moonjumper

OK ACL ist der falsche Begriff ich geb dir Recht. Aber wir meinen beide das gleiche :) ich will aber kein 802.1x aufsetzen :mad: Jetzt hat ein Kollege noch gemeint, dass man ja vielleicht mit einem Radius Server im Hintergrund was drehen könnte. Ist da was bekannt, dass bei nicht erfolgreicher Authentifizierung ein anderes VLAN genutzt wird?

port security hat nichts mit ACL zu tun? was haben wir denn dann in unserem CCNA Kurs gemacht? ist ja aber Egal.. Bei WLAN wäre es kein Problem, da man hier ja zumindest bei Cisco ein Guest Vlan ansprechen kann mit einer Guest SSID. Jeden Port einzeln anpassen wollten wir nicht, da es durchaus sein kann, dass ein vorhandenes Netzwerkkabel genutzt wird.

Hallo! Meine Chefin hat mich gebeten mal zu schauen wie man am besten das Netzwerk vor Fremdrechnern schützt. Eigentlich klingt es ganz einfach. Alle Domainrechner sollen in das normale VLAN rein und alle domainfremden Rechner sollen in ein Gast-VLAN und Telefone natürlich in das Voice-VLAN. Daten und Voice VLAN sind ja kein Problem, weil das die Cisco Switche von allein machen bei der entsprechenden Konfiguration. Nur das mit dem Gast-VLAN ist ein echtes Problem. Ok port security haben wir ja gelernt beim CCNA aber da war es ja nur möglich anhand einer ACL festzulegen welche Mac Adressen zugelassen werden und sonst wird eben der Port abgeschaltet. Gibt es die Möglichkeit mit Port Security dem angeschlossenen Rechner eine bestimmtes Vlan zuzuweisen? (ich kenne keine). Eine Lösung wäre ein VMPS Server , der in unserer Cisco Umgebung funktionieren würde. Aber eben nur würde, da weltweit eben doch nicht überall Cisco Switche und Router im Einsatz sind und zusätzlich auch nicht alle Cisco Geräte das VLAN Query Protocol (VQP) unterstützen. Das nächste größere Problem ist auch noch, dass alle MAC Adressen eigepflegt werden müssen und ich will keine 6000 MAC Adressen irgendwo pflegen müssen. Die andere Lösung heisst 802.1x, aber dann braucht man auch noch einen CA Server (Certificate Authority) um dann mit digitalen Zertifikaten zu arbeiten und natürich Komponenten, die dann auch 802.1x unterstützen. Dann ist es eine weitere Überlegung wert, sich auch über die Verwaltung der Zertifikate gedanken zu machen, Maschinenzertifikate oder Zertifikate auf SecureUSBTokens... ist halt schon ein komplexes Thema. Gibt es eine andere Möglichkeit sowas zu realisieren? Hab für jede Idee ein offenes Ohr.