DHCP & fremde Laptops

[carlito 10]

IMO wäre eine Clientseiteige Lösung das bestmögliche: Der Client bekommt irgendein Attribut, das dem DHCP sagt: Gib ihm eine IP aus der Range für unser Netzwerk. Da der Laptop dieses Attribut nicht besitzt kommt er in die andere Range.

 

Womit wir wieder beim Thema ClassID wären. Sagtest du nicht am Anfang des Threads, das das nicht in Frage kommt?

[SirSydom 10]

edit: 2te Seite nicht gesehen

[bronto665 10]

Hi!

 

Ja, Class ID wäre ne schöne Sache. Nur geht die anscheinend nur innerhalb eines Adressbereiches einzustellen. Man kann also AFAIK nicht sagen Wenn Calss ID XY dann in Netz YZ stellen. Leider :(

 

Da bei uns des öfteren neue PCs aufgebaut werden und alte abgebaut wäre es ein unheimlicher aufwand, alle MACs immer einzupflegen.

 

Wie gesagt: Da man nie weiß, wo sich die Laptops anschließen, gilt es eine extrem dynamische Lösung zu finden. VLAN ist, meines Wissens nach dafür ungeeignet, da nur statisch festgelegte Ports zu diesem VLAN gehören können.

Auch können wir das VLAN nicht auf bestimmte Ports legen, da ab und an mal eine Laptop und mal ein PC angeschlossen wird. :rolleyes:

 

 

Gruß

Bronto

[carlito 10]

Ja, Class ID wäre ne schöne Sache. Nur geht die anscheinend nur innerhalb eines Adressbereiches einzustellen. Man kann also AFAIK nicht sagen Wenn Calss ID XY dann in Netz YZ stellen. Leider :(

 

Aber du kannst Systemen mit anderer ClassID andere DHCP-Optionen zuweisen, z.B. Default GW auf 0/32. Somit könnten diese Rechner nicht mehr ins Internet etc - wenn das beabsichtigt ist.

[Gulp 265]

Hi!

 

Ja, Class ID wäre ne schöne Sache. Nur geht die anscheinend nur innerhalb eines Adressbereiches einzustellen. Man kann also AFAIK nicht sagen Wenn Calss ID XY dann in Netz YZ stellen. Leider :(

 

Da bei uns des öfteren neue PCs aufgebaut werden und alte abgebaut wäre es ein unheimlicher aufwand, alle MACs immer einzupflegen.

 

Wie gesagt: Da man nie weiß, wo sich die Laptops anschließen, gilt es eine extrem dynamische Lösung zu finden. VLAN ist, meines Wissens nach dafür ungeeignet, da nur statisch festgelegte Ports zu diesem VLAN gehören können.

Auch können wir das VLAN nicht auf bestimmte Ports legen, da ab und an mal eine Laptop und mal ein PC angeschlossen wird. :rolleyes:

 

 

Gruß

Bronto

 

 

Dann sehe ich für Dein Vorhaben schwarz. Es gibt auch Switche, die mehrere VLAN's auf einem Port zulassen (3com macht sowas bei den teureren Modellen), allerdings würde das nur bedingt helfen.

 

Also den Aufwand würde ich auch beim häufigeren Auf- und Abbau von neuen/alten PC's als gering betrachten. Die alten MAC's lassen sich später deaktivieren (sind ja auch in der Regel eindeutig, die MAC's) und es kommen selten 500 MAC's auf einem Schlag ins Netz.

 

Ich habe portbasierte MAC Identifizierung schon in Firmen mit +2000 PC's gesehen (da kommen auch pro Monat 50 und mehr PC's neu dazu) und das geht immer einher mit einigen wenigen Universal-Freigaben für bestimmte Laptop MAC's (System-/Serverwartung, da muss man schon mal an mehreren Switch-Ports ran) und mit speziell freigegebenen Dosen/Ports für Fremdfirmen/externen Mitarbeitern. Da gehören auch schriftliche Erklärungen zu Geheimhaltungsvereinbarungen oder Zustimmung zur Überwachung der Netzwerktätigkeiten und ähnliches dazu.

 

Ohne gewisse Spielregeln und Disziplin geht halt eben das beste Sicherheistsystem den Bach runter oder läuft nicht (jedenfalls nicht wirklich sicher).

 

Du wirst es ohne eine Datenpflege (zB: MAC Adressen) ohnehin nicht schaffen Dein Vorhaben in die Tat umzusetzen. Eine dynamische Lösung wird es für Deinen Fall nicht geben, wie soll es auch ohne Identifizierung funktionieren und wie soll es ohne Daten zur Identifikation kommen können?

 

Grüsse

 

Gulp