9
VLAN - Zuordnung durch IP Adressen
Cisco Catalys 3750g
Hallo!
Ich konfiguriere gerade eine Umgebung zur Verteilung von Images.
Die Verteilung soll in einem VLAN erfolgen. Der Client bootet mit einem USB-Stick auf dem die IP gespeichert ist und meldet sich damit bei
der Image-Software an. Nach der Verteilung startet die Installationsroutine des Client und er sollte sich im produktiven Netz befinden.
Funktioniert die Zuordnung zu den VLANs über IP Adressen. Dies müsste doch mit einem Layer-3 Switch realisierbar sein, oder?
Für Anregung oder Lösungen wäre ich sehr dankbar!
Grüße
tactic
Hallo!
Ich konfiguriere gerade eine Umgebung zur Verteilung von Images.
Die Verteilung soll in einem VLAN erfolgen. Der Client bootet mit einem USB-Stick auf dem die IP gespeichert ist und meldet sich damit bei
der Image-Software an. Nach der Verteilung startet die Installationsroutine des Client und er sollte sich im produktiven Netz befinden.
Funktioniert die Zuordnung zu den VLANs über IP Adressen. Dies müsste doch mit einem Layer-3 Switch realisierbar sein, oder?
Für Anregung oder Lösungen wäre ich sehr dankbar!
Grüße
tactic
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 56325
Url: https://administrator.de/contentid/56325
Ausgedruckt am: 20.11.2024 um 01:11 Uhr
9 Kommentare
Neuester Kommentar
Du meinst sicher die automatische sprich dynamische Zuordnung von VLANs, oder ???
Nein, das geht nicht, denn Port basierend sieht ein Switch (auch ein L3 Switch) erstmal nicht auf die IP Adresse. Eine Forwarding Entscheidung wird beim Switch auch (erstmal) nicht auf Basis von L3 gefällt. Zudem gibt es derzeit kein standartisiertes Verfahren das das umsetzen kann.
Wohl aber kannst du die dynamische Zuordnung des VLANs per MAC Adresse machen und später final, wenn der Client installiert ist, mit 802.1x.
Gute Switches (wie z.B. dein o.a. Catalyst) lassen parallel beide Authentifizierungen (MAC und .1x) zu, sodas du so ein dynamisches Szenario problemlos abbilden kannst. Z.B.:
Client bootet von Stick, MAC Adresse ist (noch) nicht bekannt und der Switch setzt den Port in das Install VLAN. Hier bekommt der Client nun sein Image mit aktiviertem .1x Client, rebootet und wird dann dynamisch in sein Produktiv VLAN gesetzt...
Nein, das geht nicht, denn Port basierend sieht ein Switch (auch ein L3 Switch) erstmal nicht auf die IP Adresse. Eine Forwarding Entscheidung wird beim Switch auch (erstmal) nicht auf Basis von L3 gefällt. Zudem gibt es derzeit kein standartisiertes Verfahren das das umsetzen kann.
Wohl aber kannst du die dynamische Zuordnung des VLANs per MAC Adresse machen und später final, wenn der Client installiert ist, mit 802.1x.
Gute Switches (wie z.B. dein o.a. Catalyst) lassen parallel beide Authentifizierungen (MAC und .1x) zu, sodas du so ein dynamisches Szenario problemlos abbilden kannst. Z.B.:
Client bootet von Stick, MAC Adresse ist (noch) nicht bekannt und der Switch setzt den Port in das Install VLAN. Hier bekommt der Client nun sein Image mit aktiviertem .1x Client, rebootet und wird dann dynamisch in sein Produktiv VLAN gesetzt...
Danke für die Antwort.
Bin grad ein bisschen am grübeln...
Wie muss ich vorgehen damit der Switch den Port ins Install VLAN setzt?
Muss der 802.1x im Image aktiviert sein? Die sollte ich nämlich nicht anfassen.
g
Bin grad ein bisschen am grübeln...
Wie muss ich vorgehen damit der Switch den Port ins Install VLAN setzt?
Muss der 802.1x im Image aktiviert sein? Die sollte ich nämlich nicht anfassen.
g
Das was oben als Install VLAN bezeichnet ist, kann jedes x-beliebige VLAN sein. Man kann ein sog. Quarantaene VLAN definieren, in das alle nicht authentifizierte Rechner kommen als Alternative dazu das man den Port blockt. Das macht Sinn wenn du neue Rechner mit dem Stick konfigurierst, dessen MAC Adresse noch nicht bekannt oder neu ist im Radius Server.
