VLAN Konfiguration NAC V4.4

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche


VLAN Konfiguration

Diese Anleitung führt Sie in wenigen Schritten durch die Installation von VLANs. VLANs bieten einen hohen Grad an Netzwerksicherheit und können nur mit einem VLAN fähigen Netzwerkgerät realisiert werden. Wir werden als Beispiel 3 VLANs mit 3 User Portale konfigurieren.

VLAN_Topologie


Zonen Einrichten

Zonen Verwaltung

Die VLANs müssen einer Zone zugewiesen werden. Hier werden wir die Zonen Support, Vertrieb und Gäste als Beispiele für die Konfiguration verwenden.

Um die Zonen anzulegen, wechseln Sie im Hauptmenü auf Administration und wählen den Unterpunkt Zonen.
Geben Sie im Abschnitt "Eingangszone" im Feld "Neue Eingangszone:" den ersten Zonennamen (z.B. Support) ein und klicken sie auf NAC HinzB.png.
Fügen sie anschließend die anderen Zonennamen auf die gleiche Weise hinzu.

In der "Liste der Zonen" werden alle hinzugefügten Zonennamen angezeigt.


Eingangsnetze konfigurieren

VLAN Verwaltung Standard

Der NAC ist mit einem VLANs vorkonfiguriert und der Zone „Standard“ zugewiesen.
Um eine neues VLAN auf dem NAC einzurichten klicken sie auf den Button NAC HinzB.png oben rechts.




Gäste VLAN

Um nun z.B. das Gäste VLAN Einzurichten tragen sie zunächst das Label, also eine Bezeichnung des VLAN ein.
Anschließend tragen sie die Netzadresse mit der Subnetzmaske ein. Die Subnetzmaske können sie sowohl in Punkt Dezimaler Schreibweise oder in CIDR-Notation (Slash-Notation) eintragen.

Als nächstes wählen Sie den Namen des Eingangsbereiches aus (in unserem Beispiel Gaeste), tragen eine VLAN-ID ein und bestimmen die IP-Adresse des Controllers für dieses VLAN-Netzwerk.

Um DHCP für dieses VLAN zu aktivieren, markieren sie im Abschnitt DHCP-Einstellungen den Punkt "DHCP-Server für dieses Netzwerk aktivieren".
Wenn nicht der gesamte IP-Adressbereich füs DHCP genutzt werden soll, klicken sie auf NAC BerHinzB.png und tragen sie den gewünschten Adressbereich ein.
Weiterhin können sie noch den Namen ihrer Domain eintragen.

Abschließend klicken sie auf NAC BestB.png

Das ganze wiederholen sie für weiter Netzwerke die sie anlegen wollen. In unserem Beispiel Vertrieb und Support.

VLAN Verwaltung

Auf der NAC sind jetzt drei neue VLANs angelegt

VLAN-ID 50; 192.168.50.0/24 Zone:Vertrieb
VLAN-ID 190; 192.168.190.0/24 Zone:Gaeste
VLAN-ID 200; 192.168.200.0/24 Zone:Support


Switch Konfiguration

Da der NAC nur eine interne Netzwerk-Schnittstelle hat, laufen alle VLANs am Switch auf einem Port auf. Auf dem Switch müssen drei VLANs mit den IDs 50, 190 und 200 erzeugt werden. Auf manchen Switches gibt es bereits ein VLAN mit der ID=1. Dieses VLAN muss erhalten bleiben, damit die Kommunikation auf den unbeteiligten Ports weiterhin möglich ist.


Der NAC steckt im Switch auf Port 11

VLan-50: hat 5 Mitglieder
VLan-200: hat 2 Mitglieder
VLan-190: hat 1 Mitglied


Konfiguration Vlan 50(U=Untagged; T=Tagged):

Port1 [U] ; PVID 50
Port2 [U] ; PVID 50
Port3 [U] ; PVID 50
Port4 [U] ; PVID 50
Port5 [U] ; PVID 50
Por11 [T] ; PVID 50


Konfiguration Vlan 200(U=Untagged; T=Tagged):

Port6 [U] ; PVID 200
Port7 [U] ; PVID 200
Por11 [T] ; PVID 50


Konfiguration Vlan 4(U=Untagged; T=Tagged):

Port8 [U] ; PVID 190
Por11 [T] ; PVID 50


Wie erkennt jetzt das Interface 11, welche VLAN-ID es hinzufügen muss? Denn die Clients verfügen in der Regel nicht über eine VLAN-Konfig. Der Switch muss also das TAG hinzufügen bzw. bei der Antwort entfernen.


Dies geschieht über die PrimaryVlanID (PVID). In den PVID-Einstellungen werden dem entsprechenden Port eine VLAN-ID zugewiesen. Wenn also ein Paket auf Port 2 ankommt und an Port 11 geht, wird es mit der VLAN-ID 50 getagged. Jeder Port kann nur eine PVID haben. Bei Port 11 ist es also egal, welche der drei IDs dort eingetragen werden.