coreknabe
Goto Top

IP-Adresse an MAC binden

Moin,

wir haben diverse Switche von Dell im Einsatz (Powerconnect 5548 und 6248). Jetzt möchte ich erreichen, dass sich ein Gerät nur noch mit einer bestimmten IP-Adresse im Netzwerk tummeln darf. Wie kann ich das erreichen? IP an die MAC binden? Ja, ist mir bewusst, dass es ein Leichtes ist, die MAC zu ändern... Ich möchte einfach nur eine kleine Einstiegshürde setzen. Oder gibt es andere Möglichkeiten?

Gruß

Content-Key: 290399

Url: https://administrator.de/contentid/290399

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: ArnoNymous
ArnoNymous 08.12.2015 aktualisiert um 16:42:32 Uhr
Goto Top
DHCP-Reservierung?
Oder meinst du Port Security?
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 08.12.2015, aktualisiert am 14.12.2015 um 11:06:04 Uhr
Goto Top
Schau mal unter dem Stichwort "IP Source Guard" ins Handbuch.

lks
Mitglied: aqui
Lösung aqui 08.12.2015, aktualisiert am 14.12.2015 um 11:06:06 Uhr
Goto Top
Ja, normal machst du das mit MAC zu IP Zuweisung im DHCP und dann DHCP Snooping auf dem Netz.
Das schützt aber nicht vor Manipulationen der Mac, da hast du recht. Damit könnte man das umgehen.
Um das auszuhebeln müsstest du dann 802.1x Port Security machen mit Radius.
Mitglied: Coreknabe
Coreknabe 10.12.2015 um 14:56:50 Uhr
Goto Top
Moin,

danke für Eure Antworten.

@ArnoNymous
Geht in die Richtung Port Security.

Wobei wir gerade bei Port sind, gehe ich recht in der Annahme, dass die vorgenommene Konfiguration nur für einen definierten Port geht? Gibt es eine Möglichkeit, das netzwerkweit zu definieren? Ich habe beim Powerconnect 6248 mal geschaut, ob ich da ACL-Regeln konfigurieren kann, sehe aber nichts, was mir weiterhelfen würde. Was nichts heißen muss face-smile
Mitglied: Coreknabe
Coreknabe 10.12.2015 um 16:24:04 Uhr
Goto Top
OK, ich glaube, ich habe einen gangbaren Weg gefunden: Dynamic ARP Inspection. Spricht aus Eurer Sicht etwas dagegen? Sollte ich noch irgendwas beachten?
Mitglied: aqui
aqui 11.12.2015 um 18:23:29 Uhr
Goto Top
Stimmt du hast Recht, das ist auch ein Weg. Nein beachten muss man da nichts...rennt sogar auf einem Raspberry Pi face-wink
Mitglied: Coreknabe
Coreknabe 14.12.2015 um 11:05:50 Uhr
Goto Top
Danke, funktioniert! Einziger Haken: Auch das DAI läuft portbasiert ab. Jetzt hängen an den Switchen einige Endgeräte mit fester IP, die müsste ich alle mühsam mit IP und MAC bekanntmachen. Oder das Risiko eingehen, alle Ports außer der zu überwachenden als Trusted zu markieren. Tue ich letzteres nicht, habe ich einiges an Pflegeaufwand (neues Endgerät kommt an die Dose, Endgerät wechselt den Standort...). Andererseits kann so jemand, der was Böses im Schilde führt, einfach eine Trusted Dose benutzen...
Mitglied: aqui
aqui 14.12.2015 aktualisiert um 13:38:23 Uhr
Goto Top
Jetzt hängen an den Switchen einige Endgeräte mit fester IP, die müsste ich alle mühsam mit IP und MAC bekanntmachen.
Nööö... DAI kann die Mac Forwarding Table des Switches dynamisch via SNMP auslesen. Damit ist das dann unnötig.
Ist der Thread denn jetzt gelöst oder warum hast du ihn willentlich auf "gelöst" geklickt ?!
Mitglied: Coreknabe
Coreknabe 14.12.2015 aktualisiert um 15:13:26 Uhr
Goto Top
Hm... Habe das mal getestet, wenn ich ein Gerät an einem untrusted port anschliesse und an dem Gerät eine feste IP vergebe, war's das mit Ping und Co... Habe ich bislang nicht erwähnt, aber DHCP macht ein Windows 2008R2 und nicht der Swich. Weiß nicht, ob das ne Rolle spielt.
Thread an sich ist ja gelöst, MAC zu IP, deshalb prinzipiell gelöst face-smile
Mitglied: Coreknabe
Coreknabe 16.12.2015 um 08:43:01 Uhr
Goto Top
@aqui
Auch wenn das Problem an sich gelöst ist, kannst Du das mit DAI und MAC Forwarding Table noch einmal kurz erläutern? Wenn ich das richtig verstehe, bedingt das, dass der Switch DHCP übernimmt?
Mitglied: aqui
aqui 17.12.2015 um 11:27:06 Uhr
Goto Top
Nein, er muss nicht komplett DHCP machen sondern nur DHCP Snooping supporten. Kann aber heute jeder nur halbwegs gute Switch per default:
Hier ist das recht gut erklärt:
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2 ...

