Jump to content

Switchport absichern wo AP drauf hängt


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi

 

Wie kann ich einen Switchport absichern das sich dort nur ein AP + seine Clients befindne dürfen?

 

Für einen normalen PC würde mir da port-security einfallen, aber wie sieht das eben bei AP's aus? Gibt es eine Möglichkeit das der Switchport auf disabled geht wenn er merkt das der AP nicht mehr draufhängt?

 

Sprich eine Logik die aussieht wie Client1 oder Client2 oder usw... UND der AP.

--> dann ist alles in Ordnung und der Port ist aktive

 

Wenn:

 

Client1, oder Client2 oder usw..

 

der Port auf disabled geht.

 

Ist so etwas möglich, dies irgendwie abzusichern?

 

thx

onedread

Link zu diesem Kommentar
Hi

 

Was würde ich den dazu den alles brauchen? Ich hab nen 3750, ap1241, und einen IAS Server on WIN2KSRV.

 

Würd das reichen?

 

Prinzipiell schon. Du hast mehrere Möglichkeiten:

1.) 802.1x Supplicant auf dem AP FastEthernet Interface anschalten. Die unterstützten EAP Typen sind EAP-FAST, EAP-MD5, LEAP, EAP-GTC, EAP-TLS und EAP-MSCHAPv2. Auf dem IAS wird meines Wissens alles ausser FAST und LEAP unterstützt. Du musst auf dem AP dann Usercredentials einrichten, die dem Backend Authentication Server bekannt sind.

 

2.) Nutze MAB (Mac Authentication Bypass). Dafür braucht man dann keinen 802.1x Supplicant auf dem AP. Entweder man hinterlegt die MAC Adresse des AP auf dem Switch, oder legt die MAC-Adresse im Backend Server an. Der Switch spielt dann Supplicant.

 

Egal wie - mit der Hardware die du hast, dürfte es gehen.

Link zu diesem Kommentar

Du kannst dann noch zusätzlich einen Trunk zwischen AP und Switch machen.

Die SSid bridged du dann in ein Vlan. Das Vlan 1 verwendest du nicht.

Damit erreichst du das auch ein Client mit der Mac- Addr. des AP nicht funktioniert.

 

Ist zwar auch nicht 100% ig sicher aber ein weiteres Hindernis

 

 

Statt 802.1x mit Mac Authentication Bypass könntest du auch port security machen. Da brauchst du keinen Radius Server.

 

 

 

lg Franz

Link zu diesem Kommentar

Das mit dem Port Security raff ich nicht ganz, sorry.

Wie genau soll das funktionieren das du dafür sorgst, daß die Clients nur kommunizieren können, wenn der AP am Netz ist?

Mit Port-Security kannst du doch nur die maximale Anzahl der MACs am Port festlegen und eben Sticky Adressen vordefinieren.

Wenn der AP am Netz ist, hast du die MAC-Adresse des AP am Switchport plus eben alle MAC-Adressen der wireless Clients.

 

Vielleicht hab ich auch nur ein Brett vor dem Kopf. Wie soll das klappen?

 

Nur als Ergänzung:

Mit MAB braucht man auch keinen RADIUS Server. Das ganze kann man auch lokal auf dem Switch händeln.

Man kann eben mit 802.1x eine generische Konfig basteln und muss nicht die MAC-Adressen aller APs pflegen. Einfach ein und denselben Username auf alle APs konfigurieren. Die Switchport Konfig sieht dann auf jedem Switch gleich aus - das ist der Charme an der Sache.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...