Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco Switch 3750 Stack und DHCP über Radius

Frage Netzwerke LAN, WAN, Wireless

Mitglied: hambuergaer

hambuergaer (Level 1) - Jetzt verbinden

25.09.2008, aktualisiert 09.10.2008, 9438 Aufrufe, 9 Kommentare

Hallo zusammen,

ich sitze gerade in meiner Firma und konfiguriere unseren neuen Cisco Stack, bestehend aus 4x 3750 12-Port LWL und 3x 3750 24 Port Kupfer. Ich habe verschiedene VLANS eingerichtet und das Routing funktioniert. Unsere DHCP-Server verteilen auch fleißig Adressen für die neuen VLANS. Wie bekomme ich es nun hin, dass die DHCP-Adressen nur vergeben werden, wenn ein Rechner mit bestimmter Mac-Adresse im Radius-Server gepflegt wird? Ich möchte damit vermeiden, dass jeder eine Adresse bekommt, der sich bei uns mit seinem Rechner ins Netz hängt.

Viele Grüße
Mitglied: spacyfreak
25.09.2008 um 21:11 Uhr
Da gibz verschiedene Möglichkeiten.

Entweder port-security, da kannst pro Port erlaubte MACs am Switch selber eintragen, und nur die kommen ins Netz.

Oder 802.1X, das ist die gängige "richtige" Variante da sie besser skaliert und eben schwer zu umgehen ist.

Ich würds wohl über Active Directory Computerkonto/Benutzerkonto und IAS machen, das skaliert am besten und funktioniert ganz gut. Sicherheit auf MAC-Basis ist eh zu leicht zu umgehen als dass sich der Aufwand lohnen würde meines Erachtens.

Wenn du es jedoch per MAC und DHCP machen willst - dann verwende doch DHCP Reservierungen und trag im DHCP zu jeder IP die entsprechene MAC ein, so dass kein Rechner der sich ans Netz hängt und keine Reservierung hat eine IP bekommt. Dazu brauchst du auch keinen Radiusserver!
Doch die Sicherheit ist ein Witz - jeder der sich statisch ne IP setzt die grade frei ist kommt rein...
Bitte warten ..
Mitglied: hambuergaer
25.09.2008 um 21:47 Uhr
Ok, muss ich dafür 802.1x auf dem Stack aktivieren, wenn ich es, wie von Dir empfohlen, mit Active Directory Computerkonto/Benutzerkonto und IAS mache? Oder ist es vielleicht sogar sinnvoll, per Port-Security auf dem Switch direkt zu arbeiten? Oder gar beides zusammen?
Bitte warten ..
Mitglied: spacyfreak
25.09.2008 um 22:22 Uhr
Ja da musst dot1x auf dem Switch aktivieren, das sind ne Handvoll Befehle, kein Hexenwerk.
Bei der IAS Config musst geschickt sein- der soll auf Computerkonto UND auf Benutzerkonto prüfen sonst gehn keine Mashinepolicies beim Booten des Clients und mit Loginscripten gibz Probleme. Jaja, alles nit so einfach.
VLAN mässig musst guggen nicht mit Quarantäne VLAN zu arbeiten da es da (zumindest bei meinen Versuchen) Probleme gab - der "authetnisierte Client" bekommt sein "richtiges" VLAN zugewiesen, doch blöderweise sondert er kein DHCP Discover aus und bekommt ergo auch keine Ip, jedenfalls sollte man es möglichst flach und einfach halten, sonst rennt man nur clientproblemen hinterher, ein hoher preis für "mehr sicherheit".

Der DHCP wird in Zusammenhang mit dot1x ganz normal betrieben völlig unabhängig von der Radius- und switch config.
Sobald der User per 802.1X authentisiert ist, hat er Netzzugang, er s.c.h.e.i.s.s.t nen DHCP Discover Broadcast ins Netz und der DHCP (der ganricht wissen muss was dot1x ist) rückt mit ner IP raus.

Zusätzlich Portsecurity würd ich eventuell verwenden - doch in anderem Zusammenhang.
Beides zusammen geht wohl - doch wozu der Aufwand. Man sollte es auch nicht übertreiben, ausser man hat nen masochistischen Praktikanten zu hand.
Die Ports wo die User dranhängen, mit 802.1X absichern.
Die Ports wo Drucker, Scanner oder USB-Dildos hängen, mit port-security sichern.

Ferner kann man mit port-security die Anzahl von MACs,die ein Port lernen dürfen soll begrenzen, z.B. auf EINS.
Damit kann man verhindern dass Leute eigene Switches ans LAN hängen, was oft nicht gewünscht ist.

Ferner wäre Spanning Tree kein Fehler. Da muss ein Hampel-User nur im Eifer des Nichtwissens oder weil er zwei linke füsse hat zwei LAN Dosen im Büro mit Kupferkabel kurzschliessen - und dein ganzes Netz steht aufgrund des Broadcaststurms binnen weniger Sekunden. Da braucht man kein Hacker sein um dat hinzukriegen!
Den Fehler bzw. bösen Puben zu finden ist eine hohe Kunst, vor allem wenn man auf die Switches garnicht mehr draufkommt da die CPU auf 100% Auslastung läuft.
Daher lieber von vornherien verhindern. Oder Turnschuhe und Baldrian bereithalten.

