speer 16 Posted June 29, 2020 Report Share Posted June 29, 2020 Hallo zusammen, beschäftige mich Privat gerade mit einem alten 3750 Cisco Switch. Mein Verständnisproblem betrifft das Thema Port-Security. Als Beispiel möchte ich einen neuen Server an einen Port freischalten an dem Port-Security aktiviert ist. Meine Konfig soweit: switchport mode access switchport port-security switchport port-security maximum 50 switchport port-security violation restrict Somit könnte ich neben der Server MAC Adresse am Switchport noch zusätzliche 49 MAC Adressen in die Whitelist eintragen... doch mit welchem Befehl trage ich diese in die Whitelist ein? Quote Link to comment
falkebo 18 Posted July 1, 2020 Report Share Posted July 1, 2020 Am 29.6.2020 um 17:59 schrieb speer: Somit könnte ich neben der Server MAC Adresse am Switchport noch zusätzliche 49 MAC Adressen in die Whitelist eintragen... doch mit welchem Befehl trage ich diese in die Whitelist ein? Moin @speer. Wenn du MACs manuell whitelisten möchtest, dann geht das mit dem Befehl: switchport port-security mac-address XXX Was ist dein genaues Ziel? Quote Link to comment
speer 16 Posted July 2, 2020 Author Report Share Posted July 2, 2020 Mit dem maximum 50 bin ich etwas über das Ziel gegangen. Möchte gerne, dass ein Switchport nur für den Server reserviert ist. Sprich, falls ein Kollege das LAN Kabel ziehen sollte und ein anderes Gerät anschließt, darf keine Verbindung zustandekommen. Denke dann reicht auch ein maximum 1. Bei meiner kleinen Umgebung ist das händische eintragen der MAC kein problem. Wie macht man das bei einem Mittelstandsunternehmen mit mehreren 100 Geräten? Quote Link to comment
lefg 276 Posted July 4, 2020 Report Share Posted July 4, 2020 (edited) Moin Wurde schon geschaut in Catalyst 3750 Switch Software Configuration Guide? Gibt es wohl leider nicht in deutsch. Und ich möchte momentab auch nicht das Ding durchackern. Viel Erfolg Vielleicht hilft das https://community.cisco.com/t5/switching/bd-p/6016-discussions-lan-switching-routing Edited July 4, 2020 by lefg Quote Link to comment
lefg 276 Posted July 4, 2020 Report Share Posted July 4, 2020 (edited) Am 2.7.2020 um 19:45 schrieb speer: Wie macht man das bei einem Mittelstandsunternehmen mit mehreren 100 Geräten? Ich meine, entweder kann man von selbst mit den Ciscos umgehen, besucht eine Schulung dafür, holt sich einen einem Fachmann aus der Nähe dafür. Ich weiss es ja, das ist alles nicht so praktikabel in diesem Fall. Was noch? Den alten Kram ersetzen durch modernes Gerät mit grafischer Benutzeroberfläche. Ich hatte das Glück, ich konnte mit HP Procurve anfangen, die grafische Benutzeroberfläche ist zeitsparend, weitgehend intiutiv, Manual auf deutsch. Und https://www.ip-insider.de/eine-einfuehrung-in-softwaredefiniertes-networking-d-34113/ Edited July 4, 2020 by lefg Quote Link to comment
lefg 276 Posted July 4, 2020 Report Share Posted July 4, 2020 (edited) Am 2.7.2020 um 19:45 schrieb speer: falls ein Kollege das LAN Kabel ziehen sollte Wieso kann ein Kollege an das Kabel vom Server kommen? Nun, früher bei uns standen die einzelnen Hörsaakserver unter dem Tisch des Dozenten. Irgendwann gab es dann LAN-Schränke und Serverraum. Und wenn Studenten ungefragt eignes Gerät anschlossen, dann blieben wir höflich, die Studierenden, deren Arbeitgeber bezahlten das Studium, das sind Kunden. Im Verwaltungsbereich sind Privatgeräte nicht gestattet. Wer zusätzlich einen Laptop benötigte, der bekam den Anschluss dafür. Jedenfall war es nicht üblich, jeden Rechner auf seinen Port zu schmieden. Es war einfach nicht gefordert. Edited July 4, 2020 by lefg Quote Link to comment
magheinz 99 Posted July 4, 2020 Report Share Posted July 4, 2020 Am 2.7.2020 um 19:45 schrieb speer: Bei meiner kleinen Umgebung ist das händische eintragen der MAC kein problem. Wie macht man das bei einem Mittelstandsunternehmen mit mehreren 100 Geräten? 802.1x, oder ähnliches. Vlans verhindern auch noch ein paar Dinge. Abgesehen davon sind die Server in einem Raum, zu dem nur ein eingeschränkter Personenkreis Zutritt hat. Dazu kommt ein Monitoring, welches beim Abziehen des Kabel Alarm schlägt. Quote Link to comment
falkebo 18 Posted July 5, 2020 Report Share Posted July 5, 2020 Am 2.7.2020 um 19:45 schrieb speer: Bei meiner kleinen Umgebung ist das händische eintragen der MAC kein problem. Wie macht man das bei einem Mittelstandsunternehmen mit mehreren 100 Geräten? Da gibt es mehrere Möglichkeiten. Wenn man das wirklich restriktiv gestalten möchte, dann gibts z.B. sowas: https://www.macmon.eu/loesungen/funktionen/network-access-control/ Man darf in Sachen Port-Security auch nicht vergessen das alles auf der MAC basiert. Und MACs kann man easy spoofen, entsprechend ist es eine Erschwernis aber keine 100% Sicherheit. Quote Link to comment
speer 16 Posted July 10, 2020 Author Report Share Posted July 10, 2020 Kein Problem, es war lediglich in meiner virtuellen Switch Umgebung. Spontan würde mir nur eine sinnvolle Möglichkeit der statischen port security einfallen. Bei unseren Besprechungsräume stehen Laptops bereit die ein Präsentator verwenden kann. Es kam in der Vergangenheit des öftern vor, dass das LTE beim Präsentator nicht funktionierte. Also wurde das fremde Laptop direkt mit diesem VLAN verbunden... natürlich nach Rücksprache mit den unwissenden Kollegen. Hier wäre es ein sinnvoller Zweck, die bekannten MAC Adressen der Laptops mit Port Security zu verbinden. Ansonsten, vielen Dank für die Hilfen, vorallem an @falkebo Danke Euch :) Quote Link to comment
magheinz 99 Posted July 13, 2020 Report Share Posted July 13, 2020 Hahaha, das passt perfekt in ein IT-Forum... Ich persönlich empfinde die Web-GUIs nicht als Fortschritt gegenüber der Cli. Eine REST-Api empfinde ich als Fortschritt. Dann kann man die gesamte Config zentral auslagern und z.B. Einem Puppet o.ä. Übergeben. Im Besprechungsraum würde ich ein Gäste-VLAN einrichten. Bei uns führt das sogar auf einen separaten DSL-Anschluss... Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.