73519
05.01.2009, aktualisiert um 11:19:24 Uhr
6097
7
0
Port Security 3Com Superstack 3 sperrt MAC(nicht nur Port)
Hallo,
ich habe eine Frage zur PortSecurity beim 3Com SuperStack 3(genauer beim 4400er).
Ziel ist es, dass jeweils an einem Port nur eine MAC angeschlossen werden kann und sobald sich eine zweite MAC dort anklemmt soll der Port gesperrt werden.
Da ich die erste MAC vorher nicht kenne, habe ich die PortSecurity auf autoLearn(1) gestellt. Ich habe es so verstanden, dass der Switch dann die erste MAC lernt und speichert und sobald sich eine andere MAC dort anklemmt wird der Port gesperrt.
Dies hat in meinem Test auch gut funktioniert. Allerdings sperrt der Switch das Gerät mit der MAC, die sich an dem Port angeklemmt hat, dann komplett aus. An keinem anderen Port ist mehr eine Kommunikation möglich, obwohl der Switch den Port als "UP" anzeigt.
Weiß jemand, ob der Switch grundsätzlich die MAC dann komplett aussperrt, oder ob man das vielleicht noch irgendwo einstellen kann?
ich habe eine Frage zur PortSecurity beim 3Com SuperStack 3(genauer beim 4400er).
Ziel ist es, dass jeweils an einem Port nur eine MAC angeschlossen werden kann und sobald sich eine zweite MAC dort anklemmt soll der Port gesperrt werden.
Da ich die erste MAC vorher nicht kenne, habe ich die PortSecurity auf autoLearn(1) gestellt. Ich habe es so verstanden, dass der Switch dann die erste MAC lernt und speichert und sobald sich eine andere MAC dort anklemmt wird der Port gesperrt.
Dies hat in meinem Test auch gut funktioniert. Allerdings sperrt der Switch das Gerät mit der MAC, die sich an dem Port angeklemmt hat, dann komplett aus. An keinem anderen Port ist mehr eine Kommunikation möglich, obwohl der Switch den Port als "UP" anzeigt.
Weiß jemand, ob der Switch grundsätzlich die MAC dann komplett aussperrt, oder ob man das vielleicht noch irgendwo einstellen kann?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 105205
Url: https://administrator.de/forum/port-security-3com-superstack-3-sperrt-macnicht-nur-port-105205.html
Ausgedruckt am: 06.05.2025 um 22:05 Uhr
7 Kommentare
Neuester Kommentar
Nein, eine "falsche" ,nicht gelernte MAC wird komplett ausgesperrt, das ist ja genau der Sinn dieser Mac Security !!
Willst du das dynamisch bzw. flexibel machen, musst du über eine MAC Authentifizierung am Port über 802.1x konfigurieren.
Damit wird dann eine MAC an einem zentralen Radius Server geprüft ob diese MAC ins Netz darf und der Port dann freigegeben.
Das hat den Vorteil das der Benutzer innerhalb des Netzes problemlos umziehen kann und Laptop Besitzer sich frei bewegen können ohne das du auf Sicherheit verzichtest. Man kann sogar ebenfalls Benutzern damit gleichzeitig dynamisch ihr VLAN zuweisen, sofern gewollt.
Nicht registrierte Macs können dann dynamisch in ein isoliertes Gummizellen VLAN verbannt werden sollten sie sich am Netzwerk verbinden wollen. Oder ganz ausgesperrt werden, je nachdem wie deine Sicherheits Policy die du vorher festgelegt hast das bestimmt.
Oder du weisst den unbekannten MACs dynamisch eine Accessliste zu die dann nur bestimmte Kommunikationen erlaubt.
All das ist möglich über eine dynmaische Mac Authentifizierung nach IEEE 802.1x.
So gut wie alle "besseren" Switch Hersteller supporten das...vermutlich 3Com auch.
Ob das so ist sollte dir dein Handbuch oder die 3Com Support Seite sicher sagen können !!
Willst du das dynamisch bzw. flexibel machen, musst du über eine MAC Authentifizierung am Port über 802.1x konfigurieren.
Damit wird dann eine MAC an einem zentralen Radius Server geprüft ob diese MAC ins Netz darf und der Port dann freigegeben.
Das hat den Vorteil das der Benutzer innerhalb des Netzes problemlos umziehen kann und Laptop Besitzer sich frei bewegen können ohne das du auf Sicherheit verzichtest. Man kann sogar ebenfalls Benutzern damit gleichzeitig dynamisch ihr VLAN zuweisen, sofern gewollt.
Nicht registrierte Macs können dann dynamisch in ein isoliertes Gummizellen VLAN verbannt werden sollten sie sich am Netzwerk verbinden wollen. Oder ganz ausgesperrt werden, je nachdem wie deine Sicherheits Policy die du vorher festgelegt hast das bestimmt.
