2
Frage zu MAC-Adressfilter mit einem BayStack 450 24T
Hallo zusammen,
wir haben in unserem LAN das Problem, dass User Ihre Laptops von zuhause mitbringen um z.B. umfangreiche Downloads zu tätigen oder umfangreiche Ausdrucke auf den Druckern der Firma durchzuführen. (natürlich alles heimlich
). Dies soll nun unterbunden werden.
Unsere 2 BayStack 450 24T Switches bieten "MAC-Address-Based-Security".
Hat hier evtl. jemand Erfahrung damit? Funktioniert das? Und ist es praktikabel?
Worauf muesste ich achten?
Was muesste ich wie in der "MAC Address Security Configuration" einstellen, dass es funktioniert? Gibt es eine deutsche Anleitung?
So wie ich das verstehe, muesste ich den Switch zunächst für alle Ports in den Lernmodus schalten. (Wenn ich sicher bin, dass keine "fremden" Geräte im Netz sind.)
Und dann nach einiger Zeit den Lernmodus wieder abschalten und dann die "MAC Address Security" enablen.
Was aber muesste ich z.B. bei "Clear by Ports" eintragen? All oder None?
Vielen Dank für eure Hilfe.
Gruesse aus Rottweil
Haui
wir haben in unserem LAN das Problem, dass User Ihre Laptops von zuhause mitbringen um z.B. umfangreiche Downloads zu tätigen oder umfangreiche Ausdrucke auf den Druckern der Firma durchzuführen. (natürlich alles heimlich
). Dies soll nun unterbunden werden.Unsere 2 BayStack 450 24T Switches bieten "MAC-Address-Based-Security".
Hat hier evtl. jemand Erfahrung damit? Funktioniert das? Und ist es praktikabel?
Worauf muesste ich achten?
Was muesste ich wie in der "MAC Address Security Configuration" einstellen, dass es funktioniert? Gibt es eine deutsche Anleitung?
So wie ich das verstehe, muesste ich den Switch zunächst für alle Ports in den Lernmodus schalten. (Wenn ich sicher bin, dass keine "fremden" Geräte im Netz sind.)
Und dann nach einiger Zeit den Lernmodus wieder abschalten und dann die "MAC Address Security" enablen.
Was aber muesste ich z.B. bei "Clear by Ports" eintragen? All oder None?
Vielen Dank für eure Hilfe.
Gruesse aus Rottweil
Haui
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 37723
Url: https://administrator.de/contentid/37723
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
2 Kommentare
Neuester Kommentar
Das ist eine Standardfunktion vieler Switches. Was die machen ist lediglich sich jede MAC Adresse am Port zu merken und genau diese (oder wenn der Switch gut ist auch mehrere pro Port..) und nur diese wieder auf den jeweiligen Port zu lassen. Es ist also sowas wie ein MAC pro Port Nailing
Diese Funktion hilft dir nur bedingt denn du musst sicher sein das in der Phase des Lernens kein nicht authorisiertes Gerät am Netz ist. Kannst du das sicherstellen, ist diese Funktion nutzvoll denn sie lässt dann fremde Maschinen nicht mehr ans Netz.
Ist bei euch eine hohe Fluktuation von Endgeräten (Umzüge etc) ist diese Funktion eher hinderlich, denn du musst dann immer die Konfig des Switches anpassen und diese statische MAC Zuweisung korrigieren.
Du kannst in der Konfig diese Einträge auch statisch pflegen...das kostet aber etwas Aufwand in der Verwaltung.
Einfacher ist es eine sog. portbasierende MAC Authentifizierung zu machen. Viele neuere Switches supporten diese Funktion, da sie ein Derivat der aufkommenden und zunehmend weit verbreiteten 802.1x Port Authentifizierung ist. Nortel ist ja seit längerem nicht mehr gerade der innovativste Hertseller wenn es um LAN Switching geht aber vielleicht supportet ein neueres OS Release für den Switch so eine Funktion. Die Nortel Releasenotes oder deren Hotline sollte hier weiterhelfen.
