VLAN Management - was für eine Augabe

[moonjumper 10]

Hallo!

 

Meine Chefin hat mich gebeten mal zu schauen wie man am besten das Netzwerk vor Fremdrechnern schützt. Eigentlich klingt es ganz einfach. Alle Domainrechner sollen in das normale VLAN rein und alle domainfremden Rechner sollen in ein Gast-VLAN und Telefone natürlich in das Voice-VLAN. Daten und Voice VLAN sind ja kein Problem, weil das die Cisco Switche von allein machen bei der entsprechenden Konfiguration. Nur das mit dem Gast-VLAN ist ein echtes Problem.

Ok port security haben wir ja gelernt beim CCNA aber da war es ja nur möglich anhand einer ACL festzulegen welche Mac Adressen zugelassen werden und sonst wird eben der Port abgeschaltet.

Gibt es die Möglichkeit mit Port Security dem angeschlossenen Rechner eine bestimmtes Vlan zuzuweisen? (ich kenne keine).

 

Eine Lösung wäre ein VMPS Server , der in unserer Cisco Umgebung funktionieren würde. Aber eben nur würde, da weltweit eben doch nicht überall Cisco Switche und Router im Einsatz sind und zusätzlich auch nicht alle Cisco Geräte das VLAN Query Protocol (VQP) unterstützen. Das nächste größere Problem ist auch noch, dass alle MAC Adressen eigepflegt werden müssen und ich will keine 6000 MAC Adressen irgendwo pflegen müssen.

 

Die andere Lösung heisst 802.1x, aber dann braucht man auch noch einen CA Server (Certificate Authority) um dann mit digitalen Zertifikaten zu arbeiten und natürich Komponenten, die dann auch 802.1x unterstützen. Dann ist es eine weitere Überlegung wert, sich auch über die Verwaltung der Zertifikate gedanken zu machen, Maschinenzertifikate oder Zertifikate auf SecureUSBTokens... ist halt schon ein komplexes Thema.

 

Gibt es eine andere Möglichkeit sowas zu realisieren? Hab für jede Idee ein offenes Ohr.

[Otaku19 33]

ja, die ports manuell in das VLAn reinfrimmeln wo sie reingehören. Die eigenen Rechner werden ja nicht ständig irgendwo anders angeschlossen werden ?

Dumm wirds halt nur bei WLAN, da kommt man dann um 802.1x nicht herum, bei LAN eben noch VMPS.

 

Portsecurity hat mit ACLs genau nix zu tun

[moonjumper 10]

port security hat nichts mit ACL zu tun? was haben wir denn dann in unserem CCNA Kurs gemacht? ist ja aber Egal..

Bei WLAN wäre es kein Problem, da man hier ja zumindest bei Cisco ein Guest Vlan ansprechen kann mit einer Guest SSID.

 

Jeden Port einzeln anpassen wollten wir nicht, da es durchaus sein kann, dass ein vorhandenes Netzwerkkabel genutzt wird.

[Otaku19 33]

tja dann, viel spass beim aufsetzen von 802.1x :)

 

weiß ich nicht was ihr gemacht habt, du hast da wohl nicht aufgepasst ;) mit portsecurity legt man fest wie viele MAC Adresse pro Interface daherkommen dürfen oder das nur ein paar bestimmte MAC Adressen übertragen dürfen, ob die gelernten MAC Adressen ind die run aufgenommen werden sollen und was schlussendlich passieren soll wenn die limits überschritten worden sind. Wüsste nicht wo man hier eien ACL benötigt

[sebastian.f 10]

VMPS haben wir hier auch im Einsatz, allerdings schreibst du das du 6000 MAC Adressen hast und einpflegen müsstest und das weltweit. Für so eine Konstellation ist VMPS nicht empfehlenswert da es erstens nur im Layer 2 Bereich funktioniert, d.h sobald ein Router irgendwo dazwischen ist Ende Gelände und zweitens der Verwaltungsaufwand bei so vielen Adressen ins unmögliche steigt.

In dem Fall bleibt wohl nix ausser 802.1x :)

[moonjumper 10]

OK ACL ist der falsche Begriff ich geb dir Recht. Aber wir meinen beide das gleiche :)

 

ich will aber kein 802.1x aufsetzen :mad:

 

Jetzt hat ein Kollege noch gemeint, dass man ja vielleicht mit einem Radius Server im Hintergrund was drehen könnte.

Ist da was bekannt, dass bei nicht erfolgreicher Authentifizierung ein anderes VLAN genutzt wird?

[Otaku19 33]

In neuen 802.1x implementationen gibt ein ein guest und und ein restricted vlan. guest kommt bei keiner 802.1x auth, restricted bei x falschen 802.1x versuchen.

 

Euch wird nichts nichts anderes übrig bleiben als das so zu machen