sven91
Goto Top

Portsicherheit am Switch

Hallo zusammen,

Kunden schließen oft an eine Dose einfach mal kleine Switche an und kein Mensch blickt dort mehr durch.
Kann ich dem Coreswitch, zu dem diese Kabel über ein Patchpanel führen würden, dahingehend absichern, dass der Port das dann blockt/ ausgeht?

Herstellerunabhängig gefragt.

Content-Key: 495380

Url: https://administrator.de/contentid/495380

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: Dani
Dani 16.09.2019 um 11:42:37 Uhr
Goto Top
Moin,
die einfache, schnelle Lösung heißt Port Security und wird grundsätzlich auf dem Switch bzw. Port konfiguriert. Damit verbunden sind mehere Aktionen möglich (Block, Disable). Der Switch muss mindestens Layer 2 Managed sein.

Wenn es etwas größer sein soll und muss, gibt es natürlich entsprechende NAC-Lösungen, welche natürlich umfangreicher, detailierte Konfiguration ermöglichen.


Gruß,
Dani
Mitglied: Franz-Josef-II
Franz-Josef-II 16.09.2019 um 12:52:48 Uhr
Goto Top
Rein prinzipiell -> ja

Frage: Warum ist die Dose überhaupt gepatcht und was willst Du konkret erreichen?


Wenn es eine "Kundendose" ist, dann stecken sich die Kunden an. Heißt verschiedene MAC-Adressen auf einem SwitchPort. Hier kann der Switch nicht unterscheiden, ob die Kunden sich nacheinander oder gleichzeitig über einen kleinen Switch anstecken. Für ihn fließen sie Daten immer nacheinander.

Du kann einen Port einer MAC-Adresse zuordnen, steckt sich jemand anders an wirds blockiert, nur ist das so gewünscht?
Mitglied: aqui
aqui 16.09.2019 aktualisiert um 13:00:08 Uhr
Goto Top
Kann ich dem Coreswitch,
Ja, das kannst du ! Das Zauberwort heisst 802.1x Port Security:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Geht entweder mit den User Credentials oder auch rein über die Mac Adresse oder auch mit einer Kombination von beidem.
Das ist das weltweite Standard Verfahren um Ports abzusichern.

Statische Mac Adress Port Security geht auch aber dann musst du an jedem Switchport statisch die Mac Adressen immer fest definieren in der Konfig die da dürfen ! Etwas unflexibel wenn du wechselnde User hast.
Sind die User aber immer fest und statisch wäre das auch ein gangbarer Weg da etwas weniger Aufwand als .1x.
Mitglied: maxblank
maxblank 16.09.2019 um 17:13:01 Uhr
Goto Top
Hallo,

du kannst die gewünschten Geräte anschließen, Port Security global mit Autolearn einstellen und dann mit den entsprechenden Geräten aktivieren. Diese müssen natürlich an sein.
Wichtig: Für die Ports mit mehreren MAC-Adressen entsprechende Ausnahmen definieren.
Nicht benötigte Ports werden dauerhaft down geschaltet und fertig ist der Lack mit wenig manuellem Aufwand.

Gruß
maxblank
Mitglied: lcer00
lcer00 17.09.2019 um 07:33:58 Uhr
Goto Top
Hallo,

vermietest Du Netzwerkdosen?

Vielleicht suchst Du ja auch eine Möglichkeit herauszubekommen, welche Geräte (MAC) an welchem Port hängen? Dazu hat der Switch eine ARP-Tabelle, die zeigt an, was wo ist. Oder eben die 802.1x . Das kann man auch so konfigurieren, dass alles erlaubt ist und der Radius-Server protokolliert, was sich an welchem Port angemeldet hat.

Grüße

lcer