Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(24 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
== Was sind die Ziele dieses How-to ==
[[Kategorie:NAC]]
== Was sind die Ziele dieses Howto? ==


Diese Quick-Step Anleitung führt Sie in wenigen Schritten durch die Installation von VLANs. VLANs bieten einen hohen Grad von Netzwerksicherheit und kann nur mit einem VLAN fähigem Netzwerkgerät realisiert werden. Wir werden als Beispiel 3 VLANs mit 3 User Portale konfigurieren.  
Diese Quick-Step-Anleitung führt Sie in wenigen Schritten durch die Installation von VLANs. VLANs bieten einen hohen Grad von Netzwerksicherheit und können nur mit einem VLAN fähigen Netzwerkgerät realisiert werden. Wir werden als Beispiel 3 VLANs mit 3 User Portale konfigurieren.  


*Wie verbinde ich die NAC Appliance?
*Wie verbinde ich die NAC Appliance?
Zeile 7: Zeile 8:
*Wie logge ich mich ein?
*Wie logge ich mich ein?
*VLAN konfiguration
*VLAN konfiguration
* Switch Konfiguration
*Switch Konfiguration


== Schritt 1: Wie verbinde ich die NAC Appliance? ==
== Schritt 1: Wie verbinde ich die NAC Appliance? ==


Wie verbinde ich die NAC Appliance? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Wie_verbinde_ich_die_NAC_Appliance%3F]
Wie verbinde ich die NAC Appliance? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Wie_verbinde_ich_die_NAC_Appliance%3F]


== Schritt 2: Wie rufe ich die Administrationsoberfläche auf? ==
== Schritt 2: Wie rufe ich die Administrationsoberfläche auf? ==
Zeile 23: Zeile 22:
== VLAN Konfiguration ==
== VLAN Konfiguration ==


[[Datei:VLAN_Topologie.png|500px|thumb|center|VLAN_Topologie]]


Der NAC ist mit 3 VLANs vorkonfiguriert und jeder VLAN hat die Zone „Default“. Neue VLANs können mit dem Button „Add“ hinzugefügt werden.
Der NAC ist mit 3 VLANs vorkonfiguriert und jeder VLAN hat die Zone „Default“. Neue VLANs können mit dem Button „Add“ hinzugefügt werden.


[[Datei:VLAN_Topologie.png|400px|thumb|center|VLAN_Topologie]]
   
   
===  Zonen Konfiguration ===


Die VLANs können jetzt einer Zone zugewiesen werden. Hier werden wir die Zonen (Support, Vertrieb, Gäste) als Beispiele für die Konfiguration verwenden. Dazu müssen die Zonen unter Administration / Zones eingetragen werden.


===  Zonen Konfiguration ===
Die VLANs können jetzt einer Zone zugewiesen werden. Hier werden wir die Zonen (support, vertrieb, gäste) als Beispiele für die Konfiguration verwenden. Dazu, müssen die Zonen unter Administration / Zones eingetragen werden.


[[Datei:zone_management.png|800px|thumb|center|Zone_Management]]
    
    
Die Zuordnung VLANs / Zone wird unter Configuration / Incoming VLANs konfiguriert.  
Die Zuordnung VLANs / Zone wird unter Configuration / Incoming VLANs konfiguriert.  


 


Auf der NAC sind jetzt drei VLANs
[[Datei:incoming_vlan_zone.png|800px|thumb|center|Incoming_VLAN]] 
 
Auf der NAC sind jetzt zwei VLANs
 
:'''VLAN ID2; 10.0.0.0/24 zone:vlan2'''
 
:'''VLAN ID3; 192.168.10.0/24 zone:vlan1'''


VLAN ID2; 192.168.100.254/24 zone:support
=== Switch Konfiguration ===
VLAN ID3; 192.168.200.254/24 zone:vertrieb
VLAN ID4; 172.16.250.254/24 zone:gäste


=== Portal Konfiguration ===
Da der NAC nur eine interne NIC hat, laufen alle VLANs am Switch auf einem Port auf. Auf dem Switch müssen drei VLANs mit den IDs 2, 3 und 4 erzeugt werden. Auf manchen Switches gibt es bereits ein VLAN mit der ID=1. Dieses VLAN muss erhalten bleiben, damit die Kommunikation auf den unbeteiligten Ports weiterhin möglich ist.


