ralfhackmann
Goto Top

HPE 1920-48G Switch JG927A Link Layer ACL wirkt nicht

Hallo,

ich habe bei dem o.g. Switch eine Link Layer ACL erstellt, um unerwünschte MACs zu sperren.


Der PC mit der gesperrten MAC der an dem o.g. Switch angeschlossen ist kann jedoch weiterin ohne Einschrankungen auf Geräte bzw. Server innerhalb des LAN zugreifen.

Was hab ich falsch gemacht, bzw habe ich etwas vergessen?
lls

Content-ID: 383702

Url: https://administrator.de/forum/hpe-1920-48g-switch-jg927a-link-layer-acl-wirkt-nicht-383702.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

chgorges
Lösung chgorges 17.08.2018 um 09:54:12 Uhr
Goto Top
Moin,

eine ACL erstellen ist das Eine, die ACL zur Aktivierung auf die Interfaces legen das Andere.

Das Andere hast du auch gemacht?
aqui
Lösung aqui 17.08.2018 aktualisiert um 10:01:49 Uhr
Goto Top
Richtig !
Die Kardinalsfrage ist ob du dem Switch Port an dem dieser Rechner angeschlossen ist diese ACL zugewiesen hast ?

Nebenbei ist statisch auf Mac Adressen zu filtern eigentlich Blödsinn, denn jedermann weiss das Mac Adressen frei konfigurierbar sind. Ändert der User auch nur 1 Bit der Adresse kann er wieder frei ins Netz.
Sicher ist sowas nicht.
Auch vom Aufwand her. OK, wenns nur eine einzige Adresse ist oder 3 ist das tolerabel. Aber die statische Zuordnung ist Unsinn, denn steckt man den Rechner auf einen anderen Port greift die ACL nicht mehr es sei denn du kopierst sie auf alle Ports eines Switches was wieder die Gefahrt eines Fehlers birgt.
Sowas ist nie und nimmer skalierbar und nicht managebar.
Wenn, dann macht man sowas mit 802.1x Port Authentisierung über einen zentralen Radius Server (NPS oder Raspberry mit FreeRadius etc.) Dort wird dann dynamisch auf Mac oder Usernamen authentisiert.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
certifiedit.net
certifiedit.net 17.08.2018 aktualisiert um 11:07:49 Uhr
Goto Top
Damit ist alles gesagt. MAC-basiert sperren war schon vor 20 Jahren Quark.

VG certifiedit.net
Spirit-of-Eli
Spirit-of-Eli 17.08.2018 um 12:51:05 Uhr
Goto Top
Zitat von @certifiedit.net:

Damit ist alles gesagt. MAC-basiert sperren war schon vor 20 Jahren Quark.

VG certifiedit.net

Da hast du Recht. Einzig für das autoprovisioning von Telefonen kann man die MAC noch nutzen.

Wobei aktuelle Telefone auch hier LLDP können sollten.
certifiedit.net
certifiedit.net 17.08.2018 um 13:48:30 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Zitat von @certifiedit.net:

Damit ist alles gesagt. MAC-basiert sperren war schon vor 20 Jahren Quark.

VG certifiedit.net

Da hast du Recht. Einzig für das autoprovisioning von Telefonen kann man die MAC noch nutzen.

Wobei aktuelle Telefone auch hier LLDP können sollten.

Das ist aber auch ein anderes Thema face-smile

OK, Freitagmittag + die Hitze...
RalfHackmann
RalfHackmann 20.08.2018 um 10:44:01 Uhr
Goto Top
Ich habe jetzt dem entsprechenden Port die ACL folgendermassen zugewiesen:
classifier1
behavior1
qos_policy1
portpolicy
Jetzt wird der am Port 27 angeschlossene PC komplett ausgesperrt.
Danke für die Tips und Hinweise.
aqui
aqui 20.08.2018 aktualisiert um 10:47:01 Uhr
Goto Top
Gewusst wie ! face-smile Und sogar bei den billigen HP Gruselswitches funktioniert es....!

Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !