Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst IP-Adresse an MAC binden

Mitglied: Coreknabe

Coreknabe (Level 2) - Jetzt verbinden

08.12.2015, aktualisiert 14.12.2015, 1218 Aufrufe, 14 Kommentare

Moin,

wir haben diverse Switche von Dell im Einsatz (Powerconnect 5548 und 6248). Jetzt möchte ich erreichen, dass sich ein Gerät nur noch mit einer bestimmten IP-Adresse im Netzwerk tummeln darf. Wie kann ich das erreichen? IP an die MAC binden? Ja, ist mir bewusst, dass es ein Leichtes ist, die MAC zu ändern... Ich möchte einfach nur eine kleine Einstiegshürde setzen. Oder gibt es andere Möglichkeiten?

Gruß
Mitglied: ArnoNymous
08.12.2015, aktualisiert um 16:42 Uhr
DHCP-Reservierung?
Oder meinst du Port Security?
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 08.12.2015, aktualisiert 14.12.2015
Schau mal unter dem Stichwort "IP Source Guard" ins Handbuch.

lks
Bitte warten ..
Mitglied: aqui
LÖSUNG 08.12.2015, aktualisiert 14.12.2015
Ja, normal machst du das mit MAC zu IP Zuweisung im DHCP und dann DHCP Snooping auf dem Netz.
Das schützt aber nicht vor Manipulationen der Mac, da hast du recht. Damit könnte man das umgehen.
Um das auszuhebeln müsstest du dann 802.1x Port Security machen mit Radius.
Bitte warten ..
Mitglied: Coreknabe
10.12.2015 um 14:56 Uhr
Moin,

danke für Eure Antworten.

@ArnoNymous
Geht in die Richtung Port Security.

Wobei wir gerade bei Port sind, gehe ich recht in der Annahme, dass die vorgenommene Konfiguration nur für einen definierten Port geht? Gibt es eine Möglichkeit, das netzwerkweit zu definieren? Ich habe beim Powerconnect 6248 mal geschaut, ob ich da ACL-Regeln konfigurieren kann, sehe aber nichts, was mir weiterhelfen würde. Was nichts heißen muss
Bitte warten ..
Mitglied: Coreknabe
10.12.2015 um 16:24 Uhr
OK, ich glaube, ich habe einen gangbaren Weg gefunden: Dynamic ARP Inspection. Spricht aus Eurer Sicht etwas dagegen? Sollte ich noch irgendwas beachten?
Bitte warten ..
Mitglied: aqui
11.12.2015 um 18:23 Uhr
Stimmt du hast Recht, das ist auch ein Weg. Nein beachten muss man da nichts...rennt sogar auf einem Raspberry Pi
Bitte warten ..
Mitglied: Coreknabe
14.12.2015 um 11:05 Uhr
Danke, funktioniert! Einziger Haken: Auch das DAI läuft portbasiert ab. Jetzt hängen an den Switchen einige Endgeräte mit fester IP, die müsste ich alle mühsam mit IP und MAC bekanntmachen. Oder das Risiko eingehen, alle Ports außer der zu überwachenden als Trusted zu markieren. Tue ich letzteres nicht, habe ich einiges an Pflegeaufwand (neues Endgerät kommt an die Dose, Endgerät wechselt den Standort...). Andererseits kann so jemand, der was Böses im Schilde führt, einfach eine Trusted Dose benutzen...
Bitte warten ..
Mitglied: aqui
14.12.2015, aktualisiert um 13:38 Uhr
Jetzt hängen an den Switchen einige Endgeräte mit fester IP, die müsste ich alle mühsam mit IP und MAC bekanntmachen.
Nööö... DAI kann die Mac Forwarding Table des Switches dynamisch via SNMP auslesen. Damit ist das dann unnötig.
Ist der Thread denn jetzt gelöst oder warum hast du ihn willentlich auf "gelöst" geklickt ?!
Bitte warten ..
Mitglied: Coreknabe
14.12.2015, aktualisiert um 15:13 Uhr
Hm... Habe das mal getestet, wenn ich ein Gerät an einem untrusted port anschliesse und an dem Gerät eine feste IP vergebe, war's das mit Ping und Co... Habe ich bislang nicht erwähnt, aber DHCP macht ein Windows 2008R2 und nicht der Swich. Weiß nicht, ob das ne Rolle spielt.
Thread an sich ist ja gelöst, MAC zu IP, deshalb prinzipiell gelöst
Bitte warten ..
Mitglied: Coreknabe
16.12.2015 um 08:43 Uhr
@aqui
Auch wenn das Problem an sich gelöst ist, kannst Du das mit DAI und MAC Forwarding Table noch einmal kurz erläutern? Wenn ich das richtig verstehe, bedingt das, dass der Switch DHCP übernimmt?
Bitte warten ..
Mitglied: aqui
17.12.2015 um 11:27 Uhr
Nein, er muss nicht komplett DHCP machen sondern nur DHCP Snooping supporten. Kann aber heute jeder nur halbwegs gute Switch per default:
Hier ist das recht gut erklärt:
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2 ...