Die Konfiguration für die Zuordnung User Portal / VLANs wird unter Configuration / Customisation / Captive Portal durchgeführt. Der NAC hat standardmäßig einen User Portal mit der Zone „Default“, zwei weitere Portale werden mit dem Button „Add“ hinzugefügt.


 
Der NAC steckt im Switch auf Port 11


:VLan-2: hat 5 Mitglieder


=== Switch Konfiguration ===
:VLan-3: hat 2 Mitglieder


Da der NAC nur eine interne NIC hat, laufen alle VLAN am Switch auf einem Port auf. Auf dem Switch müssen drei VLAN mit den IDs 2, 3 und 4 erzeugt werden. Auf manchen Switchen gibt es bereits ein VLAN mit der ID=1. Dieses VLAN muss erhalten bleiben damit die Kommunikation auf den unbeteiligten Ports weiterhin möglich ist.
:VLan-4: hat 1 Mitgleid


Der NAC steckt im Switch auf Port 11
VLan-2: hat 5 Mitglieder
VLan-3: hat 2 Mitglieder
VLan-4: hat 1 Mitgleid


Konfiguration Vlan 2(U=Untagged; T=Tagged):
Konfiguration Vlan 2(U=Untagged; T=Tagged):
Port1 [U] ; PVID 2
 
Port2 [U] ; PVID 2
:Port1 [U] ; PVID 2
Port3 [U] ; PVID 2
 
Port4 [U] ; PVID 2
:Port2 [U] ; PVID 2
Port5 [U] ; PVID 2
 
Por11 [T] ; PVID 2
:Port3 [U] ; PVID 2
 
:Port4 [U] ; PVID 2
 
:Port5 [U] ; PVID 2
 
:Por11 [T] ; PVID 2




Konfiguration Vlan 3(U=Untagged; T=Tagged):
Konfiguration Vlan 3(U=Untagged; T=Tagged):
Port6 [U] ; PVID 3
 
Port7 [U] ; PVID 3
:Port6 [U] ; PVID 3
Por11 [T] ; PVID 2
 
:Port7 [U] ; PVID 3
 
:Por11 [T] ; PVID 2




Konfiguration Vlan 4(U=Untagged; T=Tagged):
Konfiguration Vlan 4(U=Untagged; T=Tagged):
Port8 [U] ; PVID 4
Por11 [T] ; PVID 2


Wie erkennt jetzt das Interface 11, welche VLAN-ID es hinzufügen muss? Denn die Clients verfügen in der Regel nicht über einen VLAN-Konfig. Der Switch muss also das TAG hinzufügen bzw. bei der Antwort entfernen.
:Port8 [U] ; PVID 4
 
:Por11 [T] ; PVID 2
 
 
Wie erkennt jetzt das Interface 11, welche VLAN-ID es hinzufügen muss? Denn die Clients verfügen in der Regel nicht über eine VLAN-Konfig. Der Switch muss also das TAG hinzufügen bzw. bei der Antwort entfernen.
 


Dies geschieht über die PrimaryVlanID (PVID). In den PVID-Einstellungen werden den entsprechenden Port eine VLAN-ID zugewiesen. Wenn also ein Paket auf Port 2 ankommt und an Port 11 geht, wird es mit der VLAN-ID 2 getagged. Jeder Port kann nur eine PVID haben. Bei Port 11 ist es also egal welche der drei IDs dort eingetragen wird.
Dies geschieht über die PrimaryVlanID (PVID). In den PVID-Einstellungen werden dem entsprechenden Port eine VLAN-ID zugewiesen. Wenn also ein Paket auf Port 2 ankommt und an Port 11 geht, wird es mit der VLAN-ID 2 getagged. Jeder Port kann nur eine PVID haben. Bei Port 11 ist es also egal, welche der drei IDs dort eingetragen werden.

