MAC-Port binding (für Vollzugang) und Port 80 für externe Benutzer
Hallo Leute,
ich suche für folgendes Szenarium Tipps und Ratschläge bezüglich der Umsetzung:
Hardware:
Cisco Router 800 Serie
ZyXEL Zywall USG 300
2x Dell Power Connect 6248P
In einem Konferenzraum sollen 4 Netzwerkanschlüsse so konfiguriert werden, dass 10 Notebooks über kompletten Zugang verfügen (inkl. Domäne) sollen. Alle anderen Notebooks usw., die sich an den 4 Netzwerkanschlüssen zeitweise dran hängen, sollen nur Internetzugang bekommen (Port 80).
Der Konferenzraum steht auch für externe Mitarbeiter bereit, die halt nur Internet bekommen sollen.
Wie kann ich das am effektivsten umsetzen?
Ich dachte mir, dass es mit einem VLAN und ein MAC-Port binding möglich sein müsste die Notebooks über den Switch 6248P vollen Zugang gewähren zu lassen. Aber ich weiß momentan nicht, wie ich nur den Port 80 für alle anderen Notebooks realisiert bekomme, die ebenfalls an den 4 Netzwerkanschlüssen zeitweise Zugang erhalten sollen.
Ich bin dankbar für jeden Tipp…
Vorab vielen Dank.
LG
Cisco Router 800 Serie
ZyXEL Zywall USG 300
2x Dell Power Connect 6248P
In einem Konferenzraum sollen 4 Netzwerkanschlüsse so konfiguriert werden, dass 10 Notebooks über kompletten Zugang verfügen (inkl. Domäne) sollen. Alle anderen Notebooks usw., die sich an den 4 Netzwerkanschlüssen zeitweise dran hängen, sollen nur Internetzugang bekommen (Port 80).
Der Konferenzraum steht auch für externe Mitarbeiter bereit, die halt nur Internet bekommen sollen.
Wie kann ich das am effektivsten umsetzen?
Ich dachte mir, dass es mit einem VLAN und ein MAC-Port binding möglich sein müsste die Notebooks über den Switch 6248P vollen Zugang gewähren zu lassen. Aber ich weiß momentan nicht, wie ich nur den Port 80 für alle anderen Notebooks realisiert bekomme, die ebenfalls an den 4 Netzwerkanschlüssen zeitweise Zugang erhalten sollen.
Ich bin dankbar für jeden Tipp…
Vorab vielen Dank.
LG
Please also mark the comments that contributed to the solution of the article
Content-Key: 139121
Url: https://administrator.de/contentid/139121
Printed on: May 6, 2024 at 03:05 o'clock
3 Comments
Latest comment
Das ist in der Tat nicht ganz trivial, denn du musst auch die Ports für die Kollegen entsprechend trennen.
Eine preiswerte Möglichkeit ist das mit VLANs und einer Firewall und Mac bzw. Portfilter zu lösen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Damit liesse sich das mit einem kleinen Budget relativ schnell und einfach umsetzen. Allerdings musst du die Ports oder wenn du statt VLANs 2 unterschiedliche Switches benutzt entsprechend beschriften, denn die eine Gruppe wird aufgrund der Mac Filter keinen Zugang in den anderen Ports bekommen und entsprechen umgedreht.
Weiterhin besteht die Gefahr das Besucher ihre MAC Adresse ändern können (sofern deren Kenntnisse dafür ausreichen) und auch so über den kompletten Zugang verfügen können wenn nicht noch zusätzliche Sicherungen bestehen.
Für eine wasserdichte Lösung benötigst du einen 802.1x fähigen Switch, der eine Port Authentifizierung macht je nach User und dann eine dynamische Accessliste auf den Port legt.
Das können heute auch schon billige Taiwan Switches die die .1x Fähigkeit besitzen. Damit liesse sich dann eine sicher Authentifizierung und zuweisung erreichen die nicht umgehen werden kann sofern die Mitarbeiten den Besuchern nicht die Passwörter verraten.
Aber auch das könnte man mit Zertifikaten auf den Mitarbeiter Rechnern dann auch noch absolut sicher machen...na ja sofern ein Mitarbeiter keinen besucher an seinen PC lässt
Das sind die beiden realistischen Optionen die du hast...such dir die schönste aus !
Eine preiswerte Möglichkeit ist das mit VLANs und einer Firewall und Mac bzw. Portfilter zu lösen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Damit liesse sich das mit einem kleinen Budget relativ schnell und einfach umsetzen. Allerdings musst du die Ports oder wenn du statt VLANs 2 unterschiedliche Switches benutzt entsprechend beschriften, denn die eine Gruppe wird aufgrund der Mac Filter keinen Zugang in den anderen Ports bekommen und entsprechen umgedreht.
Weiterhin besteht die Gefahr das Besucher ihre MAC Adresse ändern können (sofern deren Kenntnisse dafür ausreichen) und auch so über den kompletten Zugang verfügen können wenn nicht noch zusätzliche Sicherungen bestehen.
Für eine wasserdichte Lösung benötigst du einen 802.1x fähigen Switch, der eine Port Authentifizierung macht je nach User und dann eine dynamische Accessliste auf den Port legt.
Das können heute auch schon billige Taiwan Switches die die .1x Fähigkeit besitzen. Damit liesse sich dann eine sicher Authentifizierung und zuweisung erreichen die nicht umgehen werden kann sofern die Mitarbeiten den Besuchern nicht die Passwörter verraten.
Aber auch das könnte man mit Zertifikaten auf den Mitarbeiter Rechnern dann auch noch absolut sicher machen...na ja sofern ein Mitarbeiter keinen besucher an seinen PC lässt
Das sind die beiden realistischen Optionen die du hast...such dir die schönste aus !
Das ist Quatsch, denn VLANs haben mit Domänen nix zu tun. Sie sind lediglich eine virtuelle Trennung in separate physische Netze auf einer Hardware. Also sowas wie VmWare für den Switch wenn du so willst.
Hier gibts nähere Infos:
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
bzw. das Tutorial von oben !
Hier gibts nähere Infos:
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
bzw. das Tutorial von oben !