Oder du weisst den unbekannten MACs dynamisch eine Accessliste zu die dann nur bestimmte Kommunikationen erlaubt.
All das ist möglich über eine dynmaische Mac Authentifizierung nach IEEE 802.1x.
So gut wie alle "besseren" Switch Hersteller supporten das...vermutlich 3Com auch.
Ob das so ist sollte dir dein Handbuch oder die 3Com Support Seite sicher sagen können !!
Danke schonmal.
Der Switch kann natürlich auch RADIUS-Authentifizierung. Dies möchte ich aber ungern nutzen. Ich dachte, dass nur der Port gesperrt wird, wenn ich PortSecurity mache und nicht der Port und zusätzlich die MAC-Adresse der Geräts an allen Ports.
Wenn das so ist, dass die MAC dann komplett ausgesperrt wird, muss ich damit leben. Werde aber wohl bei autoLearn bleiben ohne Radius.
Der Switch kann natürlich auch RADIUS-Authentifizierung. Dies möchte ich aber ungern nutzen. Ich dachte, dass nur der Port gesperrt wird, wenn ich PortSecurity mache und nicht der Port und zusätzlich die MAC-Adresse der Geräts an allen Ports.
Wenn das so ist, dass die MAC dann komplett ausgesperrt wird, muss ich damit leben. Werde aber wohl bei autoLearn bleiben ohne Radius.
Eigentlich sollte es auch nur der einzelnen Port sein.
Da der Switch aber eine zentrale MAC Forwarding Database hat, mag es sein das 3Com diese Funktion etwas "primitiv" implementiert hat und diese MAC aus der gesamten Forwarding Database zentral ausschliesst oder eben gar nicht erst reinlässt (Blocking), damit ist sie dann natürlich am gesamten Switch gesperrt, wenn der Switch diese Mac gar nicht erst lesen kann...logisch !
Ein Blick ins Handbuch oder auf die 3Com Seite sollte das Verhalten des Switches bei der Mac Security Funktion schnell klären !!
Da der Switch aber eine zentrale MAC Forwarding Database hat, mag es sein das 3Com diese Funktion etwas "primitiv" implementiert hat und diese MAC aus der gesamten Forwarding Database zentral ausschliesst oder eben gar nicht erst reinlässt (Blocking), damit ist sie dann natürlich am gesamten Switch gesperrt, wenn der Switch diese Mac gar nicht erst lesen kann...logisch !
Ein Blick ins Handbuch oder auf die 3Com Seite sollte das Verhalten des Switches bei der Mac Security Funktion schnell klären !!
Genau das ist das verwirrende für mich, weshalb ich hoffte, dass vielleicht jemand hier ist, der sich mit den Superstack 3 auskennt, denn die Doku sagt:
Da steht ja eigentlich, dass sich alles nur auf den einen Port bezihet. Daher war ich auch so überrascht, dass das komplette Gerät "deaktiviert" wird.
Weiß vielleicht jemand, was dort passiert sein könnte, oder ob man das ändern kann?
MAC addresses are learned continuously by the port until the number of authorised
addresses specified is reached. When this number is exceeded the port automatically
stops learning addresses and Disconnect Unauthorized Device (DUD) is enabled on the
port.
addresses specified is reached. When this number is exceeded the port automatically
stops learning addresses and Disconnect Unauthorized Device (DUD) is enabled on the
port.
Da steht ja eigentlich, dass sich alles nur auf den einen Port bezihet. Daher war ich auch so überrascht, dass das komplette Gerät "deaktiviert" wird.
Weiß vielleicht jemand, was dort passiert sein könnte, oder ob man das ändern kann?
Ja die Aussage ist dann klar: Das bezieht sich nur auf den Port, er blockt dann nur diesen Port vom Lernen !!
Wenn du das Endgerät dann auf einen freien, noch nicht gelernten Port aufsteckst sollte er diese Mac Adresse dort lernen und entsprechend funktionieren.
Alles andere wäre ein Firmware Bug der 3Com Firmware !!
Hast du den Switch auf die aktuellste Firmware upgedatet ??
Wenn du das Endgerät dann auf einen freien, noch nicht gelernten Port aufsteckst sollte er diese Mac Adresse dort lernen und entsprechend funktionieren.
Alles andere wäre ein Firmware Bug der 3Com Firmware !!
Hast du den Switch auf die aktuellste Firmware upgedatet ??
Ja, Firmware ist die aktuellste und habe sicherheitshalber auch alle Einstellungen mal auf "Factory default" zurückgesetzt, damit es nicht mit anderen Regeln kollidiert.
-> Immer noch das gleiche Problem
-> Immer noch das gleiche Problem
Dann bleibt dir nix weiter als einen Bug Case aufzumachen bei 3Com... 
