Zum Inhalt springen

Bei einem Cisco Switch den Port sperren, wenn....


Empfohlene Beiträge

Geschrieben

Ich habe da mal ein Problem bzw Idee:

Ich möchte gerne das der Port an einem Cisco Switch gesperrt wird wenn er eine neue MAC-Adresse erkennt.

z.B. In einem Pool-Raum hat jeder Rechner ne feste IP. Wenn jetzt jemand mit seinem Laptop kommt und einfach das Netzwerkkabel von einem Host an seinen Laptop steckt und sich die IP des Rechners gibt solll der Cisco Switch den Port sperren/deaktivieren.

Der Cisco Switch sollte ja erkennen,bevor der Eindringling seine IP geändert hat, das da eine neu(unbekannte) MAC-Adresse ist. Wenn er das macht soll er den Port sperren/deaktivieren. Wenn der Eindringling das Netzwerkkabel zurück steckt soll der Port immer noch deaktiviert sein.

Ist sowas in einer ACL zukonfigurieren oder mit was anderem?

Habt ihr meine Idee verstanden? Fragt mich ruhig noch aus bei Misverständnissen.

MfG stecher(FISI Azubi)

Geschrieben

Hallo,

theoretisch wuerde das auch mit Layer 2 ACLs gehen, allerdings benutzt man auf Cisco Devices normalerweise "Port Security" (wie genau haengt natuerlich auch vom Modell des Switches ab) dafuer. Die Kurzversion (normalerweise):

"switchport port-security mac-address MAC-ADDRESS"

Die lange Version gibts hier.

Der Port ist dann nur fuer die angegebene MAC Adresse aktiviert.

Ich verstehe allerdings nicht warum der Port weiter deaktiviert sein soll, wenn er wieder in der "richtigen" NIC steckt.

Geschrieben

Hallo,

Der Port ist dann nur fuer die angegebene MAC Adresse aktiviert.

Ich verstehe allerdings nicht warum der Port weiter deaktiviert sein soll, wenn er wieder in der "richtigen" NIC steckt.

Ganz einfach, um zu vermeiden dass ein Angreifer im Nachhinein noch die MAC-Adresse ändert.

Das Verhalten sollte sich über

set port security mod_num/port_num violation {shutdown | restrict}

Konfigurieren lassen.

Nic

Geschrieben

Der Port ist dann nur fuer die angegebene MAC Adresse aktiviert.

Ich verstehe allerdings nicht warum der Port weiter deaktiviert sein soll, wenn er wieder in der "richtigen" NIC steckt.

1. Damit er die mac net ändern kann und dann trotzdem weiter im netz ist

2. Damit der jenige zu mir ins Büro kommen muss und sagen muss mein Netzwerk geht net, dann frag ich ihn warum bzw erkenne an den logs das er unerlaubt das Kabel gezogen hat und es einfach beii sich reingesteckt hat und dann bekommt er heiße ohren. bzw andere konsequensen.

ich hoffe es funktioniert thx euch beidenn.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...