4
Verwaltung von MAC-to-VLAN Einträgen
Hallo Zusammen,
wir sind aktuell dabei, das interne Netzwerk neu zu strukturieren.
Als Switchhardware verwenden wir die Dell Powerconnect Serie.
Unser Ziel ist es, mit einem sternförmigen Netzdesign VLANs und MAC-Adressen zentral zu verwalten. Mittels GVRP haben wir es bereits geschafft, dass sich die VLAN-Informationen vom zentralen Layer3-Core an die Memberswitches verbreiten.
Da wir anhand der MAC-Adresse die Systeme dem jeweiligen VLAN zuweisen wollen, liegt die Nutzung der MAC-to-VLAN Funktion nahe.
Diese Mac-Adressen werden allerdings nicht via GVRP übermittelt. Bei Umstellungen oder neuer Hardware wollen wir allerdings nicht jedes Mal jeden Switch anfassen. Da viele unsere PCs und Laptops mobil sind, kommt dieser Vorgang recht häufig vor.
Dies möchten wir gerne an einer Stelle verwalten.
Die mac-based Autentifizierung mittels IAS würde auch bedeuten, dass für jeden Host ein eigenes Userkonto erstellt werden müsste.
Daher folgt nun meine Frage:
Wie kann ich MAC-to-VLAN Informationen in einem non-Cisco Umfeld zentral über das gesamte geswitchte Netz steuern?
Vielen Dank vorab.
Gruß,
Clemens
wir sind aktuell dabei, das interne Netzwerk neu zu strukturieren.
Als Switchhardware verwenden wir die Dell Powerconnect Serie.
Unser Ziel ist es, mit einem sternförmigen Netzdesign VLANs und MAC-Adressen zentral zu verwalten. Mittels GVRP haben wir es bereits geschafft, dass sich die VLAN-Informationen vom zentralen Layer3-Core an die Memberswitches verbreiten.
Da wir anhand der MAC-Adresse die Systeme dem jeweiligen VLAN zuweisen wollen, liegt die Nutzung der MAC-to-VLAN Funktion nahe.
Diese Mac-Adressen werden allerdings nicht via GVRP übermittelt. Bei Umstellungen oder neuer Hardware wollen wir allerdings nicht jedes Mal jeden Switch anfassen. Da viele unsere PCs und Laptops mobil sind, kommt dieser Vorgang recht häufig vor.
Dies möchten wir gerne an einer Stelle verwalten.
Die mac-based Autentifizierung mittels IAS würde auch bedeuten, dass für jeden Host ein eigenes Userkonto erstellt werden müsste.
Daher folgt nun meine Frage:
Wie kann ich MAC-to-VLAN Informationen in einem non-Cisco Umfeld zentral über das gesamte geswitchte Netz steuern?
Vielen Dank vorab.
Gruß,
Clemens
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 99360
Url: https://administrator.de/contentid/99360
Ausgedruckt am: 17.11.2024 um 13:11 Uhr
4 Kommentare
Neuester Kommentar
Das hat mit Cisco usw. rein gar nichts zu tun. Alle Switchhersteller die derzeit am Markt sind machen die dynamische VLAN Zuordnung mit einem Radius Server ala 802.1x.
Das ist auch bei denen Dell Teilen so, die in Wahrheit Accton Switches aus Taiwan sind, die fast alles Switches aus dem Low Budget Bereich produzieren die von den Marken dann einfach OEMt werden !
Du kommst also um einen Radius Server nicht drum rum !!!
Einige Hersteller supporten auch noch eine statische Zuordnung ueber einen ASCII File der per TFTP auf die Switches kopiert wird aber das macht die Sache noch schlimmer, denn dann muesstest du jeden Switch anfassen wenn sich an der MAC Adressstruktur etwas aendert !!!
Deshalb ist diese Variante technisch so gut wie tot. Jeder macht das wie gesagt ueber Radius. Da gibt es also keine Alternative fuer dich wenn du es ueber die MAC Adresse machen willst.
Eine andere Moeglichkeit ist dann nur 802.1x mit Username Password aus deinem AD sofern du sowas betreibst. Dann wird die VLAN Zuordnung aber nicht geraetebezogen (Mac) sondern benutzerbezogen gemacht, das ist der Unterschied !
Dafuer benoetigst du aber keine zusaetzlichen Usereintraege im AD.
Das ist auch bei denen Dell Teilen so, die in Wahrheit Accton Switches aus Taiwan sind, die fast alles Switches aus dem Low Budget Bereich produzieren die von den Marken dann einfach OEMt werden !
Du kommst also um einen Radius Server nicht drum rum !!!
Einige Hersteller supporten auch noch eine statische Zuordnung ueber einen ASCII File der per TFTP auf die Switches kopiert wird aber das macht die Sache noch schlimmer, denn dann muesstest du jeden Switch anfassen wenn sich an der MAC Adressstruktur etwas aendert !!!
Deshalb ist diese Variante technisch so gut wie tot. Jeder macht das wie gesagt ueber Radius. Da gibt es also keine Alternative fuer dich wenn du es ueber die MAC Adresse machen willst.
Eine andere Moeglichkeit ist dann nur 802.1x mit Username Password aus deinem AD sofern du sowas betreibst. Dann wird die VLAN Zuordnung aber nicht geraetebezogen (Mac) sondern benutzerbezogen gemacht, das ist der Unterschied !
