Nightwolf81 10 Geschrieben 5. August 2008 Melden Geschrieben 5. August 2008 Hi Jungs, ich habe ein kleines Problem (eigentlich nicht ich sondern der Kunde aber egal) und komme mit Google und ähnlichem nicht ganz weiter. Folgendes Szenario: Firmenumgebung soll nur die Notebooks der Mitarbeiter ins hausinterne Netz lassen. Dafür ist vorgesehen: 1. Filtering an den Switches 2. Filtering an der Linux-Firewall (das können wir hier einfach im Raum stehen stehen lassen). So. Fragt mich nicht warum, aber es war meine Vorgabe dass der MAC-Filter lokal in die Switches eingetragen wird; ein Radius-Server ist anscheinend... ach keine Ahnung ob zu aufwendig oder wasweißich. Ich soll das Reglement eben in die Switchkonfig eintragen und damit muss ich leben. Der Abteilungsleiter will jedoch, falls ich mal gegen nen Baum fahre oder so, dass jeder der eine Tastatur bedienen kann diesen MAC-Filter erweitern bzw Einträge daraus löschen kann... (Können Schimpansen nicht auch Tastaturen bedienen...? *grübel*) Ich habe also drei Möglichkeiten: a) Ihr kennt ein Tool, meinetwegen auf Java-basis, das mit einem aktiven Account auf dem Switch neue MAC-ACL-Einträge erstellen, editieren oder löschen kann. b) Man versucht das in einer Klartext-Batch unterzubringen mit einem MAC-Abfrage-Feld - das bekomme ich aber komischerweise nicht hin, weil ich die Abfrage der Batch anscheinend nciht richtig konfigurieren kann. Zudem hab ich ein kleines Problem mit Klartext-PW's... c) Ich fahre nie wieder Auto ;-) Vielleicht könnt ihr mir da weiterhelfen... Grüße Wolf Zitieren
Wordo 11 Geschrieben 5. August 2008 Melden Geschrieben 5. August 2008 Sorry, aber ein Radiusserver haette ein Webinterface zum Hinzufuegen der MACs, du machst es dir nur unnoetig schwer oder bist einfach zu faul dich in Radius einzuarbeiten ;) Zitieren
Nightwolf81 10 Geschrieben 5. August 2008 Autor Melden Geschrieben 5. August 2008 Äh sorry, aber wer lesen kann is klar im Vorteil. So. Fragt mich nicht warum, aber es war meine Vorgabe dass der MAC-Filter lokal in die Switches eingetragen wird; ein Radius-Server ist anscheinend... ach keine Ahnung ob zu aufwendig oder wasweißich. Ich soll das Reglement eben in die Switchkonfig eintragen und damit muss ich leben. Wie ich schon sagte, ich hätte es mit einem Radiusserver gemacht - aber der Abteilungsleiter will das eben so - Kunde ist König... Wenn Dir also nix konstruktives zu diesem Fall dazu einfällt, dann lass doch bitte Postings in diesem Thread. Grüße, Wolf Zitieren
zahni 569 Geschrieben 5. August 2008 Melden Geschrieben 5. August 2008 Dann muss sich der Kund halt mit Telnet auseinandersetzen. Es gibt auch (z.B. Nortel) gute Windowstools, mit dem sich die Switche des jeweiligen Herstellers konfigurieren lassen. Trotzdem sollte man dem Kunden sagen, dass MAC-Filter nur DAU's aussperren. -Zahni Zitieren
Wordo 11 Geschrieben 5. August 2008 Melden Geschrieben 5. August 2008 So. Fragt mich nicht warum, aber es war meine Vorgabe dass der MAC-Filter lokal in die Switches eingetragen wird; ein Radius-Server ist anscheinend... ach keine Ahnung ob zu aufwendig oder wasweißich. Ich will dir ja nicht zu nahe treten, aber ich kann lesen ... Zitieren
Lian 2.531 Geschrieben 5. August 2008 Melden Geschrieben 5. August 2008 Cool down, Leute. Bitte bleibt beim Topic. Zitieren