Gild auch für alle anderen Hersteller, da die das identisch so machen.
Mitglied: Coreknabe
Coreknabe 17.12.2015 um 18:08:35 Uhr
Goto Top
Hi Aqui,

vielen Dank für den Link. Habe mir das durchgelesen und verstehe noch nicht ganz, wie statische IPs quasi "freigeschaltet" werden. Dafür brauche ich ARP ACLs? Wobei wir wieder bei einem höheren Pflegeaufwand wären.

Dann habe ich noch das Problem, dass ich DAI aktivieren kann, dann aber nach einigen Stunden zuerst die angeschlossenen WLAN-APs die Verbindung verlieren und irgendwann der gesamte Switch vom Netz getrennt ist. DAI läuft nur auf diesem einen Switch, der Trunkport zu einem anderen Switch ist als "Trusted" konfiguriert. Verbinde ich mich direkt mit dem Switch, schalte ich DAI aus und habe wieder eine Verbindung. Läuft ein paar Stunden, bis die Verbindung zum anderen Switch wieder abreißt. Spontan eine Idee, woran das liegen kann? Außerdem hängen an dem Switch noch zwei, drei kleine managebare Desktopswitches. Muss ich die Ports, an denen die angeschlossen sind, auch als Trusted konfigurieren?

Gruß

P.S.: Ich bin noch auf eine sehr hilfreiche Cisco-Seite gestoßen, die für Netzwerkdödel wie mich sehr hilfreich ist, mit vieeeeelen Bildern. Weißt Du zufällig, welche das ist? Hab versehentlich die Seite weggeklickt und finde sie nicht wieder. Cisco Learning Academy oder sowas?
Mitglied: aqui
aqui 18.12.2015 um 14:30:51 Uhr
Goto Top
Oha...da müsste ich jetzt selber mal suchen... Wenn du DAI machst, dann macht das nur Sinn wenn die gesamte Infrastruktur das macht. Im Design Guide steht ja auch das Inseln das Konzept dann aufweichen und es dann eigentlich sinnlos ist.
Wenn dann musst du das durchgehend machen
Mitglied: Coreknabe
Coreknabe 18.12.2015 um 14:51:45 Uhr
Goto Top
Danke für Deine Rückmeldung. DAI für nur einen Switch geht auch, laut Cisco sollte der Trunk zu Switchen, die nicht mitmachen, dann aber auf "Untrusted" gesetzt sein:

In cases in which some switches in a VLAN run DAI and other switches do not, configure the interfaces connecting such switches as untrusted. However, to validate the bindings of packets from switches where DAI is not configured, configure ARP ACLs on the switch running DAI. When you cannot determine such bindings, isolate switches running DAI at Layer 3 from switches not running DAI.

Lass mich wissen, wenn Dir noch etwas einfällt face-smile

Ansonsten schon mal danke und ein schönes Adventswochenende!