Frage zu MAC-Adressfilter mit einem BayStack 450 24T

Mitglied: Haui

Haui (Level 1) - Jetzt verbinden

10.08.2006, aktualisiert 14.08.2006, 4306 Aufrufe, 2 Kommentare

Hallo zusammen,

wir haben in unserem LAN das Problem, dass User Ihre Laptops von zuhause mitbringen um z.B. umfangreiche Downloads zu tätigen oder umfangreiche Ausdrucke auf den Druckern der Firma durchzuführen. (natürlich alles heimlich ;-) face-wink ). Dies soll nun unterbunden werden.

Unsere 2 BayStack 450 24T Switches bieten "MAC-Address-Based-Security".

Hat hier evtl. jemand Erfahrung damit? Funktioniert das? Und ist es praktikabel?
Worauf muesste ich achten?

Was muesste ich wie in der "MAC Address Security Configuration" einstellen, dass es funktioniert? Gibt es eine deutsche Anleitung?

So wie ich das verstehe, muesste ich den Switch zunächst für alle Ports in den Lernmodus schalten. (Wenn ich sicher bin, dass keine "fremden" Geräte im Netz sind.)
Und dann nach einiger Zeit den Lernmodus wieder abschalten und dann die "MAC Address Security" enablen.
Was aber muesste ich z.B. bei "Clear by Ports" eintragen? All oder None?

Vielen Dank für eure Hilfe.

Gruesse aus Rottweil

Haui
Mitglied: aqui
12.08.2006 um 23:15 Uhr
Das ist eine Standardfunktion vieler Switches. Was die machen ist lediglich sich jede MAC Adresse am Port zu merken und genau diese (oder wenn der Switch gut ist auch mehrere pro Port..) und nur diese wieder auf den jeweiligen Port zu lassen. Es ist also sowas wie ein MAC pro Port Nailing
Diese Funktion hilft dir nur bedingt denn du musst sicher sein das in der Phase des Lernens kein nicht authorisiertes Gerät am Netz ist. Kannst du das sicherstellen, ist diese Funktion nutzvoll denn sie lässt dann fremde Maschinen nicht mehr ans Netz.
Ist bei euch eine hohe Fluktuation von Endgeräten (Umzüge etc) ist diese Funktion eher hinderlich, denn du musst dann immer die Konfig des Switches anpassen und diese statische MAC Zuweisung korrigieren.
Du kannst in der Konfig diese Einträge auch statisch pflegen...das kostet aber etwas Aufwand in der Verwaltung.
Einfacher ist es eine sog. portbasierende MAC Authentifizierung zu machen. Viele neuere Switches supporten diese Funktion, da sie ein Derivat der aufkommenden und zunehmend weit verbreiteten 802.1x Port Authentifizierung ist. Nortel ist ja seit längerem nicht mehr gerade der innovativste Hertseller wenn es um LAN Switching geht aber vielleicht supportet ein neueres OS Release für den Switch so eine Funktion. Die Nortel Releasenotes oder deren Hotline sollte hier weiterhelfen.
Was hier gemacht wird ist recht einfach:
Bevor ein Port ins Forwarding geht fragt er einen Radius Server ob diese Adresse authentifiziert ist. Bekommt er das OK vom Radius wird diese MAC in die CAM Table des Switches übernommen und kann normal arbeiten. Ist sie nicht bekannt, kann man sie entweder dynamisch in ein sog. "Gummizellen" VLAN (nur wenn der Swich VLAN fähig ist) bringen oder komplett blocken.
Vorteil für den Netzwerker: Du musst die Adressen nur einmal zentral pflegen und nicht mehrfach und statisch auf den Switches. Dadurch das zentral alles über den Radius läuft mussen die Ports nicht mehr dediziert konfiguriert werden. Umzüge usw. sind dann kein Thema mehr.
Bitte warten ..
Mitglied: Haui
14.08.2006 um 09:28 Uhr
Hallo,

danke fuer diese Infos.
Dann werde ich mal klären, ob dieser Switch mit mehreren MAC-Adressen pro Port klar kommt. Es wären auf jeden Fall mehrere Adressen pro Port, da ich diese Funktion dann an unserem "Zentral-Switch" im Serverraum aktivieren wuerde. Von dort aus ist das ganze Haus mit ca. 120 Clients verkabelt. Die Pflege der Adressen wuerde sich dann wohl auch in Grenzen halten, da es nur diesen einen Switch betreffen wuerde und die Geräte-Fluktuation sehr gering ist.
Einen Radius-Server möchte ich nicht unbedingt einsetzen, da die Abfrage desselben wieder jedesmal Zeit kosten würde.

Nochmals Danke.

Gruss
Haui
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Windows Userverwaltung
Account Aktivierung über VPN
Phill93Vor 1 TagFrageWindows Userverwaltung3 Kommentare

Hallo, ich muss mir für eine RDP Umgebung für einen Verein eine Lösung für die Account Aktivierung ausdenken. Meine Idee ist die folgende: 1. ...

Switche und Hubs
Suche Deutsche Sprachdatei für D-Link DGS-1210-24 D1 Switch
gelöst Oggy01Vor 21 StundenFrageSwitche und Hubs8 Kommentare

Hallo, ich habe einen D-Link DGS-1210-24 Vers. D1 Switch bekommen und suche für diesen eine Deutsche Sprachdatei. Die Firmware ist auf dem aktuellen Stand ...

Soziale Netzwerke
Anzahl Postings auslesen
gelöst r2d2r3poVor 1 TagFrageSoziale Netzwerke13 Kommentare

Hallo, habe seit 2014 eine Fanpage und wir posten jeden Tag. Kennt jemand einen Weg wie man die Anzahl der Postings seit 2014 auslesen ...

Windows 10
Lizenzfrage WDS mit Windows 10 OEM und E3 für Enterprise
noodellsVor 1 TagFrageWindows 107 Kommentare

Hallo Zusammen, ich habe mal eine generelle Lizenzfrage zum Thema WDS. Ich möchte mehrere PCs installieren, die schon vom Hersteller eine funktionierende Windows 10 ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 16 StundenFrageVideo & Streaming10 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Hardware
COM-Ports verstellen sich immer wieder
gelöst hanheikVor 1 TagFrageHardware6 Kommentare

Hallo, an 3 neuen Windows 10-Rechnern sind Strichcode-Scanner (mit RS232-Schnittstelle) per USB-Com-Adapter angeschlossen. Die anzusprechende Schnittstelle COMx ist jeweils in der Kassensoftware hinterlegt. Leider ...