9
Cisco SG 300 - MAC to VLAN?
Hallo liebe Community,
seit einigen Wochen nutzen wir in unseren Netzwerk einen Cisco SG 300-52 Switch. Um Private Computer und Firmen Workstations voneinander zu trennen sind die Ports mit VLANs konfiguriert. Um nun zu Umgehen das ein Privater Rechner auf eine nicht dafür vorgesehene Netzwerkdose gesteckt wird, würden wir gerne die VLAN Zuweisung über MAC Adressen regeln.
So weit so gut..
In dem Webinterface des Switches gibt es auch einen Punkt mit VLAN Zuweisung nach MAC Adressen, allerdings muss in der Konfiguration auch immer ein Port angegeben werden. Das ist natürlich nicht Sinn der Sache.
Konnte schon jemand damit Erfahrungen Sammeln?
Beste Grüße
Steven Meyer
seit einigen Wochen nutzen wir in unseren Netzwerk einen Cisco SG 300-52 Switch. Um Private Computer und Firmen Workstations voneinander zu trennen sind die Ports mit VLANs konfiguriert. Um nun zu Umgehen das ein Privater Rechner auf eine nicht dafür vorgesehene Netzwerkdose gesteckt wird, würden wir gerne die VLAN Zuweisung über MAC Adressen regeln.
So weit so gut..
In dem Webinterface des Switches gibt es auch einen Punkt mit VLAN Zuweisung nach MAC Adressen, allerdings muss in der Konfiguration auch immer ein Port angegeben werden. Das ist natürlich nicht Sinn der Sache.
Konnte schon jemand damit Erfahrungen Sammeln?
Beste Grüße
Steven Meyer
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 239762
Url: https://administrator.de/contentid/239762
Ausgedruckt am: 25.11.2024 um 13:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
spontan würde mir da Firewallregeln und/oder Switch ACLs einfallen.
Alternativ kann man aber auch für das Firmennetzwerk einen LDAP Server
aufsetzen und dann ist das VLAN mit diesem Server eben auch abgesichert.
Gruß
Dobby
spontan würde mir da Firewallregeln und/oder Switch ACLs einfallen.
Alternativ kann man aber auch für das Firmennetzwerk einen LDAP Server
aufsetzen und dann ist das VLAN mit diesem Server eben auch abgesichert.
Gruß
Dobby
Hast du einen oder mehrere Switche?
Prinzipiell ist so etwas schon machbar. Manchmal intern und manchmal auch extern via SNMP. Aber das ist auch kein sicherer Schutz, vor allem nicht gegen Leute, die die MAC ändern können. Da wären dann weiterer Abfragen für eine gute Erkennung wichtig. Z.B.: Zertifikate oder Anmeldungen am Radius via 802.1x.
Aber deine Aussage kann nicht ganz stimmen, da die Switches oft die VLANs für die Telefonie mitziehen können. So sollte es auch hier laufen. http://www.cisco.com/web/DE/verticals/smb/products/routers_switches/300 ...
Gruß
Netman
Prinzipiell ist so etwas schon machbar. Manchmal intern und manchmal auch extern via SNMP. Aber das ist auch kein sicherer Schutz, vor allem nicht gegen Leute, die die MAC ändern können. Da wären dann weiterer Abfragen für eine gute Erkennung wichtig. Z.B.: Zertifikate oder Anmeldungen am Radius via 802.1x.
Aber deine Aussage kann nicht ganz stimmen, da die Switches oft die VLANs für die Telefonie mitziehen können. So sollte es auch hier laufen. http://www.cisco.com/web/DE/verticals/smb/products/routers_switches/300 ...
Gruß
Netman
Wir haben nur einen 52 Port Switch. Es geht auch nur darum zu verhindern das man sich aus versehen auf die falsche Buchse steckt und nicht vor eindringen mit Böser Absicht abzuwehren.
Wie man dynamische VLAN Zuweisung am Port oder 802.1x im Allgemeinen auf dem Cisco SG-300 konfiguriert erklärt dir dieses Forumstutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Die dynamische Voice VLAN Zuweisung klappt nur mit LLDP-Med oder CDP. Das erzwingt aber das die Telefone das auch supporten. Sonst greift wieder 802.1x
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Die dynamische Voice VLAN Zuweisung klappt nur mit LLDP-Med oder CDP. Das erzwingt aber das die Telefone das auch supporten. Sonst greift wieder 802.1x
Wie kann ich mir die Verwaltung über SNMP vorstellen? gibt es dafür einen Dienst unter Windows Server? Soweit ich weiss können damit auch Statistiken via RMON ausgelesen werden, oder?
Ja, das stimmt !
Sinnvolle Tools für Winblows mit denen man das machen kann sind der Klassiker:
Net-SNMP
http://www.net-snmp.org
Das SNMP Tool von Paessler:
http://www.de.paessler.com/tools/snmptester
MRTG, Cacti usw. usw.
Grundlegende Infos dazu gibt auch dieses Tutorial unter "SNMP":
Netzwerk Management Server mit Raspberry Pi
u.v.a.m
Sinnvolle Tools für Winblows mit denen man das machen kann sind der Klassiker:
Net-SNMP
http://www.net-snmp.org
Das SNMP Tool von Paessler:
http://www.de.paessler.com/tools/snmptester
MRTG, Cacti usw. usw.
Grundlegende Infos dazu gibt auch dieses Tutorial unter "SNMP":
Netzwerk Management Server mit Raspberry Pi
u.v.a.m
Aber das ist doch keine Automatisierte Lösung oder? So das Mac Adressen gelesen werden und VLANs dem Port zugewiesen werden.
So erstmal nicht. SNMP stellt ja erstmal nur GETs und SETs zur Verfügung mit denen du überwachen und steuern kannst.
Die Frage ist WAS du automatisieren willst und WIE ??
Die Frage ist WAS du automatisieren willst und WIE ??
via SNMP läßt sich das gut automatisieren.
Und es gibt dabei viele Eventualitäten und Abers.
Da fängt schon damit an, dass die VLAN-Utnerstützung bei den Switches nur in der private MIB abgebildet werden und somit Hersteller- und Modellspezifisch sind.
gut durchdachte und fertige Lösungen gibt es:
http://www.macmon.eu/
Und sonst muss man es eben selbst machen.
Gruß
Netman
Und es gibt dabei viele Eventualitäten und Abers.
Da fängt schon damit an, dass die VLAN-Utnerstützung bei den Switches nur in der private MIB abgebildet werden und somit Hersteller- und Modellspezifisch sind.
gut durchdachte und fertige Lösungen gibt es:
http://www.macmon.eu/
Und sonst muss man es eben selbst machen.
Gruß
Netman
