Hallo!
Meine Chefin hat mich gebeten mal zu schauen wie man am besten das Netzwerk vor Fremdrechnern schützt. Eigentlich klingt es ganz einfach. Alle Domainrechner sollen in das normale VLAN rein und alle domainfremden Rechner sollen in ein Gast-VLAN und Telefone natürlich in das Voice-VLAN. Daten und Voice VLAN sind ja kein Problem, weil das die Cisco Switche von allein machen bei der entsprechenden Konfiguration. Nur das mit dem Gast-VLAN ist ein echtes Problem.
Ok port security haben wir ja gelernt beim CCNA aber da war es ja nur möglich anhand einer ACL festzulegen welche Mac Adressen zugelassen werden und sonst wird eben der Port abgeschaltet.
Gibt es die Möglichkeit mit Port Security dem angeschlossenen Rechner eine bestimmtes Vlan zuzuweisen? (ich kenne keine).
Eine Lösung wäre ein VMPS Server , der in unserer Cisco Umgebung funktionieren würde. Aber eben nur würde, da weltweit eben doch nicht überall Cisco Switche und Router im Einsatz sind und zusätzlich auch nicht alle Cisco Geräte das VLAN Query Protocol (VQP) unterstützen. Das nächste größere Problem ist auch noch, dass alle MAC Adressen eigepflegt werden müssen und ich will keine 6000 MAC Adressen irgendwo pflegen müssen.
Die andere Lösung heisst 802.1x, aber dann braucht man auch noch einen CA Server (Certificate Authority) um dann mit digitalen Zertifikaten zu arbeiten und natürich Komponenten, die dann auch 802.1x unterstützen. Dann ist es eine weitere Überlegung wert, sich auch über die Verwaltung der Zertifikate gedanken zu machen, Maschinenzertifikate oder Zertifikate auf SecureUSBTokens... ist halt schon ein komplexes Thema.
Gibt es eine andere Möglichkeit sowas zu realisieren? Hab für jede Idee ein offenes Ohr.