Deutschsprachiges Forum

Reply
Aruba Employee

Re: Automatische VLAN Konfiguration/Verteilung

vom Prinzip her ja, aber sobald sich ein Gerät per MAC authentifiziert kennt ClearPass die MAC und hat das Gerät in der Endpoint Database. Dann kann man entweder das Gerät von Hand eine Rolle geben, die dann bei der nächsten Authentifizierung verwendet wird um das Gerät richtig einzuordnen, oder man nutzt das DHCP Profiling (ist ein wenig Abhängig wie viel die Geräte per DHCP preisgeben) und lässt die Geräte automatisch einordnen. Hier mal der Highlevel Prozess:

 

  1. Unbekanntes Gerät kommt das erste mal ans Netzwerk und wird durch ClearPass in ein Quarantäne VLAN gelassen (kurze reauthentication Zeit), das es noch unbekannt ist
  2. Das Gerät landet dadurch in der Endpoint Database und ist durch DHCP schon geprofiled
  3. entweder automatisch anhand des Profils oder per Hand durch den Admin bekommt das Gerät eine Rolle
  4. Bei der nächsten Authentifizierung ist das Gerät nicht mehr unbekannt und wird ins richtige VLAN gelassen. 

Damit erstellt ClearPass die Liste der Geräte und nutzt diese für die Authentifizierung. 

visit our Youtube Channel:
https://www.youtube.com/channel/UCFJCnuXFGfEbwEzfcgU_ERQ/featured
Please visit my personal blog as well:
https://www.flomain.de
Occasional Contributor II

Re: Automatische VLAN Konfiguration/Verteilung

Genau so kenne ich das auch.

Allerdings sieht bei uns die Realität ein wenig anders aus.

Es gibt verschiedene Produktionsmaschinen, die in verschiedenen VLANs sein sollten. Die Geräte Steuerungs-PCs, Siemens-Steuerungen etc werden ohne zutun der IT Abteilung immer wieder getauscht - Auch mitten in der Nacht. 

Wir haben hierrauf keinen Einfluss und deshalb würden wir auf Port-based VLANs gehen.

 

Grundsätzlich in einem reinen "Büro-Netzwerk", bei dem alle Computer in der Domäne sind und gemanaged sind würde ich Clearpass natürlich bevorzugen.

Aruba Employee

Re: Automatische VLAN Konfiguration/Verteilung

Andere Kunden in solchen Situation erlauben das tauschen von Geräten ohne einbeziehen der IT Abteilung nicht. So ein Change muss immer vorher abgesprochen werden. 

 

Wenn das aber hier völlig intransparent passiert, was verhindert, dass die neue Maschiene auf dem falschen Port landet? 

visit our Youtube Channel:
https://www.youtube.com/channel/UCFJCnuXFGfEbwEzfcgU_ERQ/featured
Please visit my personal blog as well:
https://www.flomain.de
Occasional Contributor II

Re: Automatische VLAN Konfiguration/Verteilung

Hallo Florian,

 

mir ist klar, dass es auf den ersten Blick erstmal unvernünftig klingt und mir persönlich wäre es auch lieber, wenn es anders wär.

Die Realtität sind aber in der Produktion ( Hier geht es nicht um normale Büro Computer, sondern um Maschinensteuerungen) werden Computer/andere Netzwerkgeräte wie Ersatzteile behandelt. Wenn eine z.B ein Siemens SPS stirbt, wird eine neue aus dem Regal genommen, die Config eingespielt und verbaut. Das ganze geschieht auch mitten in der Nacht und muss ohne zutun der IT funktionieren, da diese nicth 24/7 besetzt ist. Das hat auch garnicht viel mit Erlauben oder nicht zu tun. Wenn die IT sagen würde, dass funktioniert nicht mehr und die Produktion steht, bis wir im Haus sind und das Gerät freischalten, dann gibt es einen enormen Produktionsausfall.

 

Was verhindert dass nichts am falschen Port landet - Genau nichts. In der Realtät wird es bei uns in den meisten Fällen so aussehen, dass ein Switch auf den meisten Ports vermutlich das VLAN der entsprechende Maschine ausstrahlt, da jede Maschine ein eigenen Schaltschrank hat. Am liebsten wäre es mir eigentlich eine komplette physische Trennung der einzelnen Netzwerke und diese nur an einer zentralen Stelle zusammenzuführen, dies ist aber aufgrund der Netzwerktopologie nicht möglich, da mehere Hallen hintereinander geschaltet sind.