Was hier gemacht wird ist recht einfach:
Bevor ein Port ins Forwarding geht fragt er einen Radius Server ob diese Adresse authentifiziert ist. Bekommt er das OK vom Radius wird diese MAC in die CAM Table des Switches übernommen und kann normal arbeiten. Ist sie nicht bekannt, kann man sie entweder dynamisch in ein sog. "Gummizellen" VLAN (nur wenn der Swich VLAN fähig ist) bringen oder komplett blocken.
Vorteil für den Netzwerker: Du musst die Adressen nur einmal zentral pflegen und nicht mehrfach und statisch auf den Switches. Dadurch das zentral alles über den Radius läuft mussen die Ports nicht mehr dediziert konfiguriert werden. Umzüge usw. sind dann kein Thema mehr.
Diese Funktion hilft dir nur bedingt denn du musst sicher sein das in der Phase des Lernens kein nicht authorisiertes Gerät am Netz ist. Kannst du das sicherstellen, ist diese Funktion nutzvoll denn sie lässt dann fremde Maschinen nicht mehr ans Netz.
Ist bei euch eine hohe Fluktuation von Endgeräten (Umzüge etc) ist diese Funktion eher hinderlich, denn du musst dann immer die Konfig des Switches anpassen und diese statische MAC Zuweisung korrigieren.
Du kannst in der Konfig diese Einträge auch statisch pflegen...das kostet aber etwas Aufwand in der Verwaltung.
Einfacher ist es eine sog. portbasierende MAC Authentifizierung zu machen. Viele neuere Switches supporten diese Funktion, da sie ein Derivat der aufkommenden und zunehmend weit verbreiteten 802.1x Port Authentifizierung ist. Nortel ist ja seit längerem nicht mehr gerade der innovativste Hertseller wenn es um LAN Switching geht aber vielleicht supportet ein neueres OS Release für den Switch so eine Funktion. Die Nortel Releasenotes oder deren Hotline sollte hier weiterhelfen.
Was hier gemacht wird ist recht einfach:
Bevor ein Port ins Forwarding geht fragt er einen Radius Server ob diese Adresse authentifiziert ist. Bekommt er das OK vom Radius wird diese MAC in die CAM Table des Switches übernommen und kann normal arbeiten. Ist sie nicht bekannt, kann man sie entweder dynamisch in ein sog. "Gummizellen" VLAN (nur wenn der Swich VLAN fähig ist) bringen oder komplett blocken.
Vorteil für den Netzwerker: Du musst die Adressen nur einmal zentral pflegen und nicht mehrfach und statisch auf den Switches. Dadurch das zentral alles über den Radius läuft mussen die Ports nicht mehr dediziert konfiguriert werden. Umzüge usw. sind dann kein Thema mehr.
Hallo,
danke fuer diese Infos.
Dann werde ich mal klären, ob dieser Switch mit mehreren MAC-Adressen pro Port klar kommt. Es wären auf jeden Fall mehrere Adressen pro Port, da ich diese Funktion dann an unserem "Zentral-Switch" im Serverraum aktivieren wuerde. Von dort aus ist das ganze Haus mit ca. 120 Clients verkabelt. Die Pflege der Adressen wuerde sich dann wohl auch in Grenzen halten, da es nur diesen einen Switch betreffen wuerde und die Geräte-Fluktuation sehr gering ist.
Einen Radius-Server möchte ich nicht unbedingt einsetzen, da die Abfrage desselben wieder jedesmal Zeit kosten würde.
Nochmals Danke.
Gruss
Haui
danke fuer diese Infos.
Dann werde ich mal klären, ob dieser Switch mit mehreren MAC-Adressen pro Port klar kommt. Es wären auf jeden Fall mehrere Adressen pro Port, da ich diese Funktion dann an unserem "Zentral-Switch" im Serverraum aktivieren wuerde. Von dort aus ist das ganze Haus mit ca. 120 Clients verkabelt. Die Pflege der Adressen wuerde sich dann wohl auch in Grenzen halten, da es nur diesen einen Switch betreffen wuerde und die Geräte-Fluktuation sehr gering ist.
Einen Radius-Server möchte ich nicht unbedingt einsetzen, da die Abfrage desselben wieder jedesmal Zeit kosten würde.
Nochmals Danke.
Gruss
Haui
