5
SNMP: Port laut Mac-Adresse sperren bei 2 verbundenen Switchen
Hallo zusammen,
ich habe folgende Problemstellung.
Ich möchte auf einem unserer HP Procurve-Switche anhand einer Mac-Adresse den entsprechenden Port per SNMP sperren. Das ich soweit auch kein Problem mit den OID´s 1.3.6.1.2.1.17.4.3.1.1 und 1.3.6.1.2.1.17.4.3.1.2
Mein Problem ist folgendes:
Wir haben in unserem Netzwerk unter anderem 2 Procurve-Switche, welche direkt miteinander verbunden sind. Die IP-Adressen lauten 5.68.43.12 und 5.68.43.13. Haben wir nun einen Client mit der IP-Adresse 5.68.43.77 ist dieser logischerweise mit dem Port einer dieser beiden Switche verbunden. Man kann aber nicht direkt sagen mit welchem.
Ich gehe nun wie folgt vor. Ich suche anhand der Mac-Adresse mit den beiden oben genannten OID´s erst auf dem Switch mit der IP 5.68.43.12 nach dem entsprechenden Port und finden diesen auch. Suche ich anschließend auf dem Switch mit der IP 5.68.43.13 ebenfalls mit den OID´s den entsprechenden Port, bekomme ich auch einen Port ausgespuckt.
Auf dem ersten Switch ist es beispielsweise Port 77 und auf zweiten Switch Port 5. Nun weiß ich natürlich nicht, welchen ich sperren soll. Ich habe bereits herausgefunden, dass der 1.Switch am Port 5 des zweiten Switches hängt. Daher bekommt er an diesen Port wohl auch die Mac-Adresse des Client, der eigentlich physikalisch am Port 77 des 1 Switches hängt.
Kann mir hier jemand helfen, dass ich bei Abfrage beider Switche nur den "richtigen" Port als Ausgabe bekomme? Evtl. gibt es noch andere OID´s mit denen ich zum richtigen Ergebnis komme.
Vielleicht sollte ich noch erwähnen, dass die Portsperrung komplett automatisiert per Skript erfolgt.
Ich hoffe ich habe mein Anliegen relativ verständlich beschrieben
Viele Grüße
Andi
ich habe folgende Problemstellung.
Ich möchte auf einem unserer HP Procurve-Switche anhand einer Mac-Adresse den entsprechenden Port per SNMP sperren. Das ich soweit auch kein Problem mit den OID´s 1.3.6.1.2.1.17.4.3.1.1 und 1.3.6.1.2.1.17.4.3.1.2
Mein Problem ist folgendes:
Wir haben in unserem Netzwerk unter anderem 2 Procurve-Switche, welche direkt miteinander verbunden sind. Die IP-Adressen lauten 5.68.43.12 und 5.68.43.13. Haben wir nun einen Client mit der IP-Adresse 5.68.43.77 ist dieser logischerweise mit dem Port einer dieser beiden Switche verbunden. Man kann aber nicht direkt sagen mit welchem.
Ich gehe nun wie folgt vor. Ich suche anhand der Mac-Adresse mit den beiden oben genannten OID´s erst auf dem Switch mit der IP 5.68.43.12 nach dem entsprechenden Port und finden diesen auch. Suche ich anschließend auf dem Switch mit der IP 5.68.43.13 ebenfalls mit den OID´s den entsprechenden Port, bekomme ich auch einen Port ausgespuckt.
Auf dem ersten Switch ist es beispielsweise Port 77 und auf zweiten Switch Port 5. Nun weiß ich natürlich nicht, welchen ich sperren soll. Ich habe bereits herausgefunden, dass der 1.Switch am Port 5 des zweiten Switches hängt. Daher bekommt er an diesen Port wohl auch die Mac-Adresse des Client, der eigentlich physikalisch am Port 77 des 1 Switches hängt.
Kann mir hier jemand helfen, dass ich bei Abfrage beider Switche nur den "richtigen" Port als Ausgabe bekomme? Evtl. gibt es noch andere OID´s mit denen ich zum richtigen Ergebnis komme.
Vielleicht sollte ich noch erwähnen, dass die Portsperrung komplett automatisiert per Skript erfolgt.
Ich hoffe ich habe mein Anliegen relativ verständlich beschrieben
Viele Grüße
Andi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 216900
Url: https://administrator.de/contentid/216900
Printed on: April 19, 2024 at 22:04 o'clock
5 Comments
Latest comment
Die MAC Adressen müssen auf beiden Switchen vorkommen. Auf einem einmal und auf dem anderen zweimal. Du musst nur alle Abfragen an die uplinks ignorieren oder unterdrücken. Dann triffst du den richtigen Port zum fallweisen Abschalten. Uplinks werden auch häufig über die LLDP Funktion identifiziert.
GRuß
Netman
GRuß
Netman
Müsste man ja auch so schon auf den ersten Blick sehen können, denn bei einen Switch kann die Mac ja nur auf dem Uplink zum anderen Switch sein !
Da man die Uplink Ports ja kennt ist es dann in Sekunden klar wo der Endgeräte Port ist...?!
Da hätte es eigentlich nicht eines solchen Forum Threads bedurft...nur etwas Nachdenken ?!
Da man die Uplink Ports ja kennt ist es dann in Sekunden klar wo der Endgeräte Port ist...?!