Aktuelle Version vom 2. Mai 2013, 11:52 Uhr

Was sind die Ziele dieses Howto?

Diese Quick-Step-Anleitung führt Sie in wenigen Schritten durch die Installation von VLANs. VLANs bieten einen hohen Grad von Netzwerksicherheit und können nur mit einem VLAN fähigen Netzwerkgerät realisiert werden. Wir werden als Beispiel 3 VLANs mit 3 User Portale konfigurieren.

  • Wie verbinde ich die NAC Appliance?
  • Wie rufe ich die Administrationsoberfläche auf?
  • Wie logge ich mich ein?
  • VLAN konfiguration
  • Switch Konfiguration

Schritt 1: Wie verbinde ich die NAC Appliance?

Wie verbinde ich die NAC Appliance? Siehe [1]

Schritt 2: Wie rufe ich die Administrationsoberfläche auf?

Wie rufe ich die Administrationsoberfläche auf?: Siehe [2]

Wie logge ich mich ein? Siehe [3]

VLAN Konfiguration

Der NAC ist mit 3 VLANs vorkonfiguriert und jeder VLAN hat die Zone „Default“. Neue VLANs können mit dem Button „Add“ hinzugefügt werden.


VLAN_Topologie

Zonen Konfiguration

Die VLANs können jetzt einer Zone zugewiesen werden. Hier werden wir die Zonen (Support, Vertrieb, Gäste) als Beispiele für die Konfiguration verwenden. Dazu müssen die Zonen unter Administration / Zones eingetragen werden.


Zone_Management

Die Zuordnung VLANs / Zone wird unter Configuration / Incoming VLANs konfiguriert.


Incoming_VLAN

Auf der NAC sind jetzt zwei VLANs

VLAN ID2; 10.0.0.0/24 zone:vlan2
VLAN ID3; 192.168.10.0/24 zone:vlan1

Switch Konfiguration

Da der NAC nur eine interne NIC hat, laufen alle VLANs am Switch auf einem Port auf. Auf dem Switch müssen drei VLANs mit den IDs 2, 3 und 4 erzeugt werden. Auf manchen Switches gibt es bereits ein VLAN mit der ID=1. Dieses VLAN muss erhalten bleiben, damit die Kommunikation auf den unbeteiligten Ports weiterhin möglich ist.


Der NAC steckt im Switch auf Port 11

VLan-2: hat 5 Mitglieder
VLan-3: hat 2 Mitglieder
VLan-4: hat 1 Mitgleid


Konfiguration Vlan 2(U=Untagged; T=Tagged):

Port1 [U] ; PVID 2
Port2 [U] ; PVID 2
Port3 [U] ; PVID 2
Port4 [U] ; PVID 2
Port5 [U] ; PVID 2
Por11 [T] ; PVID 2


Konfiguration Vlan 3(U=Untagged; T=Tagged):

Port6 [U] ; PVID 3
Port7 [U] ; PVID 3
Por11 [T] ; PVID 2


Konfiguration Vlan 4(U=Untagged; T=Tagged):

Port8 [U] ; PVID 4
Por11 [T] ; PVID 2


Wie erkennt jetzt das Interface 11, welche VLAN-ID es hinzufügen muss? Denn die Clients verfügen in der Regel nicht über eine VLAN-Konfig. Der Switch muss also das TAG hinzufügen bzw. bei der Antwort entfernen.


Dies geschieht über die PrimaryVlanID (PVID). In den PVID-Einstellungen werden dem entsprechenden Port eine VLAN-ID zugewiesen. Wenn also ein Paket auf Port 2 ankommt und an Port 11 geht, wird es mit der VLAN-ID 2 getagged. Jeder Port kann nur eine PVID haben. Bei Port 11 ist es also egal, welche der drei IDs dort eingetragen werden.