ich habe ein kleines Problem (eigentlich nicht ich sondern der Kunde aber egal) und komme mit Google und ähnlichem nicht ganz weiter.
Folgendes Szenario:
Firmenumgebung soll nur die Notebooks der Mitarbeiter ins hausinterne Netz lassen. Dafür ist vorgesehen:
1. Filtering an den Switches
2. Filtering an der Linux-Firewall (das können wir hier einfach im Raum stehen stehen lassen).
So. Fragt mich nicht warum, aber es war meine Vorgabe dass der MAC-Filter lokal in die Switches eingetragen wird; ein Radius-Server ist anscheinend... ach keine Ahnung ob zu aufwendig oder wasweißich.
Ich soll das Reglement eben in die Switchkonfig eintragen und damit muss ich leben.
Der Abteilungsleiter will jedoch, falls ich mal gegen nen Baum fahre oder so, dass jeder der eine Tastatur bedienen kann diesen MAC-Filter erweitern bzw Einträge daraus löschen kann...
(Können Schimpansen nicht auch Tastaturen bedienen...? *grübel*)
Ich habe also drei Möglichkeiten:
a) Ihr kennt ein Tool, meinetwegen auf Java-basis, das mit einem aktiven Account auf dem Switch neue MAC-ACL-Einträge erstellen, editieren oder löschen kann.
b) Man versucht das in einer Klartext-Batch unterzubringen mit einem MAC-Abfrage-Feld - das bekomme ich aber komischerweise nicht hin, weil ich die Abfrage der Batch anscheinend nciht richtig konfigurieren kann. Zudem hab ich ein kleines Problem mit Klartext-PW's...
c) Ich fahre nie wieder Auto ;-)
Sorry, aber ein Radiusserver haette ein Webinterface zum Hinzufuegen der MACs, du machst es dir nur unnoetig schwer oder bist einfach zu faul dich in Radius einzuarbeiten
So. Fragt mich nicht warum, aber es war meine Vorgabe dass der MAC-Filter lokal in die Switches eingetragen wird; ein Radius-Server ist anscheinend... ach keine Ahnung ob zu aufwendig oder wasweißich.
Ich soll das Reglement eben in die Switchkonfig eintragen und damit muss ich leben.
Wie ich schon sagte, ich hätte es mit einem Radiusserver gemacht - aber der Abteilungsleiter will das eben so - Kunde ist König...
Wenn Dir also nix konstruktives zu diesem Fall dazu einfällt, dann lass doch bitte Postings in diesem Thread.
Dann muss sich der Kund halt mit Telnet auseinandersetzen. Es gibt auch (z.B. Nortel) gute Windowstools, mit dem sich die Switche des jeweiligen Herstellers konfigurieren lassen. Trotzdem sollte man dem Kunden sagen, dass MAC-Filter nur DAU's aussperren.
So. Fragt mich nicht warum, aber es war meine Vorgabe dass der MAC-Filter lokal in die Switches eingetragen wird; ein Radius-Server ist anscheinend... ach keine Ahnung ob zu aufwendig oder wasweißich.
Ich will dir ja nicht zu nahe treten, aber ich kann lesen ...
Zahni,
ich glaube das mit den DAU's aussperren weiß er, er hätte sonst nicht auf ein zweistufiges Konzept gesetzt.
Der MAC-Filter dient ja eigentlich nur dazu, dass bei einer Veranstaltung nicht einfach mal jemand ein Cat5e in den Bodentank steckt und dann munter DHCP-Lease und Zugriff auf die Rechner im Subnetz bekommt (die Server sind sowieso geschützt).
Der Cisco Network Assistant ist ihm ja leider schon wieder zu kompliziert...
Es geht nicht darum dass ich oder ein vergleichbar Ausgebildeter das nicht einfach manuell via SSH-Konsole oder CNA einbinden könnten - er will quasi dass DAU's DAU's aussperren können... *seufz*
Grüße, Wolf
Geändert von Nightwolf81 (05.08.2008 um 13:29 Uhr).
Grund: –––– Doppelpost – Automerge –––
Oh, mir fällt gerade was ein: Ein Programm soll nix zusätzlich kosten... -.-
Hatte ich noch nicht geschrieben, tut mir sorry...
Mmmh, ich überlege gerade, konnte man das im Cisco-Webinterface einstellen? hab hier gerade nur die IOS-Version ohne html... Wenn dann musser wohl in den sauren Apfel beißen und Lizenzgebühren für ne andere IPBASE zahlen... Is je ein Bestandteil seiner hardware, davon werd ich Ihn warscheinlich eher überzeugen können... Was müssen die Leute auch immer so stur sein, wir meinens doch nur gut mit Ihnen...
MAC-Filter via ACL
