d1ck3n
Goto Top

Brücke zwischen zwei VLANS finden

Hallo zusammen,

ich habe zwei getrennte Netze in Betrieb: eins für VOIP (192.168.50.x) und eins für die Clients (192.168.0.x). Beide Netze haben einen eigenen DHCP Pool. Anscheinend hat einer meiner User beide Netze mit einem nicht konfigurierbaren Switch miteinander verbunden (ist nicht das erste Mal -.-) und es werden im VOIP Netz IPs aus dem Client Netz verteilt und umgekehrt.

Hätte jemand eine Idee, wie ich, ohne jeden Tisch-Switch zu kontrollieren, herausfinden könnte an welche Port diese "Brücke" enstanden ist?

Wir haben auf jeder Etage Cisco Switche stehen, die über ein Patch Panel zu den Netzwerkdosen in den Wänden führen.

Grüße
D1Ck3n

Content-ID: 332337

Url: https://administrator.de/contentid/332337

Ausgedruckt am: 26.11.2024 um 05:11 Uhr

132692
132692 16.03.2017 aktualisiert um 16:10:40 Uhr
Goto Top
Wenn sowieso Cisco zum Einsatz kommt DHCP-Snooping angeschmissen und nur die Ports wo die DHCP-Server dranhängen als "Trusted" kennzeichnen und alle anderen als untrusted dann passiert sowas erst gar nicht face-wink.
Die Logs weisen dich dann zum Übeltäter-Port der dann was mit CAT-9 um die Ohren bekommt face-smile.

Gegen den Loop -> 802.1x an den Ports.

p.
chgorges
chgorges 16.03.2017 aktualisiert um 16:09:06 Uhr
Goto Top
Wird schwierig.
Du kannst allerdings den STP-Modus von PVST auf RSTP wechseln und dann die Switches abhoppeln, wo STP dann einen der zwei Uplink-Ports zu dem Tischswitch blockt und anhand dieser Info über den entsprechenden Verteiler zu dem jeweiligen Büro gelangen, um dem Kollegen seinen Switch dann um die Ohren zu hauen :D


Zitat von @132692:

Wenn sowieso Cisco zum Einsatz kommt DHCP-Snooping angeschmissen und nur die Ports wo die DHCP-Server dranhängen als "Trusted"
kennzeichnen und alle anderen als untrusted dann passiert sowas nicht face-wink.

Damit löst man lediglich das Symptom und nicht das Problem ansich, dass im Netzwerk ein gefährlicher Loop und ein unerzogener Mitarbeiter existieren.

Es gibt noch andere Symptomsheiler, z.B. auf dem Core-Switch eine Extended-ACL erstellen, dass DHCP nicht überspringen darf, etc.
108012
108012 16.03.2017 um 16:14:50 Uhr
Goto Top
Hallo,

ich habe zwei getrennte Netze in Betrieb: eins für VOIP (192.168.50.x) und eins für die Clients (192.168.0.x).
Beide Netze haben einen eigenen DHCP Pool.
Mittels Firewallregeln und/oder Switch ACLs kann man das aber glaube ich schnell unterbinden das ein Netz auf
das andere zugreifen darf und dann sollte das auch schnell behoben sein!

Anscheinend hat einer meiner User beide Netze mit einem nicht konfigurierbaren Switch miteinander verbunden
(ist nicht das erste Mal -.-) und es werden im VOIP Netz IPs aus dem Client Netz verteilt und umgekehrt.
Das ist der GAU für solche VLANs, aber man kann ja auch alle ungenutzen Ports sperren und dann kann niemand
mehr etwas anschließen bzw. es läuft dann ins leere.

Hätte jemand eine Idee, wie ich, ohne jeden Tisch-Switch zu kontrollieren, herausfinden könnte an welche Port diese "Brücke" enstanden ist?
ARP-Watch, logfiles der Switche, aber später sollte man sich einmal über LDAP und Radius Server Rollen einen Überblick verschaffen
und damit dann dem Treiben ein Ende bereiten, das wäre mir zu brenzlig wenn da mal am Freitag high noon in der Firma ist und dann
hat keiner mehr Telefon und/oder PC Zugriff das bleibt ja nur wieder an Dir hängen!

Wir haben auf jeder Etage Cisco Switche stehen, die über ein Patch Panel zu den Netzwerkdosen in den Wänden führen.
Und wo enden die bitte? An einem oder zwei Core Switch(en)? Man könnte auch einmal über die Installation von IDS Sensoren
nachdenken und dann darüber herausfinden was nicht funktioniert oder zusätzlich noch eine PRTG VM oder richtig auf einem
Server installiert eine Monitorlösung laufen lassen die dann genauen Aufschluss über das Verhalten gibt.

Gruß
Dobby
Chonta
Chonta 16.03.2017 aktualisiert um 17:20:57 Uhr
Goto Top
Hallo,

aber man kann ja auch alle ungenutzen Ports sperren und dann kann niemand
mehr etwas anschließen bzw. es läuft dann ins leere.

Der switch wird aber vermutlich am Arbeitsplatz angeschlossen sein mit je einem Kabel in die Netzwerkdose für den PC und eins in die Dose vom Telefon und Telefon und PC in den Switch.
Wenn müsste man in den Switchen was einschalten, das nicht erlaubte Geräte erkennt und dann die Ports dicht macht.

Gruß

Chonta
108012
108012 16.03.2017 um 22:26:26 Uhr
Goto Top
Wenn müsste man in den Switchen was einschalten, das nicht erlaubte Geräte erkennt und dann die Ports dicht macht.
Das ist auch tatsächlich so, das kann man mittels eines Radius Servers und Switchen erledigen, die an ein und dem selben
Switch Port Multi-Auth. unterstützen, dann kann man nicht nur ein gerät dort authentisieren und einen kleinen Switch wie hier
in diesem Fall und dann wieder mehrere Geräte, denn das funktioniert dann nicht mehr, man kann das zwar noch so machen
nur wird dann obwohl es nur ein Switch Port ist mehrmals aufgefordert sich gegen den Radius Server zu authentisieren.

Ebenso kann man das auch mittels eines oder sogar zusätzlich mit einem LDAP Server erledigen und dann ist das auch
erledigt.

Gruß
Dobby
aqui
Lösung aqui 17.03.2017 aktualisiert um 10:47:52 Uhr
Goto Top
Du kannst allerdings den STP-Modus von PVST auf RSTP wechseln
Das setzt aber voraus das der TO Catalyst Switches im Einsatz hat und NICHT Ciscos SG xyz Billigserie.
Leider war der TO aber nicht in der Lage das verwechslungssicher zu benennen da er nur pauschal von "Cisco" spricht.
Damit ist nicht klar ob Catalysten oder Billig. Die Billigserie supportet KEIN PVSTP (Per VLAN Spanning Tree) wie es bei den Catalysten Standard ist.

Man kann aber sehr leicht rausbekommen an welchem Port die Bridge gesteckt ist.
Lies einfach per CLI oder SNMP die Mac Adress Datenbank im Switch aus (Mac Forwarding Database). show mac ist das CLI Kommando dazu.
Wenn du dann an einem Switchport mehr als die üblichen 1 oder 2 Mac Adressen siehst (also 10 oder mehr), dann ist das der fälschlich gesteckte Port.
Du solltest dir in der Tat dringenst Gedanken über Port Security machen. 802.1x supportet nun jeder Dödelswitch mittlerweile. DHCP Snooping usw. auch. Eine Kompination von beidem elimiert solche User gemachten Probleme vollständig !
D1Ck3n
D1Ck3n 20.03.2017 um 11:05:31 Uhr
Goto Top
Erstmal großes Danke für die Antworten! Ich habe den Switch gefunden und den User einen Kopf kürzer gemacht!

Ich werde mir die hier genannten Anregungen mal zu Herzen nehmen um solche Probleme in Zukunft zu verhindern.

Ich habe das ganze Netzwerk-Thema von einem ehemaligen Kollegen (zwangsweise) übernommen und meine Cisco Kenntnisse sind ausbaufähig. Da muss was gemacht werden.

Noch mal vielen Dank!
aqui
aqui 20.03.2017 um 11:10:10 Uhr
Goto Top
Ich habe das ganze Netzwerk-Thema von einem ehemaligen Kollegen (zwangsweise) übernommen
Diese "Ausrede" hören wir gefühlte 5-mal am Tag hier im Forum face-wink
Aber gut wenns nun gefixt ist. Dann mach das Netzwerk jetzt wasserdicht face-wink
D1Ck3n
D1Ck3n 21.03.2017 aktualisiert um 09:54:47 Uhr
Goto Top
Wenn man quasi der letzte Sysadmin im Haus ist, muss man sich halt alle anderen Themen erst mal einarbeiten :-P
Das wird jetzt aber angegangen face-wink