Thomas Wildgruber
2007-01-15 18:38:22 UTC
Hi Group,
ich suche nach einer Möglichkeit, Clients sortiert nach ihrer MAC Adresse,
in ein bestimmtes VLAN zu verfrachten ohne dabei den Port am Switch
festzulegen, an welchem der Client anliegt.
Szenario:
Eine Gebäudeverkabelung sieht für Daten (PC) und Telefonie (IPT/VoIP) am
Client ausschliesslich RJ45 Anschlüsse vor. Diese Anschlüsse sind auf einen
AccessSwitch gepatchet und je nachdem, was der Anwender einsteckt, sollte
der Switch das Device in das dafür vorgesehene VLAN packen und er DHCP
sollte dabei eine IP aus dem zum VLAN gehörigem IP Range vergeben.
Diesbezüglich haben wir erstmal 802.1q in Verbindung mit RADIUS gefunden
aber diverse Dokumentationen gehen davon aus, dass das Paket bereits von
der Client NIC mit einer VLAN ID versehen, gesendet wird. Wir können jetzt
aber nicht sicherstellen, dass sämtliche NICs dieses Feature beherrschen.
Szenario:
Ein Kunde kommt mit seinem Laptop ins Haus und möchte während seiner
Anwesenheit gerne seine E-Mails abrufen können oder sonstige Dienste im
Internet nutzen. Der Plan sieht diesbezüglich vor, jede unserem System
unbekannte MAC Adresse in ein /Quarantäne/ VLAN zu packen, welches über das
Gateway zwar konventionelle Dienste (SMTP; POP3; IMAP; HTTP(S); FTP etc...)
im Internet nutzen kann, sonst aber keinerlei Zugang zum Firmen LAN hat.
Bei solch einem Client kann ich weder sicherstellen, dass die NIC die
Zuweisung einer VLAN ID überhaupt kann, noch möchte ich als Admin dass
immer erstmal einrichten...
So wäre der Wunsch, sowohl IP Adresse (aus dem für das VLAN definierte IP
Range) als auch die VLAN Zugehörigkeit automagisch anhand der MAC Adresse
zu ermitteln und zu konfigurieren.
Möglich? Welche Features sind dafür nötig? Eine kurze stichpunktartige
Vorgehensweise wäre ideal, sie muss nicht ins Detail gehen aber im Moment
habe ich erstmal das Grundprinzip noch nicht gefunden.
In der Testumgebung sind derzeit ein HP ProCurve 2650 Switch und ein
FreeRADIUS Server auf FreeBSD OS vorhanden, sowie diverse XP Laptops die
Client spielen sollen. Der RADIUS sollte im produktiven Umfeld via LDAP auf
ein Microsoft AD zugreifgen oder gleich als Microsoft RADIUS auf einem DC
laufen. Entweder um die Portsecurity über das ganze LAN auszudehnen,
mindestens aber um die WLAN Clients zu authentifzieren. Ähnlich verhält es
sich mit dem DHCP, dieser ist jedoch in der derzeitigen Teststellung noch
nicht involviert...
Bye Tom
ich suche nach einer Möglichkeit, Clients sortiert nach ihrer MAC Adresse,
in ein bestimmtes VLAN zu verfrachten ohne dabei den Port am Switch
festzulegen, an welchem der Client anliegt.
Szenario:
Eine Gebäudeverkabelung sieht für Daten (PC) und Telefonie (IPT/VoIP) am
Client ausschliesslich RJ45 Anschlüsse vor. Diese Anschlüsse sind auf einen
AccessSwitch gepatchet und je nachdem, was der Anwender einsteckt, sollte
der Switch das Device in das dafür vorgesehene VLAN packen und er DHCP
sollte dabei eine IP aus dem zum VLAN gehörigem IP Range vergeben.
Diesbezüglich haben wir erstmal 802.1q in Verbindung mit RADIUS gefunden
aber diverse Dokumentationen gehen davon aus, dass das Paket bereits von
der Client NIC mit einer VLAN ID versehen, gesendet wird. Wir können jetzt
aber nicht sicherstellen, dass sämtliche NICs dieses Feature beherrschen.
Szenario:
Ein Kunde kommt mit seinem Laptop ins Haus und möchte während seiner
Anwesenheit gerne seine E-Mails abrufen können oder sonstige Dienste im
Internet nutzen. Der Plan sieht diesbezüglich vor, jede unserem System
unbekannte MAC Adresse in ein /Quarantäne/ VLAN zu packen, welches über das
Gateway zwar konventionelle Dienste (SMTP; POP3; IMAP; HTTP(S); FTP etc...)
im Internet nutzen kann, sonst aber keinerlei Zugang zum Firmen LAN hat.
Bei solch einem Client kann ich weder sicherstellen, dass die NIC die
Zuweisung einer VLAN ID überhaupt kann, noch möchte ich als Admin dass
immer erstmal einrichten...
So wäre der Wunsch, sowohl IP Adresse (aus dem für das VLAN definierte IP
Range) als auch die VLAN Zugehörigkeit automagisch anhand der MAC Adresse
zu ermitteln und zu konfigurieren.
Möglich? Welche Features sind dafür nötig? Eine kurze stichpunktartige
Vorgehensweise wäre ideal, sie muss nicht ins Detail gehen aber im Moment
habe ich erstmal das Grundprinzip noch nicht gefunden.
In der Testumgebung sind derzeit ein HP ProCurve 2650 Switch und ein
FreeRADIUS Server auf FreeBSD OS vorhanden, sowie diverse XP Laptops die
Client spielen sollen. Der RADIUS sollte im produktiven Umfeld via LDAP auf
ein Microsoft AD zugreifgen oder gleich als Microsoft RADIUS auf einem DC
laufen. Entweder um die Portsecurity über das ganze LAN auszudehnen,
mindestens aber um die WLAN Clients zu authentifzieren. Ähnlich verhält es
sich mit dem DHCP, dieser ist jedoch in der derzeitigen Teststellung noch
nicht involviert...
Bye Tom
--
"Wenn jemand behauptet im Kühlschrank ist Bier und man sieht nach, ist das
Wissenschaft.Wenn jemand behauptet im Kühlschrank ist Bier und keiner sieht
nach, ist das Theologie.Wenn im Kühlschrank kein Bier ist und jemand
behauptet es dennoch, ist das Esoterik" (Vince Ebert)
"Wenn jemand behauptet im Kühlschrank ist Bier und man sieht nach, ist das
Wissenschaft.Wenn jemand behauptet im Kühlschrank ist Bier und keiner sieht
nach, ist das Theologie.Wenn im Kühlschrank kein Bier ist und jemand
behauptet es dennoch, ist das Esoterik" (Vince Ebert)