Nightwolf81 10 Geschrieben 5. August 2008 Autor Melden Geschrieben 5. August 2008 Zahni, ich glaube das mit den DAU's aussperren weiß er, er hätte sonst nicht auf ein zweistufiges Konzept gesetzt. Der MAC-Filter dient ja eigentlich nur dazu, dass bei einer Veranstaltung nicht einfach mal jemand ein Cat5e in den Bodentank steckt und dann munter DHCP-Lease und Zugriff auf die Rechner im Subnetz bekommt (die Server sind sowieso geschützt). Der Cisco Network Assistant ist ihm ja leider schon wieder zu kompliziert... Es geht nicht darum dass ich oder ein vergleichbar Ausgebildeter das nicht einfach manuell via SSH-Konsole oder CNA einbinden könnten - er will quasi dass DAU's DAU's aussperren können... *seufz* Grüße, Wolf Zitieren
collapse 10 Geschrieben 5. August 2008 Melden Geschrieben 5. August 2008 cisco SDM ... soller jenes Probieren Zitieren
Nightwolf81 10 Geschrieben 5. August 2008 Autor Melden Geschrieben 5. August 2008 Oh, mir fällt gerade was ein: Ein Programm soll nix zusätzlich kosten... -.- Hatte ich noch nicht geschrieben, tut mir sorry... Mmmh, ich überlege gerade, konnte man das im Cisco-Webinterface einstellen? hab hier gerade nur die IOS-Version ohne html... Wenn dann musser wohl in den sauren Apfel beißen und Lizenzgebühren für ne andere IPBASE zahlen... Is je ein Bestandteil seiner hardware, davon werd ich Ihn wars***einlich eher überzeugen können... Was müssen die Leute auch immer so stur sein, wir meinens doch nur gut mit Ihnen... Gruß Wolf Zitieren
Otaku19 33 Geschrieben 5. August 2008 Melden Geschrieben 5. August 2008 wie sollte dieser MAC Filter lokal am Switch denn eigentlich aussehen ? Port security ? Und dann auf jedem Port alle möglichen Adressen binden ? Wenn am Switch selbst kein SDM drauf ist kannst auch den SDM vom PC aus nutzen. Zitieren
Nightwolf81 10 Geschrieben 6. August 2008 Autor Melden Geschrieben 6. August 2008 PS is richtig... Woher der Kunde auch immer seine Informationen hat... Hmmm.. Hab das Script fertiggebaut... Nix besonderes, Klartext-PW, muss er halt damit leben... You get what You want... Schade eigentlich... Was solls... THX auf jeden Fall für eure Antworten... Gruß Wolf Zitieren
Otaku19 33 Geschrieben 6. August 2008 Melden Geschrieben 6. August 2008 hm, und bei 10 Laptops dann je 10 Einträge auf JEDEM Accessport (+den jeweiligen port security Einträgen was denn passierne soll etc.) ? hm, dann soll der Kunde sich mal die möglichkeiten von 802.1x anschaun, alles andere ist Unsinn. Ich gehe mal davon aus das auf den Laptops 801.1x fähige Software läuft bzw installiert werden kann. Zitieren
Nightwolf81 10 Geschrieben 7. August 2008 Autor Melden Geschrieben 7. August 2008 Jau, Du hast es erfasst... Und ja, wir reden immer noch von einem normalen Switch... 3560 und 3750 um genau zu sein... Irgendwie tun mir die Dinger leid :D Grüße, Wolf Zitieren
Otaku19 33 Geschrieben 7. August 2008 Melden Geschrieben 7. August 2008 und dein script trägt jetzt einfach bei allen (in Frage kommenden) Interfaces MAC Adressen fix ein bzw entfernt sie wieder wenn ein Firmenrechner nich im Betrieb ist ? Um wie viele Adressen gehts denn da eigentlich ? Zitieren
Nightwolf81 10 Geschrieben 13. August 2008 Autor Melden Geschrieben 13. August 2008 Hab mich jetzt mit dem Firewall-Admin zusammengetan, der meint auch dass n Radius-Server zumindest als Plugin für den DC einfacher wäre... Inzwischen dreht sichs um gut 250 Adressen... Ich muß glaube ich nicht anmerken, dass die Switches beim Abarbeiten *geringfügig* langsamer werden *Sarkasmus*... Heute sprechen wir das mal beim Vorstand an. THX auf jeden Fall für die Hilfestellungen :-) Gruß Wolf Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.