1x1speed
Goto Top

Access Control für MAC Adresse

Hallo,

ich hab folgendes Problem:
Beim nachsehen in den Leases vom DHCP sind mir zwei Fremdrechner aufgefallen. Da hat anscheinend jemand seinen Virenschleudernden
Laptop angesteckt.
Nun besteht das Netz nicht komplett aus Cisco Komponenten, wo ich einfach den Port dicht machen kann. Ich hab lediglich im Serverraum zwei
3750er der Router ist derzeit auch noch kein Cisco

Ich hab gestern versucht über eine Extended mac access-list die MAC von einem device auf dem 3750er Switch zu verbieten.

#conf t
#(config) mac access-list extended macsec01
#(config-ext-mac1)deny host <mac> any
#(config-ext-mac1)end


Prinzipiell soll das Device mit einer in der Access List eingetragenen MAC keinen IP Traffic über GigabitEthernet1/0/1 und GigabitEthernet1/0/2
mehr haben dürfen.


aktuelle Switchconfig:
Current configuration : 7131 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch01
!
boot-start-marker
boot-end-marker
!
no logging console
no logging monitor
!
no aaa new-model
switch 1 provision ws-c3750-48p
system mtu routing 1500
vtp domain RDC
vtp mode transparent
ip subnet-zero
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
no spanning-tree vlan 1
!
vlan internal allocation policy ascending
!
vlan 10
 name Office
!
vlan 15
 name Externe
!
vlan 20
 name Server
!
vlan 25
 name Verein
!
vlan 30
 name Drucker
!
!
!
!
interface FastEthernet1/0/1
 switchport access vlan 20
 switchport mode access
!
interface FastEthernet1/0/48
 switchport access vlan 20
 switchport mode access
!
interface GigabitEthernet1/0/1
 description Trunk connection to Switch02 port GigabitEthernet 0/2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10,15,20,25,30
 switchport mode trunk
!
interface GigabitEthernet1/0/2
 description Trunk connection to ESX002 NIC2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10,15,20,25,30
 switchport mode trunk
!
interface GigabitEthernet1/0/3
 switchport access vlan 20
 switchport mode access
!
interface GigabitEthernet1/0/4
 switchport access vlan 20
 switchport mode access
!
interface Vlan1
 no ip address
 no ip route-cache
 no ip mroute-cache
 shutdown
!
interface Vlan20
 ip address 192.168.1.24 255.255.255.0
 no ip route-cache
 no ip mroute-cache
!
ip classless
ip http server
ip http secure-server
!
!
logging facility local3
logging 192.168.1.200
!
control-plane
!
!
line con 0
line vty 0 4
 login
line vty 5 15
 login
!
end

Danke für Hinweise

Content-ID: 144149

Url: https://administrator.de/forum/access-control-fuer-mac-adresse-144149.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

aqui
aqui 04.06.2010 um 11:46:43 Uhr
Goto Top
Na ja, wenn du dann auch Switch01(config-if)# mac access-group macsec01 in außer deiner ACL Definition auf dem entsprechenden Interface nicht vergisst, sollte das problemlos klappen !
1x1speed
1x1speed 28.12.2010 um 16:30:38 Uhr
Goto Top
danke, funzzt bestens. jetzt hab ich es aber über port security gelöst, da ich alle unmanaged access switche gegen cisco ausgetauscht hab.

cheers!!