speer 16 Geschrieben 29. Juni 2020 Melden Teilen Geschrieben 29. Juni 2020 Hallo zusammen, beschäftige mich Privat gerade mit einem alten 3750 Cisco Switch. Mein Verständnisproblem betrifft das Thema Port-Security. Als Beispiel möchte ich einen neuen Server an einen Port freischalten an dem Port-Security aktiviert ist. Meine Konfig soweit: switchport mode access switchport port-security switchport port-security maximum 50 switchport port-security violation restrict Somit könnte ich neben der Server MAC Adresse am Switchport noch zusätzliche 49 MAC Adressen in die Whitelist eintragen... doch mit welchem Befehl trage ich diese in die Whitelist ein? Zitieren Link zu diesem Kommentar
falkebo 18 Geschrieben 1. Juli 2020 Melden Teilen Geschrieben 1. Juli 2020 Am 29.6.2020 um 17:59 schrieb speer: Somit könnte ich neben der Server MAC Adresse am Switchport noch zusätzliche 49 MAC Adressen in die Whitelist eintragen... doch mit welchem Befehl trage ich diese in die Whitelist ein? Moin @speer. Wenn du MACs manuell whitelisten möchtest, dann geht das mit dem Befehl: switchport port-security mac-address XXX Was ist dein genaues Ziel? Zitieren Link zu diesem Kommentar
speer 16 Geschrieben 2. Juli 2020 Autor Melden Teilen Geschrieben 2. Juli 2020 Mit dem maximum 50 bin ich etwas über das Ziel gegangen. Möchte gerne, dass ein Switchport nur für den Server reserviert ist. Sprich, falls ein Kollege das LAN Kabel ziehen sollte und ein anderes Gerät anschließt, darf keine Verbindung zustandekommen. Denke dann reicht auch ein maximum 1. Bei meiner kleinen Umgebung ist das händische eintragen der MAC kein problem. Wie macht man das bei einem Mittelstandsunternehmen mit mehreren 100 Geräten? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 4. Juli 2020 Melden Teilen Geschrieben 4. Juli 2020 (bearbeitet) Moin Wurde schon geschaut in Catalyst 3750 Switch Software Configuration Guide? Gibt es wohl leider nicht in deutsch. Und ich möchte momentab auch nicht das Ding durchackern. Viel Erfolg Vielleicht hilft das https://community.cisco.com/t5/switching/bd-p/6016-discussions-lan-switching-routing bearbeitet 4. Juli 2020 von lefg Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 4. Juli 2020 Melden Teilen Geschrieben 4. Juli 2020 (bearbeitet) Am 2.7.2020 um 19:45 schrieb speer: Wie macht man das bei einem Mittelstandsunternehmen mit mehreren 100 Geräten? Ich meine, entweder kann man von selbst mit den Ciscos umgehen, besucht eine Schulung dafür, holt sich einen einem Fachmann aus der Nähe dafür. Ich weiss es ja, das ist alles nicht so praktikabel in diesem Fall. Was noch? Den alten Kram ersetzen durch modernes Gerät mit grafischer Benutzeroberfläche. Ich hatte das Glück, ich konnte mit HP Procurve anfangen, die grafische Benutzeroberfläche ist zeitsparend, weitgehend intiutiv, Manual auf deutsch. Und https://www.ip-insider.de/eine-einfuehrung-in-softwaredefiniertes-networking-d-34113/ bearbeitet 4. Juli 2020 von lefg Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 4. Juli 2020 Melden Teilen Geschrieben 4. Juli 2020 (bearbeitet) Am 2.7.2020 um 19:45 schrieb speer: falls ein Kollege das LAN Kabel ziehen sollte Wieso kann ein Kollege an das Kabel vom Server kommen? Nun, früher bei uns standen die einzelnen Hörsaakserver unter dem Tisch des Dozenten. Irgendwann gab es dann LAN-Schränke und Serverraum. Und wenn Studenten ungefragt eignes Gerät anschlossen, dann blieben wir höflich, die Studierenden, deren Arbeitgeber bezahlten das Studium, das sind Kunden. Im Verwaltungsbereich sind Privatgeräte nicht gestattet. Wer zusätzlich einen Laptop benötigte, der bekam den Anschluss dafür. Jedenfall war es nicht üblich, jeden Rechner auf seinen Port zu schmieden. Es war einfach nicht gefordert. bearbeitet 4. Juli 2020 von lefg Zitieren Link zu diesem Kommentar
magheinz 100 Geschrieben 4. Juli 2020 Melden Teilen Geschrieben 4. Juli 2020 Am 2.7.2020 um 19:45 schrieb speer: Bei meiner kleinen Umgebung ist das händische eintragen der MAC kein problem. Wie macht man das bei einem Mittelstandsunternehmen mit mehreren 100 Geräten? 802.1x, oder ähnliches. Vlans verhindern auch noch ein paar Dinge. Abgesehen davon sind die Server in einem Raum, zu dem nur ein eingeschränkter Personenkreis Zutritt hat. Dazu kommt ein Monitoring, welches beim Abziehen des Kabel Alarm schlägt. Zitieren Link zu diesem Kommentar
falkebo 18 Geschrieben 5. Juli 2020 Melden Teilen Geschrieben 5. Juli 2020 Am 2.7.2020 um 19:45 schrieb speer: Bei meiner kleinen Umgebung ist das händische eintragen der MAC kein problem. Wie macht man das bei einem Mittelstandsunternehmen mit mehreren 100 Geräten? Da gibt es mehrere Möglichkeiten. Wenn man das wirklich restriktiv gestalten möchte, dann gibts z.B. sowas: https://www.macmon.eu/loesungen/funktionen/network-access-control/ Man darf in Sachen Port-Security auch nicht vergessen das alles auf der MAC basiert. Und MACs kann man easy spoofen, entsprechend ist es eine Erschwernis aber keine 100% Sicherheit. Zitieren Link zu diesem Kommentar
speer 16 Geschrieben 10. Juli 2020 Autor Melden Teilen Geschrieben 10. Juli 2020 Kein Problem, es war lediglich in meiner virtuellen Switch Umgebung. Spontan würde mir nur eine sinnvolle Möglichkeit der statischen port security einfallen. Bei unseren Besprechungsräume stehen Laptops bereit die ein Präsentator verwenden kann. Es kam in der Vergangenheit des öftern vor, dass das LTE beim Präsentator nicht funktionierte. Also wurde das fremde Laptop direkt mit diesem VLAN verbunden... natürlich nach Rücksprache mit den unwissenden Kollegen. Hier wäre es ein sinnvoller Zweck, die bekannten MAC Adressen der Laptops mit Port Security zu verbinden. Ansonsten, vielen Dank für die Hilfen, vorallem an @falkebo Danke Euch :) Zitieren Link zu diesem Kommentar
magheinz 100 Geschrieben 13. Juli 2020 Melden Teilen Geschrieben 13. Juli 2020 Hahaha, das passt perfekt in ein IT-Forum... Ich persönlich empfinde die Web-GUIs nicht als Fortschritt gegenüber der Cli. Eine REST-Api empfinde ich als Fortschritt. Dann kann man die gesamte Config zentral auslagern und z.B. Einem Puppet o.ä. Übergeben. Im Besprechungsraum würde ich ein Gäste-VLAN einrichten. Bei uns führt das sogar auf einen separaten DSL-Anschluss... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.