Occasional Contributor II

Re: Automatische VLAN Konfiguration/Verteilung

ich habe jetzt ein Ansprechpartner über ein großen deutschen IT Dienstleister gefunden, der sich mit der IMC auskennt.

Wir werden das ganze in einer kleinen Testumgebung durchtesten.

Die alternative die wir aktuell durchgehen ist alle Switche vorzukonfigurieren und auf allen SFP+ Ports alle VLANs zu taggen. Zusäztlich würden wir dann gleich mehr VLANs anlegen, als wir benötigen und müssten diese nur den Ports zuweisen an den einzelnen Switchen, wenn wir ein neuen VLAN benötigen.

MVP Expert

Re: Automatische VLAN Konfiguration/Verteilung

Hört sich so an also ob die "Ersatzmaschinen/Steuerungen" schon bekannt sind bevor sie im Einsatz sind (Wartungs-Pool). D.h. hier können die MAC-Adressen dieser Geräte schon vorab in Clearpass eingepflegt werden. Dann sind sie sofort im richtigen VLANs wenn angesteckt werden.

 

Occasional Contributor II

Re: Automatische VLAN Konfiguration/Verteilung

Das klingt alles grundsätzlich richtig.

Aber ich denke grundsätzlich driftet die Diskussion vom eigentlich Thread ab. Wie gesagt, suche ich nach einer Lösung für Port Based VLANs und eben nicht für dynamische VLANs.

 

Ich verstehe eure Vorschläge und Idee und finde diese gut.

Leider unterscheiden sich hier Theorie und Praxis voneinander und daran ist halt in unserem Fall einfach nichts wegzudiskutieren.

Es ist für uns einfach unmöglich alle Geräte einzupflegen. Es ist von den Abläufen unmöglich und auch von unserer Manpower nicht zu stemmen.

Die entsprechenden Geräte sind eben nicht alle im Wartungspool, sondern werden unter Umständen auch mitten in der Nacht per Kurier geliefert oder ein Techniker tauscht einfach ein Teil mit einem aus seinem Techniker-Wagen aus. 

Wie gesagt, wäre mir eine dynamische Lösung lieber, aber ist einfach bei uns nicht umzusetzen und da hilft es mir wenig, wenn ich höre dass wir das nicht zulassen sollen etc. Grundsätzlich richtig, aber halt bei uns nicht machbar.

 

Deshalb möchte ich das Thema wieder auf die Konfiguration von Port-Based VLANs und einer möglichen Management Software lenken.

Falls jemand hier noch eine Lösung oder Software kennt, die soetwas kann wäre ich sehr offen dafür.

MVP Expert
MVP Expert

Re: Automatische VLAN Konfiguration/Verteilung

Hallo Michael,

 

ich gehe davon aus, dass Du Aruba Switch OS Switche hast (ex Procurve).

Bei denen kann man mit GVRP oder neuer mit MVRP VLANs verteilen und auf den Uplinks automatisch taggen alssen.

 

Ein (oder aus Redundanzgründen besser mehrere) Core Switche senden die bei ihnen konfigurierten VLANs an alle Nachbarn.

Also kennen schon mal alle Nachbarn alle VLANs.

Wenn man nun an einem Access Switch einen Port in eines der VLANs rein nimmt, dann taggen die Switche die VLANs auf den Uplinks automatisch.

 

Letzteres ist ein wenig arg salopp formuliert, aber im Prinzip "fühlt sich  das ganze so an".

 

Kannst Dir ja mal die Kapitel im Advanced Traffic Management Guide dazu anschauen. MVRP ist das neuere der beiden Protokolle. Du musst prüfen, welches alle Switche gemeinsam unterstützen.

Solltest Du auch noch Cisco haben: Dort ist es VTP. Allerdings ist das m.W. nicht kompatibel und du würdest zwei Inseln bekommen...

 

Und um Jens ein bisschen Konkurrenz zu machen: Du kannst natürlich auch bei CANCOM um Hilfe fragen. :-) Je nachdem, welche Farbe Dir lieber ist :-)   (konnt ich mir jetzt nicht verkneifen...)

