Netztrennung/zuweisung per MAC/Zertifikat


#1

Hallo zusammmen,

ich denke grad mal wieder an eine mögliche neue Netzstruktur für unsere Schule und wie diese technisch sauber, komfortabel handlebar und netzbriefkonform umgesetzt werden könnte. U.a. sollen Verwaltungs-, Lehrer- und pädagogisches Netz (VLAN-mäßig) voneinander getrennt werden (zusätzlich Netze für Server, Drucker, WLAN, Management, DMZ, …).

Nun bin ich auf die Idee der dynamischen VLAN-Zuweisung via MAC-Adresse und/oder Zertifikaten gestoßen. Klingt von daher sexy, als dass die leidige Port-VLAN-Frickelei an den Switchen obsolet würde, v.a. aber auch deswegen, weil man keine dedizierte Lehrernetzdose (z.B.für elektronisches Tagebuch) in für Schüler zugänglichen Räumen mehr vorhalten müsste. Einfach eine (oder mehrere Dosen) und je nachdem, welches Gerät kommt, erfolgt schwupps dynamisch die korrekte Zuweisung!

Was haltet Ihr davon?
Hat das jemand von Euch schon auf vergleichbare Weise umgesetzt und welche Erfahrung habt Ihr damit gemacht?
Geht das auch mit (UniFi)WLAN?

Klar, reine MAC-Basierung würde ein Sicherheitsproblem bedeuten (MAC-Spoofing) und Zertifikate sind auf BYOD-Geräten aller Couleur vermutlich so ne Sache…
Vermutlich liegt hier schon der Hase im Pfeffer, denn wie bekomme ich Zertifikate auf den Drucker, die USV, das Smartphone,…?!

Und wo ich das gerade schreibe, fällt mir auf, dass das wie oben beschrieben, natürlich eine rein gerätespezifische Zuweisung ist.
Die neue linuxmuster.net v7 setzt jedoch vermehrt auf benutzerspzifische
Regeln…!?
Beißt sich das oder ließe sich das sogar kombinieren? Übersehe ich irgendwelche Pferdefüße?

Vielen Dank für’s Mitdenken und viele Grüße,
Jochen

P.S.: bin die nächsten 4 Tage offline, Antworten auf Antworten danach :wink:


#2

Hi. Klingt mir zu kompliziert. Das Problem mit dem MAC-Spoofing macht es nicht gerade einfacher sondern noch komplexer, würde ich sagen?!? Dann schon eher PVLAN, so wie hier vorgestellt:
https://www.it-bildungsnetz.de/fileadmin/media/Akademietag_2012/Private%20VLAN.pdf

Generell stellt sich aber die Frage, wie oft du am Switch unterschiedliche Geräte an den Ports hast?? Bei uns kommt das eher selten vor.

Schöne Grüße,
Michael


#3

Hallo,

meine Meinung:
ja, wäre schon cool, aber wegen spoofing ist das ohne Zertifikate nicht
Sinnvoll.

Und die Zertifikate bringen andere Probleme (BYOD, aber auch das einfach
Lehrerlaptop oder das Schülerlaptop, das nur einmal für die Präsentation
in der Schule ist…).

Wie Michael sagt: es kommt ja selten vor, ode rnur an wenigen Dosen vor,
dass da wechselnde Geräte dran sind.

Also: falls sich jemand einlesen will, falls folgendes geht, könnte man
es brauchen:

Wenn ein Gerät MAC Adresse X und Zertifikat Y an Port Z angestöpselt
wird, dann geht das in VLAN 1
Und wenn ein Gerät ohne Zertifikat an kommt (egal welche MAC), dann geht
das in VLAN 2

Damit könnte man arbeiten: keine Ahnung, ob das geht.

LG

Holger


#4

Sorry für die späte Rückmeldung und vielen Dank für Eure Antworten!
Ich hab den Plan mittlerweile wieder verworfen.

Viele Grüße,
Jochen