Poison Nuke 10 Geschrieben 10. Juli 2010 Melden Teilen Geschrieben 10. Juli 2010 Hallo, der Switchport meldet dauernd, dass da diese MAC versucht auf das Netzwerk zuzugreifen, es ist aber keine MAC von dem Server selbst und eine Virtualisierung auf dem Windows 2003R2 Host ist nicht installiert. Und laut Admin ist auch nichts weiter installiert auf dem Server dass andere MAC adressen verwendet, ein umfangreicher Virusscan und ARP Scan wurde auch schon durchgeführt...dennoch kommt dauernd die Meldung, dass diese MAC da versucht auf das Netzwerk zuzugreifen, durch Port-security nat. geblockt wird. VendorID scheint wohl keine gültige zu sein, ist zwar auf Xerox registriert aber es ist ja kein Drucker angeschlossen oder installiert. habt ihr eine Idee woher das kommen kann oder wie man herausfinden könnte, was das verursacht? Zitieren Link zu diesem Kommentar
r2k 10 Geschrieben 10. Juli 2010 Melden Teilen Geschrieben 10. Juli 2010 Hi du, nur so als ****e Idee: Wenn du gemanagte Switches hast: blockiere einfach mal diese Mac (wenn einer reklamiert es geht was nicht mehr, dann weisst du was es sein könnte ;) ) Hast du im DHCP Lease einen Eintrag dazu? Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 10. Juli 2010 Autor Melden Teilen Geschrieben 10. Juli 2010 die Meldung hab ich ja weil die Switche nur registrierte MACs zulassen. Aber es hat noch keiner was beklagt das nix geht. Allerdings nervt es mich, dass im Minutentakt da ein Logeintrag zu dieser MAC kommt, ich würde jetzt ungern in meiner Loganlysesoftware eine Regel einbauen, dass diese Meldung ignoriert wird, sondern der Ursache lieber auf den Grund gehen. und es gibt kein DHCP und selbst wenn, da die MAC geblockt ist und die Switchports IP ACLs haben würde so oder so kein Eintrag dazu existieren. und normal ist es ja auch nicht, sonst hätte ich die Meldung bei zig anderen Switchports. Nur ich wüsste jetzt auch nicht wo ich überhaupt mit der Suche beginnen könnte ? Zitieren Link zu diesem Kommentar
r2k 10 Geschrieben 10. Juli 2010 Melden Teilen Geschrieben 10. Juli 2010 hmmm der Wortfilter hier ist aber streng ;) ok komisch. welcher switch reklamiert? der Core oder ein Unterswitch? an sonsten den Fehlern nachgehen bis zum letzen Switchport und dort das Gerät suchen :( Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 10. Juli 2010 Melden Teilen Geschrieben 10. Juli 2010 Hallo, hast du zufällig in der letzten Zeit ein Xerox Docucenter in Betrieb genommen ? Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 10. Juli 2010 Autor Melden Teilen Geschrieben 10. Juli 2010 IP und MAC zugangskontrolle ist immer am Access-Switch ;) bzw sollte, der Distri-Core hat ganz andere aufgaben und wäre dort viel zu aufwändig und wenig effektiv der Server wurde ja wie oben geschrieben, schon auf Virenbefall kontrolliert. Es wurde auch schonmal zeitweise ein ARP dump laufen lassen, um eventuell von Seiten des Servers die MAC zu finden, aber da wurde nix gefunden. edit: @ xpfan ich frag den Admin mal. Aber er meinte er hätte da schon lange nix mehr geändert und ist ja ein Server ohne Drucker in der Nähe. Selbst im Netzwerk ist keiner, man müsste also über Internet einen Drucker installieren. Na mal schauen, vllt ist ja was in der Richtung zu finden Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 12. Juli 2010 Autor Melden Teilen Geschrieben 12. Juli 2010 nein, Xerox ist nicht installiert und auch nicht lokal vorhanden, sodass es über RDP hätte vllt irgendwie installiert werden können. und wie es scheint, ist dies nicht der einzige. exakt die gleiche MAC sieht man auch bei einigen anderen Switchports, nur sehr viel seltener, weshalb das bisher nicht aufgefallen ist. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.