 

Viele Grüße, Jö

Please give kudos, if you like my post.
Please Accept as solution, if my post was helpful.
Occasional Contributor II

Re: Automatische VLAN Konfiguration/Verteilung

Hallo jo,

 

das klingt irgendwie schonmal vielversprechend.

Betrifft das denn ganze nur die direkten Nachbarn von Core switchen oder auch die weiter verschachtelten Switche Wenn Core -> Switch1 -> Switch2.

Ich setzte ausschließlich Aruba 2540 und Aruba 2930 (gestackt) ein.

Hast du eventuell ein Link zu dem benannten Guide? Ich finde dazu gerade nichts?

 

Vielen Dank.

 

Grüße

Michael

Highlighted
MVP Expert
MVP Expert

Re: Automatische VLAN Konfiguration/Verteilung

Hi Michael,

 

das gehört zum Switch Manual.

Die findest Du im HPE myNetworking Portal, wenn Du den Switchtypen eingibst, oder im neuen Aruba Support Portal https://asp.arubanetworks.com. Auch da kannst Du nach dem Switchtypen filtern.

 

Für die ASOS Switche lade ich mir immer das Portfolio runter. Das enthält alle Gudies, lässt sich aber nur mit dem Acrobat Reader öffnen. Nicht mit dem Browser.

 

Der einfachheit halber hier ein Link auf das ASP: 2930M auf ASP

Der ist schon vorgefiltert. Unter Documents links ist bei mir der erste Eintrag das Portfolio. Weiter unten findest Du auch den Advanced Traffic Management Guide einzeln...

 

-----------------------------------------------------------------------------------------

Kurz die Funktionsweise. Die ist auch im Guide beschrieben. Das folgende ist salopp formuliert, nicht jedes Detail passt hundertprozentig, aber fürs Verständnis sollte es langen. Das letzte mal nachvollzogen habe ich das bei GVRP. MVRP ist aber ähnlich.

 

Nehmen wir mal folgendes an, um drei Switche hintereinander zu haben:

- 5400R als Core

- 2930 als Distribution

- 2540 als Access

 

GVRP/MVRP auf allen Switchen aktiv. Keine Ports dafür gesperrt ("forbid " in der VLAN Config).

 

Nun legst Du die VLANs am Core an.

Der sendet nun per GVRP alle VLANs auf allen Links raus. Er tagged aber noch nix.

Der 2930 lernt und schickt seinerseits wieder weiter. Gleichzeitig tagged er das VLAN auf dem Link zum 5400R.

Der 2540 lernt und würde auch weiterschicken, aber das spielt im dreistufigen Szenario keine Rolle. Er tagged nun auf dem Link zum 2930.

 

Da auf den Switchen noch kein anderer Port zum VLAN gehört und da der 5400R das VLAN noch nicht tagged (und der 2930 in Richtung 2540 auch nicht), steht alles bereit, aber es werden nichtmal Broadcasts übertragen. ==> Optimal.

 

Nun weist du einen Accessport am 2540 einem der VLANs zu. Da er ja auch GVRP/MVRP spricht, sendet er das VLAN nun über den Uplink zum 2930. Der "lernt" das VLAN nun auch von da und tagged das VLAN auf dem Link zum 2540.

 

Nun beginnt auch der 2930 das VLAN über den Uplink weiter zu melden. Also auch zum 5400R. Der lernt nun, dass das VLAN am 2930 anliegt und tagged es auch auf dem Uplink.

 

Voila. VLAN nur am Core konfiguriert. Aber trotzdem an allen Switchen verfügbar. Sobald am Edge ein Port dem VLAN zugewiesen wird, wird das tagging auf den Uplinks ergänzt. Nur die aktuell am Edge anliegenden VLANs sind an den jeweiligen Uplinks aktiv. Keine Broadcasts von ungenutzten VLANs im Netz unterwegs.

 

Hoffe, mit meiner Erläuterung kann man was anfangen.Details, redundante Auslegung, Troubleshooting, selektives weiterleiten der VLANs, was passiert, wenn der Accessport aus  dem VLAN genommen wird usw. musst Du nun noch nachlesen. Betriebserfahrung kann man hier nicht vermitteln.

Eventuell hast Du nun aber Aspekte für eine Disskussion mit einem Partner.

 

Viele Grüße, Jö

Please give kudos, if you like my post.
Please Accept as solution, if my post was helpful.
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: