Brücke zwischen zwei VLANS finden
Hallo zusammen,
ich habe zwei getrennte Netze in Betrieb: eins für VOIP (192.168.50.x) und eins für die Clients (192.168.0.x). Beide Netze haben einen eigenen DHCP Pool. Anscheinend hat einer meiner User beide Netze mit einem nicht konfigurierbaren Switch miteinander verbunden (ist nicht das erste Mal -.-) und es werden im VOIP Netz IPs aus dem Client Netz verteilt und umgekehrt.
Hätte jemand eine Idee, wie ich, ohne jeden Tisch-Switch zu kontrollieren, herausfinden könnte an welche Port diese "Brücke" enstanden ist?
Wir haben auf jeder Etage Cisco Switche stehen, die über ein Patch Panel zu den Netzwerkdosen in den Wänden führen.
Grüße
D1Ck3n
ich habe zwei getrennte Netze in Betrieb: eins für VOIP (192.168.50.x) und eins für die Clients (192.168.0.x). Beide Netze haben einen eigenen DHCP Pool. Anscheinend hat einer meiner User beide Netze mit einem nicht konfigurierbaren Switch miteinander verbunden (ist nicht das erste Mal -.-) und es werden im VOIP Netz IPs aus dem Client Netz verteilt und umgekehrt.
Hätte jemand eine Idee, wie ich, ohne jeden Tisch-Switch zu kontrollieren, herausfinden könnte an welche Port diese "Brücke" enstanden ist?
Wir haben auf jeder Etage Cisco Switche stehen, die über ein Patch Panel zu den Netzwerkdosen in den Wänden führen.
Grüße
D1Ck3n
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 332337
Url: https://administrator.de/contentid/332337
Ausgedruckt am: 26.11.2024 um 05:11 Uhr
9 Kommentare
Neuester Kommentar
Wenn sowieso Cisco zum Einsatz kommt DHCP-Snooping angeschmissen und nur die Ports wo die DHCP-Server dranhängen als "Trusted" kennzeichnen und alle anderen als untrusted dann passiert sowas erst gar nicht .
Die Logs weisen dich dann zum Übeltäter-Port der dann was mit CAT-9 um die Ohren bekommt .
Gegen den Loop -> 802.1x an den Ports.
p.
Die Logs weisen dich dann zum Übeltäter-Port der dann was mit CAT-9 um die Ohren bekommt .
Gegen den Loop -> 802.1x an den Ports.
p.
Wird schwierig.
Du kannst allerdings den STP-Modus von PVST auf RSTP wechseln und dann die Switches abhoppeln, wo STP dann einen der zwei Uplink-Ports zu dem Tischswitch blockt und anhand dieser Info über den entsprechenden Verteiler zu dem jeweiligen Büro gelangen, um dem Kollegen seinen Switch dann um die Ohren zu hauen :D
Damit löst man lediglich das Symptom und nicht das Problem ansich, dass im Netzwerk ein gefährlicher Loop und ein unerzogener Mitarbeiter existieren.
Es gibt noch andere Symptomsheiler, z.B. auf dem Core-Switch eine Extended-ACL erstellen, dass DHCP nicht überspringen darf, etc.
Du kannst allerdings den STP-Modus von PVST auf RSTP wechseln und dann die Switches abhoppeln, wo STP dann einen der zwei Uplink-Ports zu dem Tischswitch blockt und anhand dieser Info über den entsprechenden Verteiler zu dem jeweiligen Büro gelangen, um dem Kollegen seinen Switch dann um die Ohren zu hauen :D
Zitat von @132692:
Wenn sowieso Cisco zum Einsatz kommt DHCP-Snooping angeschmissen und nur die Ports wo die DHCP-Server dranhängen als "Trusted"
kennzeichnen und alle anderen als untrusted dann passiert sowas nicht .
Wenn sowieso Cisco zum Einsatz kommt DHCP-Snooping angeschmissen und nur die Ports wo die DHCP-Server dranhängen als "Trusted"
kennzeichnen und alle anderen als untrusted dann passiert sowas nicht .
Damit löst man lediglich das Symptom und nicht das Problem ansich, dass im Netzwerk ein gefährlicher Loop und ein unerzogener Mitarbeiter existieren.
Es gibt noch andere Symptomsheiler, z.B. auf dem Core-Switch eine Extended-ACL erstellen, dass DHCP nicht überspringen darf, etc.
Hallo,
das andere zugreifen darf und dann sollte das auch schnell behoben sein!
mehr etwas anschließen bzw. es läuft dann ins leere.
und damit dann dem Treiben ein Ende bereiten, das wäre mir zu brenzlig wenn da mal am Freitag high noon in der Firma ist und dann
hat keiner mehr Telefon und/oder PC Zugriff das bleibt ja nur wieder an Dir hängen!
nachdenken und dann darüber herausfinden was nicht funktioniert oder zusätzlich noch eine PRTG VM oder richtig auf einem
Server installiert eine Monitorlösung laufen lassen die dann genauen Aufschluss über das Verhalten gibt.