Da hätte es eigentlich nicht eines solchen Forum Threads bedurft...nur etwas Nachdenken ?!
Hallo,
ich will mich jetzt nicht zu weit aus dem Fenster lehnen, aber dafür beschriften viele Admins ihre Netzwerkkabel
die an den Verschiedenen Endgeräte Ports hängen, damit man dann eben im Fall der Fälle das ganze schnell auffindet und lokalisiert!
Mit DHCP
Und zusätzlich noch etwas, falls Deine Switche Port Security Einstellungen bieten, könnte man am Endgeräte Port auch noch
eine MAC Adresse hinterlegen und nur diese kann dann mit diesem Port kommunizieren, also ließe sich dann auch schnell
nur ein bestimmtes Gerät an einem bestimmten Port recht schnell aus dem Netz nehmen.
Ohne DHCP
Kann man auch noch wenn es denn wirklich feste (statische) IP Adressen sind die IP Adresse an der Firewall sofern eine
vorhanden ist sperren lassen, und wenn diese fest vergeben wird könnte man dann auch noch mittels MAC > IP Adresse Bindungen
(IP Bindings) + MAC Port Security Einstellungen am Switch die ganze Sache wasserdicht anlegen und durchziehen.
Wenn die Firewall auch noch Scripte unterstützt ist das auch schnell erledigt.
Ist nicht die Art und Weise nach der Du gefragt hast und ist auch vorab immer mit etwas Arbeit verbunden, aber funktioniert dann
eben auch zuverlässig.
Gruß
Dobby
ich will mich jetzt nicht zu weit aus dem Fenster lehnen, aber dafür beschriften viele Admins ihre Netzwerkkabel
die an den Verschiedenen Endgeräte Ports hängen, damit man dann eben im Fall der Fälle das ganze schnell auffindet und lokalisiert!
Mit DHCP
Und zusätzlich noch etwas, falls Deine Switche Port Security Einstellungen bieten, könnte man am Endgeräte Port auch noch
eine MAC Adresse hinterlegen und nur diese kann dann mit diesem Port kommunizieren, also ließe sich dann auch schnell
nur ein bestimmtes Gerät an einem bestimmten Port recht schnell aus dem Netz nehmen.
Ohne DHCP
Kann man auch noch wenn es denn wirklich feste (statische) IP Adressen sind die IP Adresse an der Firewall sofern eine
vorhanden ist sperren lassen, und wenn diese fest vergeben wird könnte man dann auch noch mittels MAC > IP Adresse Bindungen
(IP Bindings) + MAC Port Security Einstellungen am Switch die ganze Sache wasserdicht anlegen und durchziehen.
Wenn die Firewall auch noch Scripte unterstützt ist das auch schnell erledigt.
Ist nicht die Art und Weise nach der Du gefragt hast und ist auch vorab immer mit etwas Arbeit verbunden, aber funktioniert dann
eben auch zuverlässig.
Gruß
Dobby
@d.o.b.b.y
Beschriftungen gehen maximal zu gepatchten Wanddosen, nicht zum angeschlossenen Endgerät. Auch Updates und Erneuerungen sind damit nicht zu erfassen.
Aber die Beschriftung ist schon ein guter Anfang für eine Dokumentation.
GRuß
Netman
Beschriftungen gehen maximal zu gepatchten Wanddosen, nicht zum angeschlossenen Endgerät. Auch Updates und Erneuerungen sind damit nicht zu erfassen.
Aber die Beschriftung ist schon ein guter Anfang für eine Dokumentation.
GRuß
Netman
Hallo MrNetman,
dann fragt was oben auf dem Aufkleber steht, der an dem Gerät angebracht wurde (PC, Workstation oder dem Endgerät)
kann man das sehr schnell herausfinden, wenn man es denn Pflegt!
IP 192.168.1.50/24 (Mac: ff:ff:......) Inverntarnummer, steht dann in Deiner Liste ist an
Netzwerkdose 1.5.25.6 (Stockwerk, Raum oder Büro, Abteilung, Dosennummer)
und diese kommt dann am Patchpanel an Port xyz wieder heraus, und ist dann eben
in Switch xyz und an seinen Port 22 gepatcht! Fertig!
Ist aber sicherlich nicht überall so, da gebe ich Dir natürlich recht.
Gruß
Dobby
Beschriftungen gehen maximal zu gepatchten Wanddosen, nicht zum angeschlossenen Endgerät.
Also ich denke wenn jemand ein Problem hat kann dieser bei der IT bzw. EDV Abteilung anrufen und wenn man diesendann fragt was oben auf dem Aufkleber steht, der an dem Gerät angebracht wurde (PC, Workstation oder dem Endgerät)
kann man das sehr schnell herausfinden, wenn man es denn Pflegt!
IP 192.168.1.50/24 (Mac: ff:ff:......) Inverntarnummer, steht dann in Deiner Liste ist an
Netzwerkdose 1.5.25.6 (Stockwerk, Raum oder Büro, Abteilung, Dosennummer)
und diese kommt dann am Patchpanel an Port xyz wieder heraus, und ist dann eben
in Switch xyz und an seinen Port 22 gepatcht! Fertig!
Ist aber sicherlich nicht überall so, da gebe ich Dir natürlich recht.
Gruß
Dobby
