7
HPE 1920-48G Switch JG927A Link Layer ACL wirkt nicht
Hallo,
ich habe bei dem o.g. Switch eine Link Layer ACL erstellt, um unerwünschte MACs zu sperren.
Der PC mit der gesperrten MAC der an dem o.g. Switch angeschlossen ist kann jedoch weiterin ohne Einschrankungen auf Geräte bzw. Server innerhalb des LAN zugreifen.
Was hab ich falsch gemacht, bzw habe ich etwas vergessen?
ich habe bei dem o.g. Switch eine Link Layer ACL erstellt, um unerwünschte MACs zu sperren.
Der PC mit der gesperrten MAC der an dem o.g. Switch angeschlossen ist kann jedoch weiterin ohne Einschrankungen auf Geräte bzw. Server innerhalb des LAN zugreifen.
Was hab ich falsch gemacht, bzw habe ich etwas vergessen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 383702
Url: https://administrator.de/contentid/383702
Printed on: April 18, 2024 at 20:04 o'clock
7 Comments
Latest comment
Moin,
eine ACL erstellen ist das Eine, die ACL zur Aktivierung auf die Interfaces legen das Andere.
Das Andere hast du auch gemacht?
eine ACL erstellen ist das Eine, die ACL zur Aktivierung auf die Interfaces legen das Andere.
Das Andere hast du auch gemacht?
Richtig !
Die Kardinalsfrage ist ob du dem Switch Port an dem dieser Rechner angeschlossen ist diese ACL zugewiesen hast ?
Nebenbei ist statisch auf Mac Adressen zu filtern eigentlich Blödsinn, denn jedermann weiss das Mac Adressen frei konfigurierbar sind. Ändert der User auch nur 1 Bit der Adresse kann er wieder frei ins Netz.
Sicher ist sowas nicht.
Auch vom Aufwand her. OK, wenns nur eine einzige Adresse ist oder 3 ist das tolerabel. Aber die statische Zuordnung ist Unsinn, denn steckt man den Rechner auf einen anderen Port greift die ACL nicht mehr es sei denn du kopierst sie auf alle Ports eines Switches was wieder die Gefahrt eines Fehlers birgt.
Sowas ist nie und nimmer skalierbar und nicht managebar.
Wenn, dann macht man sowas mit 802.1x Port Authentisierung über einen zentralen Radius Server (NPS oder Raspberry mit FreeRadius etc.) Dort wird dann dynamisch auf Mac oder Usernamen authentisiert.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Die Kardinalsfrage ist ob du dem Switch Port an dem dieser Rechner angeschlossen ist diese ACL zugewiesen hast ?
Nebenbei ist statisch auf Mac Adressen zu filtern eigentlich Blödsinn, denn jedermann weiss das Mac Adressen frei konfigurierbar sind. Ändert der User auch nur 1 Bit der Adresse kann er wieder frei ins Netz.
Sicher ist sowas nicht.
Auch vom Aufwand her. OK, wenns nur eine einzige Adresse ist oder 3 ist das tolerabel. Aber die statische Zuordnung ist Unsinn, denn steckt man den Rechner auf einen anderen Port greift die ACL nicht mehr es sei denn du kopierst sie auf alle Ports eines Switches was wieder die Gefahrt eines Fehlers birgt.
Sowas ist nie und nimmer skalierbar und nicht managebar.
Wenn, dann macht man sowas mit 802.1x Port Authentisierung über einen zentralen Radius Server (NPS oder Raspberry mit FreeRadius etc.) Dort wird dann dynamisch auf Mac oder Usernamen authentisiert.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
1
Damit ist alles gesagt. MAC-basiert sperren war schon vor 20 Jahren Quark.
VG certifiedit.net
VG certifiedit.net
Zitat von @falscher-sperrstatus:
Damit ist alles gesagt. MAC-basiert sperren war schon vor 20 Jahren Quark.
VG certifiedit.net
Damit ist alles gesagt. MAC-basiert sperren war schon vor 20 Jahren Quark.
VG certifiedit.net
Da hast du Recht. Einzig für das autoprovisioning von Telefonen kann man die MAC noch nutzen.
Wobei aktuelle Telefone auch hier LLDP können sollten.
Zitat von @Spirit-of-Eli:
Da hast du Recht. Einzig für das autoprovisioning von Telefonen kann man die MAC noch nutzen.
Wobei aktuelle Telefone auch hier LLDP können sollten.
Zitat von @falscher-sperrstatus:
Damit ist alles gesagt. MAC-basiert sperren war schon vor 20 Jahren Quark.
VG certifiedit.net
Damit ist alles gesagt. MAC-basiert sperren war schon vor 20 Jahren Quark.
VG certifiedit.net
Da hast du Recht. Einzig für das autoprovisioning von Telefonen kann man die MAC noch nutzen.
Wobei aktuelle Telefone auch hier LLDP können sollten.
Das ist aber auch ein anderes Thema
OK, Freitagmittag + die Hitze...
Ich habe jetzt dem entsprechenden Port die ACL folgendermassen zugewiesen:
Jetzt wird der am Port 27 angeschlossene PC komplett ausgesperrt.
Danke für die Tips und Hinweise.
Danke für die Tips und Hinweise.
Gewusst wie ! Und sogar bei den billigen HP Gruselswitches funktioniert es....!
Bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Und sogar bei den billigen HP Gruselswitches funktioniert es....!Bitte dann auch
How can I mark a post as solved?
nicht vergessen !
