Port Security Management selber programmieren
Moin zusammen,
wir haben uns nach langem hin und her dafür entschieden unsere Switch-Schnittstellen mit einer festen MAC-Adresse zu verknüpfen. Nun ist die Konfiguration von diesen Ports nicht schwierig, aber ein bisschen nervig, vorallem da wir noch ein paar unterschiedliche (Aruba) Switchehaben die unterschiedliche Commands entgegen nehmen. Ich weiß es existieren Produkte wie Aruba Central die dies können, aber ich hätte gerne etwas simples und (im besten Fall) kostenfreies.
Da dachte ich mir, das kann ich ja selber Programmieren. Meine Idee wäre gewesen ein Open-Source Programm zu machen das nur das kann, Mac Adressen basiert Vlans konfigurieren. In einer Datenbank werden die Switch konfigurationen gespeichert, man kann von dem Programm aus die einzelnen Switche abfragen und Port basiert die Informationen zurückbekommen wie z.B. Patchpanel Port, MAC, Computername, etc..
Man gibt in eine Maske ein welche Werte man aktualisieren möchte und das Programm nimmt diese Werte und setzt sie in eine vorgefertigte Command-serie ein und schickt die commands dann per SSH auf den Switch den man ausgewählt hat. Man kann neue Switche anlegen oder löschen oder nur die Konfiguration abfragen.
Ich hätte die Commands für die benötigte Konfiguration wahrscheinlich im JSON, XML, o.ä. gespeichert sodass man Theoretisch jeden Switch den man verwenden möchte dann mit dem anhängen einer config Datei verwalten kann, sei es Aruba, Unify, MikroTik, etc..
Denkt Ihr so ein Programm macht Sinn? Ich habe nichts gefunden was mir für diesen Anwendungszweck hilft.
Was für Risiken würde soetwas bergen?
Oder gäbe es einen viel einfacheren Ansatz?
Ich würde das ganze mit C# .Net machen.
Grüße
Florian
wir haben uns nach langem hin und her dafür entschieden unsere Switch-Schnittstellen mit einer festen MAC-Adresse zu verknüpfen. Nun ist die Konfiguration von diesen Ports nicht schwierig, aber ein bisschen nervig, vorallem da wir noch ein paar unterschiedliche (Aruba) Switchehaben die unterschiedliche Commands entgegen nehmen. Ich weiß es existieren Produkte wie Aruba Central die dies können, aber ich hätte gerne etwas simples und (im besten Fall) kostenfreies.
Da dachte ich mir, das kann ich ja selber Programmieren. Meine Idee wäre gewesen ein Open-Source Programm zu machen das nur das kann, Mac Adressen basiert Vlans konfigurieren. In einer Datenbank werden die Switch konfigurationen gespeichert, man kann von dem Programm aus die einzelnen Switche abfragen und Port basiert die Informationen zurückbekommen wie z.B. Patchpanel Port, MAC, Computername, etc..
Man gibt in eine Maske ein welche Werte man aktualisieren möchte und das Programm nimmt diese Werte und setzt sie in eine vorgefertigte Command-serie ein und schickt die commands dann per SSH auf den Switch den man ausgewählt hat. Man kann neue Switche anlegen oder löschen oder nur die Konfiguration abfragen.
Ich hätte die Commands für die benötigte Konfiguration wahrscheinlich im JSON, XML, o.ä. gespeichert sodass man Theoretisch jeden Switch den man verwenden möchte dann mit dem anhängen einer config Datei verwalten kann, sei es Aruba, Unify, MikroTik, etc..
Denkt Ihr so ein Programm macht Sinn? Ich habe nichts gefunden was mir für diesen Anwendungszweck hilft.
Was für Risiken würde soetwas bergen?
Oder gäbe es einen viel einfacheren Ansatz?
Ich würde das ganze mit C# .Net machen.
Grüße
Florian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7816940039
Url: https://administrator.de/forum/port-security-management-selber-programmieren-7816940039.html
Ausgedruckt am: 22.12.2024 um 09:12 Uhr
13 Kommentare
Neuester Kommentar
Moin,
Man muss das Rad ja nicht neu erfinden.
Setze einen Radius auf und arbeite an den Switchen (und in WLAN) mit 802.1x
Kollege @aqui hat da mal was vorbereitet:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Man muss das Rad ja nicht neu erfinden.
Setze einen Radius auf und arbeite an den Switchen (und in WLAN) mit 802.1x
Kollege @aqui hat da mal was vorbereitet:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Das statisch einzeln auf den Switches zu machen ist Unsinn und wenig skalierend. Ist so mit der Hose und der Kneifzange... Die Kollegen oben haben es ja schon gesagt.
Wenn, macht man das immer zentral mit einem Radius und Mac Bypass. Alles andere ist nicht wirklich vernünftig managebar. Das supporten auch alle deine Aruba Gurken.
Freeradius Management mit WebGUI
Wenn, macht man das immer zentral mit einem Radius und Mac Bypass. Alles andere ist nicht wirklich vernünftig managebar. Das supporten auch alle deine Aruba Gurken.