Vielen Dank aqui.
Habe gerade nen neuen Gedanken:
Gibt es ein Tool das die MAC (schon in DOS) ändert?
Die Zuordnung zum VLAN erfolgt dann über die MAC.
Alternativ ginge es auch über eine USB-NIC.
Was meins du?
Habe gerade nen neuen Gedanken:
Gibt es ein Tool das die MAC (schon in DOS) ändert?
Die Zuordnung zum VLAN erfolgt dann über die MAC.
Alternativ ginge es auch über eine USB-NIC.
Was meins du?
Ja, meist gibt es auch DOS Tools von den Kartenherstellern die das können. Ist aber immer eine dedizierte SW und kann nicht mit DOS oder WIN Bordmitteln geschehen.
Das ist aber in jedem Falle HW bezogen und nicht jeder Hersteller supportet das. Auch eine USB NIC hat eine MAC Adresse !!!
Muss sie auch sonst ist eine Kommunikation in einem Ethernet LAN technisch nicht möglich !
Das ist aber in jedem Falle HW bezogen und nicht jeder Hersteller supportet das. Auch eine USB NIC hat eine MAC Adresse !!!
Muss sie auch sonst ist eine Kommunikation in einem Ethernet LAN technisch nicht möglich !
Hallo,
mir ist ein anderes Projekt dazwischengekommen, welches ich nun abgeschlossen habe.
Daher zurück zum VLAN:
Das mit der Zuordnung zum Install VLAN ist klar.
Aber wie realisiere ich die dynamische Zuordnung ins Produktiv VLAN.
Die Images sollten so bleiben wie sie sind.
mir ist ein anderes Projekt dazwischengekommen, welches ich nun abgeschlossen habe.
Daher zurück zum VLAN:
Das mit der Zuordnung zum Install VLAN ist klar.
Aber wie realisiere ich die dynamische Zuordnung ins Produktiv VLAN.
Die Images sollten so bleiben wie sie sind.
Das können sie auch ! Da du über die MAC Adresse ja eine Zuordnung ins Install VLAN machst kann die Zuordnung dann vom laufenden Image nur über eine 802.1x Authentifizierung sei es mit Username Passwort oder Zertifikat geschehen. Oder du musst als Alternative die MAC ändern was aber einen erheblichen Aufwand bedeutet. Ausserdem muss es technisch auf deinen Adaptern möglich sein, was nicht bei allen NICs gegeben ist !
Fasst alle guten Switches können eine Kombination von MAC Authentifizierung und 802.1x Authentifizierung als Kombination an einem Port.
Da klappt dann auch das nachträgliche dynamische Umsetzen ins Produktiv VLAN per .1x wenn das Image auf dem Rechner ist.
Fasst alle guten Switches können eine Kombination von MAC Authentifizierung und 802.1x Authentifizierung als Kombination an einem Port.
Da klappt dann auch das nachträgliche dynamische Umsetzen ins Produktiv VLAN per .1x wenn das Image auf dem Rechner ist.
Vielen Dank für deine Antwort!
Die 802.1x Authentifizierung gestaltet sich schwierig. Nach dem der Rechner mit dem neuen Image bootet, wird ein unbeaufsichtigter Installationsvorgang durchlaufen. In dieser Prozedur wird auch die Domänenzugehörigkeit aktiviert, d.h. der Client ist im produktiven Netz. Das 802.1x kann ich doch aber erst im laufenden Betriebssystem aktivieren, oder?
Die 802.1x Authentifizierung gestaltet sich schwierig. Nach dem der Rechner mit dem neuen Image bootet, wird ein unbeaufsichtigter Installationsvorgang durchlaufen. In dieser Prozedur wird auch die Domänenzugehörigkeit aktiviert, d.h. der Client ist im produktiven Netz. Das 802.1x kann ich doch aber erst im laufenden Betriebssystem aktivieren, oder?
Das kommt darauf an... Du kannst einen laufenden .1x Client ja gleich mit dem Image installieren. Allerdings verbietet sich dann bei einem folgenden automatischen Installationsvorgang die Benutzung von Username und Passwort Verfahren. Wer sollte die denn auch eingeben wenn der User nicht dabei ist.
Die einzige Lösung ist dann das du mit Zertifikaten arbeitest im .1x Client !
Die einzige Lösung ist dann das du mit Zertifikaten arbeitest im .1x Client !