Gruß
Dobby
ich habe zwei getrennte Netze in Betrieb: eins für VOIP (192.168.50.x) und eins für die Clients (192.168.0.x).
Beide Netze haben einen eigenen DHCP Pool.
Mittels Firewallregeln und/oder Switch ACLs kann man das aber glaube ich schnell unterbinden das ein Netz aufBeide Netze haben einen eigenen DHCP Pool.
das andere zugreifen darf und dann sollte das auch schnell behoben sein!
Anscheinend hat einer meiner User beide Netze mit einem nicht konfigurierbaren Switch miteinander verbunden
(ist nicht das erste Mal -.-) und es werden im VOIP Netz IPs aus dem Client Netz verteilt und umgekehrt.
Das ist der GAU für solche VLANs, aber man kann ja auch alle ungenutzen Ports sperren und dann kann niemand(ist nicht das erste Mal -.-) und es werden im VOIP Netz IPs aus dem Client Netz verteilt und umgekehrt.
mehr etwas anschließen bzw. es läuft dann ins leere.
Hätte jemand eine Idee, wie ich, ohne jeden Tisch-Switch zu kontrollieren, herausfinden könnte an welche Port diese "Brücke" enstanden ist?
ARP-Watch, logfiles der Switche, aber später sollte man sich einmal über LDAP und Radius Server Rollen einen Überblick verschaffenund damit dann dem Treiben ein Ende bereiten, das wäre mir zu brenzlig wenn da mal am Freitag high noon in der Firma ist und dann
hat keiner mehr Telefon und/oder PC Zugriff das bleibt ja nur wieder an Dir hängen!
Wir haben auf jeder Etage Cisco Switche stehen, die über ein Patch Panel zu den Netzwerkdosen in den Wänden führen.
Und wo enden die bitte? An einem oder zwei Core Switch(en)? Man könnte auch einmal über die Installation von IDS Sensorennachdenken und dann darüber herausfinden was nicht funktioniert oder zusätzlich noch eine PRTG VM oder richtig auf einem
Server installiert eine Monitorlösung laufen lassen die dann genauen Aufschluss über das Verhalten gibt.
Gruß
Dobby
Hallo,
Der switch wird aber vermutlich am Arbeitsplatz angeschlossen sein mit je einem Kabel in die Netzwerkdose für den PC und eins in die Dose vom Telefon und Telefon und PC in den Switch.
Wenn müsste man in den Switchen was einschalten, das nicht erlaubte Geräte erkennt und dann die Ports dicht macht.
Gruß
Chonta
aber man kann ja auch alle ungenutzen Ports sperren und dann kann niemand
mehr etwas anschließen bzw. es läuft dann ins leere.
mehr etwas anschließen bzw. es läuft dann ins leere.
Der switch wird aber vermutlich am Arbeitsplatz angeschlossen sein mit je einem Kabel in die Netzwerkdose für den PC und eins in die Dose vom Telefon und Telefon und PC in den Switch.
Wenn müsste man in den Switchen was einschalten, das nicht erlaubte Geräte erkennt und dann die Ports dicht macht.
Gruß
Chonta
Wenn müsste man in den Switchen was einschalten, das nicht erlaubte Geräte erkennt und dann die Ports dicht macht.
Das ist auch tatsächlich so, das kann man mittels eines Radius Servers und Switchen erledigen, die an ein und dem selbenSwitch Port Multi-Auth. unterstützen, dann kann man nicht nur ein gerät dort authentisieren und einen kleinen Switch wie hier
in diesem Fall und dann wieder mehrere Geräte, denn das funktioniert dann nicht mehr, man kann das zwar noch so machen
nur wird dann obwohl es nur ein Switch Port ist mehrmals aufgefordert sich gegen den Radius Server zu authentisieren.
Ebenso kann man das auch mittels eines oder sogar zusätzlich mit einem LDAP Server erledigen und dann ist das auch
erledigt.
Gruß
Dobby
Du kannst allerdings den STP-Modus von PVST auf RSTP wechseln
Das setzt aber voraus das der TO Catalyst Switches im Einsatz hat und NICHT Ciscos SG xyz Billigserie.Leider war der TO aber nicht in der Lage das verwechslungssicher zu benennen da er nur pauschal von "Cisco" spricht.
Damit ist nicht klar ob Catalysten oder Billig. Die Billigserie supportet KEIN PVSTP (Per VLAN Spanning Tree) wie es bei den Catalysten Standard ist.
Man kann aber sehr leicht rausbekommen an welchem Port die Bridge gesteckt ist.
Lies einfach per CLI oder SNMP die Mac Adress Datenbank im Switch aus (Mac Forwarding Database). show mac ist das CLI Kommando dazu.
Wenn du dann an einem Switchport mehr als die üblichen 1 oder 2 Mac Adressen siehst (also 10 oder mehr), dann ist das der fälschlich gesteckte Port.
Du solltest dir in der Tat dringenst Gedanken über Port Security machen. 802.1x supportet nun jeder Dödelswitch mittlerweile. DHCP Snooping usw. auch. Eine Kompination von beidem elimiert solche User gemachten Probleme vollständig !