios Protokoll nicht mit geroutet, kann man dies für einzelne V-LANs aktivieren oder stellt das Grundsätzlich ein Problem dar.
Netzwerk Hardware sind Cisco 3560G; Enterasys E1 und C2, Cisco ACS Radius.
Vielleicht hat ja jemand so etwas schon umgesetzt und kann mir mit seinen Erfahrungen etwas unter die Arme greifen.
Folgendes Scenario:
Vorhanden ist ein Netzwerk mit ca. 2500 Endgeräten (PC, Drucker, Maschinen usw.) Dies soll in diverse V-LANs unterteilt werden. (Bin gerade mitten in der Umstellungsphase. Dabei wird auch Zeitgleich Portsecurity eingeführt. Dies bedeutet dass ein Radius Server beim AD nachprüft ob das Gerät / User vorhanden ist oder nicht und weißt Ihm dann das entsprechende V-LAN zu oder sperrt den Port.
Soweit so gut
Für mich und meine Kollegen in der EDV werden dadurch einige Sachen leichter andere schwerer
Allerdings funktioniert dadurch unsere Überwachungsprogramme nicht mehr. Hierbei handelt es sich um die Programme Gifi LanGuard Network Security Scanner, Wireshark und Wild Packets OmniPeak.
Ist es nun möglich dem V-LAN der EDV die entsprechende Rechte zu geben dass der Zugriff für Wartung und Fehlerbehebung in den anderen V-LANs funktioniert?
Es werden zum Beispiel das Netbios Protokoll nicht mit geroutet, kann man dies für einzelne V-LANs aktivieren oder stellt das Grundsätzlich ein Problem dar.
Netzwerk Hardware sind Cisco 3560G; Enterasys E1 und C2, Cisco ACS Radius.
Vielleicht hat ja jemand so etwas schon umgesetzt und kann mir mit seinen Erfahrungen etwas unter die Arme greifen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 102139
Url: https://administrator.de/forum/v-lan-die-verwaltung-und-ueberwachung-102139.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
3 Kommentare
Neuester Kommentar
Ja, das funktioniert problemlos ! Leider teilst du nicht alle Details mit so das eine genaue Antwort ohne wild zu raten etwas schwierig ist...
Du sagst die Programme nutzen NetBios als Protokoll ?!
Ist das nacktes Layer 2 NetBios, also eins ohne UDP Encapsulierung was nicht routebar ist oder ist das NetBios over IP ??
Im ersten musst du Bridging aktivieren zw. den VLANs.
Im 2ten Fall musst du an den Layer 3 VLAN IP Adressen deiner Core Switches die das Routing zw. den VLANs erledigen (Vermutlich die Entensys Kisten..??) einen UDP Helper konfigurieren (UDP Forwarder, bei Cisco und allen anderen heisst das "ip helper address x.x.x.x") damit diese NetBios over IP Pakte entsprechend sauber geforwardet werden in ihre Zielnetze und alles wieder so klappt wie es soll.
Das hätten dir doch eingentlich die SE Kollegen von Entensys sagen können, die sollten sowas wissen !! Ist Grundschule 1.Klasse IP Networking....
Du sagst die Programme nutzen NetBios als Protokoll ?!
Ist das nacktes Layer 2 NetBios, also eins ohne UDP Encapsulierung was nicht routebar ist oder ist das NetBios over IP ??
Im ersten musst du Bridging aktivieren zw. den VLANs.
Im 2ten Fall musst du an den Layer 3 VLAN IP Adressen deiner Core Switches die das Routing zw. den VLANs erledigen (Vermutlich die Entensys Kisten..??) einen UDP Helper konfigurieren (UDP Forwarder, bei Cisco und allen anderen heisst das "ip helper address x.x.x.x") damit diese NetBios over IP Pakte entsprechend sauber geforwardet werden in ihre Zielnetze und alles wieder so klappt wie es soll.
Das hätten dir doch eingentlich die SE Kollegen von Entensys sagen können, die sollten sowas wissen !! Ist Grundschule 1.Klasse IP Networking....
Ja, du kannst mehrere Helper konfigurieren in den Layer 3 Interfaces der Catalysten.
Entweder trägst du einfach die eures Gifi Scanners dazu oder was ökonomicher ist sofern Gifi Scanner und DHCP Server in einem IP Segment stehen dann nimmst du die Broadcast oder netzadresse dieses Segments dann wirds an alle Endsysteme geschickt und du ersparst dir die separaten Einträge.
Beide Konfig Versionen sollten dein Problem sofort lösen !
Entweder trägst du einfach die eures Gifi Scanners dazu oder was ökonomicher ist sofern Gifi Scanner und DHCP Server in einem IP Segment stehen dann nimmst du die Broadcast oder netzadresse dieses Segments dann wirds an alle Endsysteme geschickt und du ersparst dir die separaten Einträge.
Beide Konfig Versionen sollten dein Problem sofort lösen !