Gild auch für alle anderen Hersteller, da die das identisch so machen.
Bitte warten ..
Mitglied: Coreknabe
17.12.2015 um 18:08 Uhr
Hi Aqui,

vielen Dank für den Link. Habe mir das durchgelesen und verstehe noch nicht ganz, wie statische IPs quasi "freigeschaltet" werden. Dafür brauche ich ARP ACLs? Wobei wir wieder bei einem höheren Pflegeaufwand wären.

Dann habe ich noch das Problem, dass ich DAI aktivieren kann, dann aber nach einigen Stunden zuerst die angeschlossenen WLAN-APs die Verbindung verlieren und irgendwann der gesamte Switch vom Netz getrennt ist. DAI läuft nur auf diesem einen Switch, der Trunkport zu einem anderen Switch ist als "Trusted" konfiguriert. Verbinde ich mich direkt mit dem Switch, schalte ich DAI aus und habe wieder eine Verbindung. Läuft ein paar Stunden, bis die Verbindung zum anderen Switch wieder abreißt. Spontan eine Idee, woran das liegen kann? Außerdem hängen an dem Switch noch zwei, drei kleine managebare Desktopswitches. Muss ich die Ports, an denen die angeschlossen sind, auch als Trusted konfigurieren?

Gruß

P.S.: Ich bin noch auf eine sehr hilfreiche Cisco-Seite gestoßen, die für Netzwerkdödel wie mich sehr hilfreich ist, mit vieeeeelen Bildern. Weißt Du zufällig, welche das ist? Hab versehentlich die Seite weggeklickt und finde sie nicht wieder. Cisco Learning Academy oder sowas?
Bitte warten ..
Mitglied: aqui
18.12.2015 um 14:30 Uhr
Oha...da müsste ich jetzt selber mal suchen... Wenn du DAI machst, dann macht das nur Sinn wenn die gesamte Infrastruktur das macht. Im Design Guide steht ja auch das Inseln das Konzept dann aufweichen und es dann eigentlich sinnlos ist.
Wenn dann musst du das durchgehend machen
Bitte warten ..
Mitglied: Coreknabe
18.12.2015 um 14:51 Uhr
Danke für Deine Rückmeldung. DAI für nur einen Switch geht auch, laut Cisco sollte der Trunk zu Switchen, die nicht mitmachen, dann aber auf "Untrusted" gesetzt sein:

In cases in which some switches in a VLAN run DAI and other switches do not, configure the interfaces connecting such switches as untrusted. However, to validate the bindings of packets from switches where DAI is not configured, configure ARP ACLs on the switch running DAI. When you cannot determine such bindings, isolate switches running DAI at Layer 3 from switches not running DAI.

Lass mich wissen, wenn Dir noch etwas einfällt

Ansonsten schon mal danke und ein schönes Adventswochenende!
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
MAC Adress Filter HP Switch E5412zl
Frage von Marcel94Switche und Hubs5 Kommentare

Hallo, wir haben einen HP Switch E5412zl und möchten auf den Switch gerne einen Mac Adress Filter setzen. Ich ...

Firewall

ASA im Failover Mode Primary HW change Mac adress change

Frage von MikePostFirewall1 Kommentar

Hallo zusammen Liege ich richtig, wenn aktuell der secondary/active ist und ich ersetze den Primary/standy durch eine neue Hardware. ...

Router & Routing

Zugriff auf NAS in anderem IP-Adress Bereich

gelöst Frage von TorstenhofRouter & Routing12 Kommentare

Hallo liebe Forumsmitglieder Ich habe folgendes Problem mit einer Netzwerkkonfiguration: Netzwerk 1: IP Adressen 192.168.0.x Arbeitsplatzrechner und NAS Zugriff ...

Mac OS X

MAC OSX 10.9.5 verliert DHCP IP

gelöst Frage von Netgear24Mac OS X10 Kommentare

Hallo Zusammen Wir haben im Geschäft eine Ziemlich Homogene Mac Infrastruktur. Bis vor dem grossen IT Umbau vor 2 ...

Neue Wissensbeiträge
Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 11 StundenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 1 TagGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 2 TagenInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server23 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

DNS
DNS fragt falsche ip zuerst ab
gelöst Frage von recoldDNS19 Kommentare

Hallo zusammen, wollte mal fragen, was mit meiner DNS falsch ist? der A eintrag 88.48.118.88 sollte auf den ts3 ...

Windows 10
Windows am MAC
gelöst Frage von LeeX01Windows 1019 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
gelöst Frage von samreinWindows Server16 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...