GottesMissionar
Freizeitschrauber(in)
Hey 
Ich bin aktuell mit meinem Latein im Netzwerkbereich am Ende und würde mich über Inputs von Expertinnen/Experten freuen. Das Dilemma, vor dem ich stehe, lässt sich leider auch nicht so einfach zusammenfassen. Ich versuch es daher in einer Kurzfassung und einer Langfassung - hoffentlich einigermaßen verständlich - rüber zu bringen.
Kurzfassung
Ich brauche eine Art "tagged"->"untagged" Converter für einen Switch. Der spezifische Anschlussport muss auf dem Switch "tagged" sein, das daran angeschlossene Gerät kann aber lediglich mit "untagged" korrekt arbeiten. Mein spontaner Gedanke wäre einen AP oder einfach einen weiteren Managed Switch hinzustellen, der am "tagged"-Port am Hauptswitch angeschlossen wird - das darauffolgende Gerät wird dann an einem "untagged"-Port zwischengeschaltet.
Langfassung
Ich habe ein - über mehrere Stockwerke verteiltes - Netzwerk mit insgesamt 200 Anschlüssen in einem Studentenwohnheim. Es sind insgesamt 12 Switches involviert, die mittels LWL miteinander verbunden sind - die Trunks sind auch korrekt konfiguriert. Die IP-Adressen für die einzelnen Anschlüsse in den Zimmern werden von einem DHCP der Universität vergeben (Verbindung zur Uni mittels eines lokalen Anbieters mit einer 500 MBit Leitung). Soweit funktioniert das auch problemlos und korrekt.
Nun haben wir die einzelnen Ports für die Zimmer auf "access" gesetzt, damit die Studenten ihre eigenen Router für ein eigenes WLAN (Handy, Tablet, ...) verwenden können. Um das Netzwerk vor fremden DHCP-Servern zu schützen (und damit lahmzulegen) ist DHCP Snooping korrekt konfiguriert (funktioniert auch bereits bei den "Standard-Switches").
Blöderweise müssen dafür alle Ports auf "tagged" gesetzt sein, zumindest habe ich anders keine funktionierende Config zusammen gebracht. Einzelne Ports aus dem Management rauszunehmen ist bei den Planet-Switches, die wir verbaut haben, im Web-Interface nicht möglich.
Mein Problem ist: Ich brauche einige Ports auf "untagged". Wir haben im ganzen Haus (über die Stockwerke, und damit über mehrere Switches verteilt) so genannte "Online-Türen". Das sind spezielle Türen, die sich Online mittels einer Türsteuerungssoftware (läuft in einem Datacenter) fernsteuern lassen - das ganze auch noch standortübergreifend (haben mehrere Standorte). Im Serverraum steht ein speziell vom Datacenter konfigurierter Router (VPN Tunnel, fixe IP-Range, ...) der - in einem eigenen VLAN - die speziell benötigten IP-Adressen (inkl. Internetverbindung) an die Türsteuerungen liefert. Das funktioniert soweit auch problemlos - nur müssen diese Ports "untagged" sein, da die Hardwaresteuerung der Türen mit "tagged" nichts anfangen kann. Wenn ich an diesen Buchsen einen Laptop anstecke, kriege ich die korrekte IP + Verbindung zum Datencenter auch mit "tagged" - die verbaute Türsteuerung stellt sich dann aber leider tot.
Jetzt ist mein Problem, dass dieser "Türen"-Router natürlich für diese 5 Türen eigene, spezielle IP-Adressen vergibt - und das natürlich mit dem generellen DHCP Snooping kollidiert, da diese natürlich nicht rausgefiltert werden sollen. Ebenso wenig wie die IP-Adressen, die die Uni vergibt.
Ich suche daher nach einer Art "Converter", die ich zwischen dem "tagged"-Port am Switch und der "untagged-erwartenden"-Türsteuerung zwischenschalten kann. Meine erste Idee wäre nun, das ich einfach einen kleinen 4er Switch dazwischen schalte, der an den "tagged"-Port angeschlossen wird und selbst aber nur "untagged" weitergibt. Ich bin mir aber noch nicht sicher, ob das tatsächlich so funktioniert.
Mein letzer Backupplan wäre: Wir haben eine zweite LWL-Verkabelung durchs Haus (hab beim Bau drauf bestanden gleich eine Backup-Leitung miteinzubauen), die wir nur spleißen müssten - dann wären diese 5 Online-Türen eben in einem ganz eigenen Netzwerk. Diese Lösung würde ich aber nur ungern machen, denn was ist, wenn in 10 Jahren die Haupt-LWL-Leitung was hat? In einem denkmalgeschütztem Gebäude mal eben neue Kabel durch zu ziehen ist - obwohl sie die Kabeltrassen schön zugänglich gemacht haben) nicht optimal.
Vielleicht hat wer einen Input?
lg + Danke
Ich bin aktuell mit meinem Latein im Netzwerkbereich am Ende und würde mich über Inputs von Expertinnen/Experten freuen. Das Dilemma, vor dem ich stehe, lässt sich leider auch nicht so einfach zusammenfassen. Ich versuch es daher in einer Kurzfassung und einer Langfassung - hoffentlich einigermaßen verständlich - rüber zu bringen.
Kurzfassung
Ich brauche eine Art "tagged"->"untagged" Converter für einen Switch. Der spezifische Anschlussport muss auf dem Switch "tagged" sein, das daran angeschlossene Gerät kann aber lediglich mit "untagged" korrekt arbeiten. Mein spontaner Gedanke wäre einen AP oder einfach einen weiteren Managed Switch hinzustellen, der am "tagged"-Port am Hauptswitch angeschlossen wird - das darauffolgende Gerät wird dann an einem "untagged"-Port zwischengeschaltet.
Langfassung
Ich habe ein - über mehrere Stockwerke verteiltes - Netzwerk mit insgesamt 200 Anschlüssen in einem Studentenwohnheim. Es sind insgesamt 12 Switches involviert, die mittels LWL miteinander verbunden sind - die Trunks sind auch korrekt konfiguriert. Die IP-Adressen für die einzelnen Anschlüsse in den Zimmern werden von einem DHCP der Universität vergeben (Verbindung zur Uni mittels eines lokalen Anbieters mit einer 500 MBit Leitung). Soweit funktioniert das auch problemlos und korrekt.
Nun haben wir die einzelnen Ports für die Zimmer auf "access" gesetzt, damit die Studenten ihre eigenen Router für ein eigenes WLAN (Handy, Tablet, ...) verwenden können. Um das Netzwerk vor fremden DHCP-Servern zu schützen (und damit lahmzulegen) ist DHCP Snooping korrekt konfiguriert (funktioniert auch bereits bei den "Standard-Switches").
Blöderweise müssen dafür alle Ports auf "tagged" gesetzt sein, zumindest habe ich anders keine funktionierende Config zusammen gebracht. Einzelne Ports aus dem Management rauszunehmen ist bei den Planet-Switches, die wir verbaut haben, im Web-Interface nicht möglich.
Mein Problem ist: Ich brauche einige Ports auf "untagged". Wir haben im ganzen Haus (über die Stockwerke, und damit über mehrere Switches verteilt) so genannte "Online-Türen". Das sind spezielle Türen, die sich Online mittels einer Türsteuerungssoftware (läuft in einem Datacenter) fernsteuern lassen - das ganze auch noch standortübergreifend (haben mehrere Standorte). Im Serverraum steht ein speziell vom Datacenter konfigurierter Router (VPN Tunnel, fixe IP-Range, ...) der - in einem eigenen VLAN - die speziell benötigten IP-Adressen (inkl. Internetverbindung) an die Türsteuerungen liefert. Das funktioniert soweit auch problemlos - nur müssen diese Ports "untagged" sein, da die Hardwaresteuerung der Türen mit "tagged" nichts anfangen kann. Wenn ich an diesen Buchsen einen Laptop anstecke, kriege ich die korrekte IP + Verbindung zum Datencenter auch mit "tagged" - die verbaute Türsteuerung stellt sich dann aber leider tot.
Jetzt ist mein Problem, dass dieser "Türen"-Router natürlich für diese 5 Türen eigene, spezielle IP-Adressen vergibt - und das natürlich mit dem generellen DHCP Snooping kollidiert, da diese natürlich nicht rausgefiltert werden sollen. Ebenso wenig wie die IP-Adressen, die die Uni vergibt.
Ich suche daher nach einer Art "Converter", die ich zwischen dem "tagged"-Port am Switch und der "untagged-erwartenden"-Türsteuerung zwischenschalten kann. Meine erste Idee wäre nun, das ich einfach einen kleinen 4er Switch dazwischen schalte, der an den "tagged"-Port angeschlossen wird und selbst aber nur "untagged" weitergibt. Ich bin mir aber noch nicht sicher, ob das tatsächlich so funktioniert.
Mein letzer Backupplan wäre: Wir haben eine zweite LWL-Verkabelung durchs Haus (hab beim Bau drauf bestanden gleich eine Backup-Leitung miteinzubauen), die wir nur spleißen müssten - dann wären diese 5 Online-Türen eben in einem ganz eigenen Netzwerk. Diese Lösung würde ich aber nur ungern machen, denn was ist, wenn in 10 Jahren die Haupt-LWL-Leitung was hat? In einem denkmalgeschütztem Gebäude mal eben neue Kabel durch zu ziehen ist - obwohl sie die Kabeltrassen schön zugänglich gemacht haben) nicht optimal.
Vielleicht hat wer einen Input?
lg + Danke
Die Türen holen sich ihre IP nicht mehr mittels DHCP vom Router, sondern haben nun fixe IP-Adressen. Damit funktioniert die Kommunikation mit dem Datencenter auch perfekt und ich wüsste nicht, was es sonst für Nachteile dieser Lösung gäbe. Das DHCP Snopping und die anderen erwähnten Sicherheitseinstellungen sind nun auch - zumindest was ich testen konnte - korrekt implementiert. Der Netzwerktechniker und ich haben versucht, von einem Studentenanschluss aus das Netzwerk lahmzulegen oder auf Daten vom Zimmernachbarn zuzugreifen (selbst wenn die unter Windows "freigegeben" sind) - keine Chance, alles gesichert. 
