Portsicherheit am Switch
Hallo zusammen,
Kunden schließen oft an eine Dose einfach mal kleine Switche an und kein Mensch blickt dort mehr durch.
Kann ich dem Coreswitch, zu dem diese Kabel über ein Patchpanel führen würden, dahingehend absichern, dass der Port das dann blockt/ ausgeht?
Herstellerunabhängig gefragt.
Kunden schließen oft an eine Dose einfach mal kleine Switche an und kein Mensch blickt dort mehr durch.
Kann ich dem Coreswitch, zu dem diese Kabel über ein Patchpanel führen würden, dahingehend absichern, dass der Port das dann blockt/ ausgeht?
Herstellerunabhängig gefragt.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 495380
Url: https://administrator.de/forum/portsicherheit-am-switch-495380.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
5 Kommentare
Neuester Kommentar
Moin,
die einfache, schnelle Lösung heißt Port Security und wird grundsätzlich auf dem Switch bzw. Port konfiguriert. Damit verbunden sind mehere Aktionen möglich (Block, Disable). Der Switch muss mindestens Layer 2 Managed sein.
Wenn es etwas größer sein soll und muss, gibt es natürlich entsprechende NAC-Lösungen, welche natürlich umfangreicher, detailierte Konfiguration ermöglichen.
Gruß,
Dani
die einfache, schnelle Lösung heißt Port Security und wird grundsätzlich auf dem Switch bzw. Port konfiguriert. Damit verbunden sind mehere Aktionen möglich (Block, Disable). Der Switch muss mindestens Layer 2 Managed sein.
Wenn es etwas größer sein soll und muss, gibt es natürlich entsprechende NAC-Lösungen, welche natürlich umfangreicher, detailierte Konfiguration ermöglichen.
Gruß,
Dani
Rein prinzipiell -> ja
Frage: Warum ist die Dose überhaupt gepatcht und was willst Du konkret erreichen?
Wenn es eine "Kundendose" ist, dann stecken sich die Kunden an. Heißt verschiedene MAC-Adressen auf einem SwitchPort. Hier kann der Switch nicht unterscheiden, ob die Kunden sich nacheinander oder gleichzeitig über einen kleinen Switch anstecken. Für ihn fließen sie Daten immer nacheinander.
Du kann einen Port einer MAC-Adresse zuordnen, steckt sich jemand anders an wirds blockiert, nur ist das so gewünscht?
Frage: Warum ist die Dose überhaupt gepatcht und was willst Du konkret erreichen?
Wenn es eine "Kundendose" ist, dann stecken sich die Kunden an. Heißt verschiedene MAC-Adressen auf einem SwitchPort. Hier kann der Switch nicht unterscheiden, ob die Kunden sich nacheinander oder gleichzeitig über einen kleinen Switch anstecken. Für ihn fließen sie Daten immer nacheinander.
Du kann einen Port einer MAC-Adresse zuordnen, steckt sich jemand anders an wirds blockiert, nur ist das so gewünscht?
Kann ich dem Coreswitch,
Ja, das kannst du ! Das Zauberwort heisst 802.1x Port Security:Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Geht entweder mit den User Credentials oder auch rein über die Mac Adresse oder auch mit einer Kombination von beidem.
Das ist das weltweite Standard Verfahren um Ports abzusichern.
Statische Mac Adress Port Security geht auch aber dann musst du an jedem Switchport statisch die Mac Adressen immer fest definieren in der Konfig die da dürfen ! Etwas unflexibel wenn du wechselnde User hast.
Sind die User aber immer fest und statisch wäre das auch ein gangbarer Weg da etwas weniger Aufwand als .1x.
Hallo,
du kannst die gewünschten Geräte anschließen, Port Security global mit Autolearn einstellen und dann mit den entsprechenden Geräten aktivieren. Diese müssen natürlich an sein.
Wichtig: Für die Ports mit mehreren MAC-Adressen entsprechende Ausnahmen definieren.
Nicht benötigte Ports werden dauerhaft down geschaltet und fertig ist der Lack mit wenig manuellem Aufwand.
Gruß
maxblank
du kannst die gewünschten Geräte anschließen, Port Security global mit Autolearn einstellen und dann mit den entsprechenden Geräten aktivieren. Diese müssen natürlich an sein.
Wichtig: Für die Ports mit mehreren MAC-Adressen entsprechende Ausnahmen definieren.
Nicht benötigte Ports werden dauerhaft down geschaltet und fertig ist der Lack mit wenig manuellem Aufwand.
Gruß
maxblank
Hallo,
vermietest Du Netzwerkdosen?
Vielleicht suchst Du ja auch eine Möglichkeit herauszubekommen, welche Geräte (MAC) an welchem Port hängen? Dazu hat der Switch eine ARP-Tabelle, die zeigt an, was wo ist. Oder eben die 802.1x . Das kann man auch so konfigurieren, dass alles erlaubt ist und der Radius-Server protokolliert, was sich an welchem Port angemeldet hat.
Grüße
lcer
vermietest Du Netzwerkdosen?
Vielleicht suchst Du ja auch eine Möglichkeit herauszubekommen, welche Geräte (MAC) an welchem Port hängen? Dazu hat der Switch eine ARP-Tabelle, die zeigt an, was wo ist. Oder eben die 802.1x . Das kann man auch so konfigurieren, dass alles erlaubt ist und der Radius-Server protokolliert, was sich an welchem Port angemeldet hat.
Grüße
lcer