Dafuer benoetigst du aber keine zusaetzlichen Usereintraege im AD.
Hallo Aqui,
danke für die Erklärung. Ich habe non Cisco daher erwähnt, da Cisco proprietäre Protokolle wie VTP und VMPS die Funktionen herstellerspezifisch abbildet, was ein cisco homogenes Scenario einfacher verwalten lässt.
Deinen Ausführungen entnehme ich, dass die mac-to-vlan Funktion nicht in Frage kommt, da sie nur pro lokales Gerät greift.
Wir haben heute weiter getestet und festgestellt, dass der Einsatz von GVRP nicht so arbeitet wie erwartet.
Wir haben am zentralen Core die VLANs erstellt und diese habe sich dann an die angeschlossenen Layer2-Switches verbreitet.
Wir konnten diese Vlans an den Memberswitchen allerdings nicht für dynamische Access Ports verwenden.
Beispiel:
Für einen Host haben wir einen mac-to-vlan Eintrag am Swicht A erstellt, in der Erwartung, dass dieser Host dann entsprechend dem VLAN x zugewiesen wird, welches Switch A zuvor via GVRP erhalten hat. Dies war nicht der Fall. Dies war erst dann funktional, als wir das VLAN von "DynamicGVRP" zu "Permanent" umgestellt haben. Das stellt für mich den Sinn des GVRP in Frage.
Begehen wir hier einen Denkfehler?
Gruß
danke für die Erklärung. Ich habe non Cisco daher erwähnt, da Cisco proprietäre Protokolle wie VTP und VMPS die Funktionen herstellerspezifisch abbildet, was ein cisco homogenes Scenario einfacher verwalten lässt.
Deinen Ausführungen entnehme ich, dass die mac-to-vlan Funktion nicht in Frage kommt, da sie nur pro lokales Gerät greift.
Wir haben heute weiter getestet und festgestellt, dass der Einsatz von GVRP nicht so arbeitet wie erwartet.
Wir haben am zentralen Core die VLANs erstellt und diese habe sich dann an die angeschlossenen Layer2-Switches verbreitet.
Wir konnten diese Vlans an den Memberswitchen allerdings nicht für dynamische Access Ports verwenden.
Beispiel:
Für einen Host haben wir einen mac-to-vlan Eintrag am Swicht A erstellt, in der Erwartung, dass dieser Host dann entsprechend dem VLAN x zugewiesen wird, welches Switch A zuvor via GVRP erhalten hat. Dies war nicht der Fall. Dies war erst dann funktional, als wir das VLAN von "DynamicGVRP" zu "Permanent" umgestellt haben. Das stellt für mich den Sinn des GVRP in Frage.
Begehen wir hier einen Denkfehler?
Gruß
Erstmal begehst du einen Denkfehler was VTP und VMPS betrifft, denn das hat mit dynamischer VLAN Zuordnung eines Clients nichts zu tun sondern mehr oder weniger zur Verbreitung von VLAN Informationen an sich aber ggf. meintest du das auch so ?!
Das sind also 2 Paar Schuhe zur dynamischen VLAN Zuordnung.
GVRP ist der globale Standard dazu. Normalerweise ist es bei guten Switche voellig egal ob du die VLAN Info per GVRP verteilst oder statisch ein dynamische Zuordnung von VLANs per MAC Adresse funktioniert problemlos in beiden Modi !
Jedenfalls ist das so bei guten Switches. Was auch immer du da verwendest aber das ist entweder ein Bug oder eine fehlende Funktion in den Images dieser Switches.
GVRP ist also mitnichten das Problem sondern die Art und Weise wie dein Hersteller das implementiert hat !!!
Bei billigen Midrange Switches oder OEM Produkten wird das meistens lieblos implementiert und fuehrt zu solchen Ergebnissen !
Du solltest dich also dort mal an den Hersteller wenden und genau nachfragen.
Fast alle Premium Hersteller supporten sowas mit GVRP problemlos, denn die dynamische VLAN Zuordnung entweder per 802.1x oder MAC Adresse ist heutzutage ein weitverbreitetes und oft eingesetztes Feature um die Zugangssicherheit von Netzen zu erhoehen !!
Das sind also 2 Paar Schuhe zur dynamischen VLAN Zuordnung.
GVRP ist der globale Standard dazu. Normalerweise ist es bei guten Switche voellig egal ob du die VLAN Info per GVRP verteilst oder statisch ein dynamische Zuordnung von VLANs per MAC Adresse funktioniert problemlos in beiden Modi !
Jedenfalls ist das so bei guten Switches. Was auch immer du da verwendest aber das ist entweder ein Bug oder eine fehlende Funktion in den Images dieser Switches.
GVRP ist also mitnichten das Problem sondern die Art und Weise wie dein Hersteller das implementiert hat !!!
Bei billigen Midrange Switches oder OEM Produkten wird das meistens lieblos implementiert und fuehrt zu solchen Ergebnissen !
Du solltest dich also dort mal an den Hersteller wenden und genau nachfragen.
Fast alle Premium Hersteller supporten sowas mit GVRP problemlos, denn die dynamische VLAN Zuordnung entweder per 802.1x oder MAC Adresse ist heutzutage ein weitverbreitetes und oft eingesetztes Feature um die Zugangssicherheit von Netzen zu erhoehen !!
