Simples NAC gesucht
Hallo,
Ich suche eine Lösung, welche die Ports von managbaren Switchen(TP-Link TL-SG3424, evtl. Cisco SG200-xx,
Netgear ProSafe ) überwacht und abhängig von den angeschlossenen MACs passenden VLANs zuordnet...
Prima wäre auch ein zugehöriger DHCP-Server so dass man neue Geräte(MACs) an einer stelle inventarisieren und
IPs/VLANs zuordnen kann. Das ganze für 50-100 Geräte.
Weitergehende NAC-Funktionalität wird nicht gebraucht, dafür sollte das ganze relativ einfach administrierbar und
kostengünstig sein. Open Source wäre erste Wahl. Alles was ich bis jetzt gefunden habe erscheint mir doch
recht überdimensioniert für den Zweck.
Ich suche eine Lösung, welche die Ports von managbaren Switchen(TP-Link TL-SG3424, evtl. Cisco SG200-xx,
Netgear ProSafe ) überwacht und abhängig von den angeschlossenen MACs passenden VLANs zuordnet...
Prima wäre auch ein zugehöriger DHCP-Server so dass man neue Geräte(MACs) an einer stelle inventarisieren und
IPs/VLANs zuordnen kann. Das ganze für 50-100 Geräte.
Weitergehende NAC-Funktionalität wird nicht gebraucht, dafür sollte das ganze relativ einfach administrierbar und
kostengünstig sein. Open Source wäre erste Wahl. Alles was ich bis jetzt gefunden habe erscheint mir doch
recht überdimensioniert für den Zweck.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 235268
Url: https://administrator.de/forum/simples-nac-gesucht-235268.html
Ausgedruckt am: 26.12.2024 um 12:12 Uhr
7 Kommentare
Neuester Kommentar
Hier findest du deine Lösung mit einem Raspberry Pi der für deine User Anzahl reicht oder wenn du etwas mehr brauchst nimmst du ein Intel NUC:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
bzw.
Netzwerk Management Server mit Raspberry Pi
Einfacher und preiswerter gehts nicht !
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
bzw.
Netzwerk Management Server mit Raspberry Pi
Einfacher und preiswerter gehts nicht !
Eine ganze Menge der Clients sind nicht wirklich 802.1x-fähig
Für die reine Mac Authentisierung mit 802.1x ist das nicht relevant, denn die brauchen dafür keinen .1x Client !Spricht etwas dagegen grundsätzlich per Mac Authentisierung zu arbeiten, alle Geräte in einem LDAP zu verwalten und Radius-, DHCP- und DNS-Server daraus zu füttern?
Nein, absolut nicht, denn das ist gängige und übliche Praxis das genau so zu machen !Was passiert bei der Konfiguration, wenn an einem managbaren Switch ein einfacher Hub/Switch hängt, an dem wiederum mehrere Geräte hängen, die ins selbe VLAN gehören?
Sehr gute und sinnvolle Frage... Bessere Switches machen die Weiterleitung NUR ausschliesslich auf Basis der Mac. Also die Mac muss sich explizit authentisieren auch wenn sie an einem Billigswitch davorhängt.
Zusätzlich dazu können solche Switches diese Macs auch dediziert in unterschiedliche VLANs forwarden. Das Feature nennt man dann "Mac based VLANs".
Bei den billigen Vertretern reicht es das eine Mac das .1x "Tor aufmacht" und alle anderen können passieren. Glücklicherweise halten sich solche Billigheimer aber in Grenzen. Es macht immer Sinn dort mal genau ins Manual VOR dem Kauf zu sehen wenn man solche Überraschung ausschliessen will !
Auch kleine bessere VLAN Switches wie der z.B. Cisco SG-200-8 hat auch einen .1x Client an Bord so das der Switch sich selber authentisieren kann.
das Netz ist seit 15 Jahren flach und dumm
Ist leider sehr häufig und traurige Realität bei einer Vielzahl von mittleren Unternehmen und Behörden !Die ebenso alte Telefonanlage soll durch VoIP abgelöst werden
Das erfordert allein schon aus rechtlichen Gründen (Fernmeldegeheimnis) ein separates VLAN !sind eine Anzahl Kameras und Zugangskontrollsysteme hinzugekommen
...und das ebenso zwingend !Geplant sind 5 VLANs
Das ist genau der richtige Weg für einen sinnvolle Segmentierung ! Die Server solltest du auch in ein separates RZ VLAN abtrennen.Grundlegende Infos dazu gibt es noch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ggf. ist ein L3 fähiger Switch im Core der den VLAN Router ersetzt aus Performance Sicht günstiger, aber das ist letztlich abhängig von der Anzahl der User usw.
So wie ich das jetzt sehe, wären die Dynamische VLAN Zuweisung vom Switch und Mac based VLANs Must have - Features
Ja, absolut richtig !Mittlerweile sind diese Funktionen sehr weit verbreitet auch in den preiswerten Web Smart Switches. Wichtig für dich ist das du dediziert nachfragst ob dynamische VLANs mit der .1x Funktion supportet sind bevor du kaufst !
PoE wäre auch ein nützliches Feature um die ganzen Netzteile und PoE-Injektoren der VoIP-Telefone, Kameras etc. abzuschaffen.
Ebenso sehr richtig und sinnvoll ! Abgesehen davon reduziert es erheblich die Fehleranfälligkeit des Netzes speziell Voice durch Entfall der dann überflüssigen Injektoren !damit liefe so ziemlich der gesamte Traffic über den Router,
Da hast du recht. Der Tip bezog sich auch eher dann auf den Einsatz eines L3 Switches wo es dann Sinn macht.Wenn du mit einem externen Router arbeitest ist deine o.a. Segmentierung bei dieser doch sehr geringen Anzahl von Server und Clients sicher vorteilhafter, keine Frage.
Zitat von @sigkill:
Derzeit gibt es nur einen TP-Link TL-SG3424, weitere passende Switche müssen beschafft werden. So wie ich das jetzt sehe,
wären die Dynamische VLAN Zuweisung vom Switch und Mac based VLANs Must have - Features. Den TP-Link müsste ich
darauf testen(zumindest nach Spezifikation kann er "Port/ MAC/Protokoll-basiertes VLAN").
Derzeit gibt es nur einen TP-Link TL-SG3424, weitere passende Switche müssen beschafft werden. So wie ich das jetzt sehe,
wären die Dynamische VLAN Zuweisung vom Switch und Mac based VLANs Must have - Features. Den TP-Link müsste ich
darauf testen(zumindest nach Spezifikation kann er "Port/ MAC/Protokoll-basiertes VLAN").
Hallo, hast du das mittlerweile mal getestet? Wäre gut zu wissen da ich gerade vor dem selben Problem stehe.