Freeradius Management mit WebGUI
Dann bau den Radius redundant auf:
https://aacable.wordpress.com/tag/radius-high-availability/
Einen physisch (kleiner RPi oder ein Tiny von Lenovo/ Dell/ HP/ …) und einen in einer VM…
Und jeder Switch bekommt halt noch einen Port, der definiert im Managent VLAN hängt und von 802.1x ausgenommen ist - als Backup.
https://aacable.wordpress.com/tag/radius-high-availability/
Einen physisch (kleiner RPi oder ein Tiny von Lenovo/ Dell/ HP/ …) und einen in einer VM…
Und jeder Switch bekommt halt noch einen Port, der definiert im Managent VLAN hängt und von 802.1x ausgenommen ist - als Backup.
Hi
ich werfe mal PacketFence in dem Raum. Alternativ, gegen $$ macmon , kommen aus Berlin. Es müssen nicht immer "US Lösungen" sein .
Windows NPS kannst im "HA" Laufen lassen, allerdings nur über einen Loadbalancer, "direkt" kann der das leider nicht.
je nach Anzahl der Geräte sollte man ggf. eine Managementlösung einsetzen, wir nutzen für die Administration der Switche die Lösung von Manageengine "Networkconfiguration Manager", damit lassen sich Settings Zentral über Scripte recht schnell ausrollen, z.B. neues VLAN vom Router zum Endpunkt usw., ist aber nicht kostenlos.
Gruß
@clSchak
ich werfe mal PacketFence in dem Raum. Alternativ, gegen $$ macmon , kommen aus Berlin. Es müssen nicht immer "US Lösungen" sein .
Windows NPS kannst im "HA" Laufen lassen, allerdings nur über einen Loadbalancer, "direkt" kann der das leider nicht.
je nach Anzahl der Geräte sollte man ggf. eine Managementlösung einsetzen, wir nutzen für die Administration der Switche die Lösung von Manageengine "Networkconfiguration Manager", damit lassen sich Settings Zentral über Scripte recht schnell ausrollen, z.B. neues VLAN vom Router zum Endpunkt usw., ist aber nicht kostenlos.
Gruß
@clSchak
Sehr zuverlässig und sicher wenn man es wie oben einrichtet und extrem skalierbar. Bei der Nutzung einer VM ist man sehr flexibel was das Backup und die Migration angeht.
In größeren Umgebungen > 1000 Ports mit hohen Verfügbarkeitsanforderungen macht es ggf. Sinn 2 Radius Server laufen zu lassen. Alle Infrastrukturkomponenten supporten das.
Hängt aber auch immer von eigenen Backup und Verfügbarkeits Konzepten ab.
In größeren Umgebungen > 1000 Ports mit hohen Verfügbarkeitsanforderungen macht es ggf. Sinn 2 Radius Server laufen zu lassen. Alle Infrastrukturkomponenten supporten das.
Hängt aber auch immer von eigenen Backup und Verfügbarkeits Konzepten ab.
Zitat von @DarkZoneSD:
Moin,
PacketFence wurde tatsächlich bis vor kurzem noch verwendet Hat allerdings bei uns zu vielen Problemen geführt..
Grüße
Moin,
PacketFence wurde tatsächlich bis vor kurzem noch verwendet Hat allerdings bei uns zu vielen Problemen geführt..
Grüße
Dann habt ihr scheinbar etwas fehl konfiguriert. Wir setzen es weltweit seit ca 5 Jahren für über 15.000 Geräte ein. Im HA Modus seit ca 2 Jahren .
Genutzt wird Packetfence für MAC Authentication Bypass (MAB) und je nach Netzwerk mit 802.1x.
Zitat von @DarkZoneSD:
Wie ist bis jetzt eure Erfahrung mit dem Configuration Manager? auf der Webseite sieht es ja aus als kann der weitaus mehr, da wir schon ein Endpoint management haben (Das aber in der Funktion recht eingeschränkt ist) verglichen mit dem hier, würde mich das schon interessieren.
Grüße
Florian
je nach Anzahl der Geräte sollte man ggf. eine Managementlösung einsetzen, wir nutzen für die Administration der Switche die Lösung von Manageengine "Networkconfiguration Manager", damit lassen sich Settings Zentral über Scripte recht schnell ausrollen, z.B. neues VLAN vom Router zum Endpunkt usw., ist aber nicht kostenlos.
Wie ist bis jetzt eure Erfahrung mit dem Configuration Manager? auf der Webseite sieht es ja aus als kann der weitaus mehr, da wir schon ein Endpoint management haben (Das aber in der Funktion recht eingeschränkt ist) verglichen mit dem hier, würde mich das schon interessieren.
Grüße
Florian
läuft super, wenn man einmal den Script-Syntax verstanden hat, geht es recht simpel. VLAN Ausrollen auf den gesamten Edgebereich (ca. 80 Geräte) in unter 2 Minuten. Config-Backups werden täglich gezogen, Änderungen in jeglicher Form werden ermittelt via Audit-Report an einen Verteiler gesandt, damit sind dann alle die mit den Geräten arbeiten informiert.
Die Audit-Funktion prüft dann auch auf evtl. vorhandene Config-Fehler oder fehlenden Einstellungen die man ggf. noch setzen muss (Console-Timeout, inaktives Webinterface, kein Telnet usw.), somit ist dann sichergestellt, das diverse Sicherheitsvorgaben immer eingehalten werden.
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!