Ach ja - DHCP Snooping würd ich auch mal googeln.
Und http abschalten oder mit access-liste absichern, sonst kann jeder User der weiss wie u. U. binnen 5 Minuten dein Switchpasswort ermitteln.

no ip http server
Bitte warten ..
Mitglied: aqui
26.09.2008 um 18:51 Uhr
Es gäbe aber noch eine einfachere Variante:

Mac Authentisierung am Port !
Auch das kann man mit Cisco problemlos machen und das ist erheblich einfacher zu implementieren und erfordert auch nicht zwingend einen .1x Client am Endgerät.

Du nimmst einfach alle Macs in die Datenbank des Radius Servers auf und authentisierst halt damit.
Je nach MAC Adresse kannst du dann auch ein VLAN dynnamisch zuordnen sofern du das willst.
Alle MAC Adressen die er nicht kennt wie z.B. Gäste oder Besucher landen dann in einem "Quarantäne VLAN" das du auf dem Switch NICHT routest (kein VLAN Interface konfigurieren !) und z.B. mit einer kleinen Firewall und einem Captive Portal wie diesem:

http://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...

ins Internet Segment bei dir bringst mit entsprechenden Restriktionen.
Deine bekannten MAC Adressen kannst du dann zusätzlich im DHCP Server noch fest auf IP Adressen binden wenn du zum Gürtel auch noch den (Security) Hosenträger benötigst...
Bitte warten ..
Mitglied: hambuergaer
29.09.2008 um 10:59 Uhr
Hallo aqui,

danke für die Antwort. Genau so habe ich mir das vorgestellt Kann ich die Authentifizierung gegen den Radius für jedes VLAN konfigurieren, oder geht das nur global? Und wie trage ich dann die Clients im Internetauthentifizierungsdienst ein? Direkt unter RADIUS-Clients? Ich kann hier allerdings leider den Client nur über die IP auflösen und keine Mac-Adresse angeben, die zum Client gecheckt werden soll.

Ich habe zukünftig in jeder Etage einen Cisco 2960 48 Port stehen, der per LWL mit vier Ports auf den Stack geht. Muss ich dann die Clientauthentifizierung für jede Etage auf dem Stack oder auf den 2960ern konfigurieren?

Viele Grüße
Bitte warten ..
Mitglied: aqui
29.09.2008 um 12:01 Uhr
Doch das geht auch ! Du trägst als Username und als Passwort dafür die MAC Adresse des Clients ein.

Man kann sogar dynmaisch ein VLAN zuordnen in das der Client dann automatisch plaziert wird.

Hier ist die Cisco Doku dazu was du auf dem Switch machen musst:

http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/rele ...

Was man genau im IAS machen musst musst du mal nachsehen im IAS Helpfile.
Auf einem Freeradius sieht es wenigstens so aus damit es anstandslos funktioniert:
(Printout der Datei USERS)
01.
02.
# MAC Authentifizierung 
03.
001234fc9933 Service-Type == Framed-User, User-Password == "001234fc9933" 
04.
     
05.
#In diesem Beispiel hat MAC Addresse “001234fc9934” Zugang ohne andere Optionen ! 
06.
07.
# MAC Auth. und dyn. VLAN Zuweisung in VLAN Nr. 10 
08.
09.
001234fc9935 Service-Type == Framed-User, User-Password == "001234fc9935" 
10.
    Tunnel-Type = 13, 
11.
    Tunnel-Medium-Type = 6, 
12.
    Tunnel-Private-Group-Id = 10      
13.
#
Beim IAS funktioniert das aber analog !
Bitte warten ..
Mitglied: hambuergaer
29.09.2008 um 12:14 Uhr
Ok, super! Danke für den Hinweis!!! Ich verstehe es richtig, dass ich "IEEE 802.1x Authentication with MAC Authentication Bypass" auf dem Stack konfiguriere für die Server, die direkt auf die Kupferports gehen und auf den 2960ern in den Etagen ebenfalls?

Muss ich bei dieser Methode auf den Clients irgend etwas beachten?
Bitte warten ..
Mitglied: aqui
30.09.2008 um 11:55 Uhr
Bei den Servern willst du ja sicher KEINE Port Authentifizierung, oder ???

Dort lässt du diese Konfig also besser weg und nimmst die Ports aus der Port Authentifizierung raus um dir da nicht Probleme einzufangen, denn so wird auch die Server MAC überprüft was ja eigentlich Unsinn ist, da Server ja immer statische Ports haben auf einem Switch !!!

Die Server beheimaten ja nur den Radius Server und andere Dienste im Netz. Der Radius ist derjenige der vom Switch gefragt wird ob eine User (Mac Adresse) auf den Switch darf oder nicht !!
Wenn der Radius dem Switch sagt: "Ja" wird diese MAC auf dem entspr. Switch in die CAM Tabelle übertragen und ist damit erreichbar.
Wenn nicht dann eben nicht und dann ist der PC am Port isoliert und kann nix machen....
Es sei denn du verfrachtest ihn per Konfig dann in ein sog. Quarantäne VLAN wo alle nicht authentisierten Clients im Netz landen.

Im Access Bereich musst du es aber natürlich auf allen Client Ports einschalten, denn die willst du ja schliesslich überwachen !!!
Bitte warten ..
Mitglied: hambuergaer
09.10.2008 um 13:25 Uhr
So, ich habe den Kram nun so am Laufen, wie ich es haben wollte! Ein hilfreicher Link ist dieser hier:

http://www.foundrynet.com/pdf/wp-deploying-mac-with-ias.pdf

Gruß
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Cisco Stack mit 3x 3750-x klappt nicht
gelöst Frage von Thomas2Router & Routing13 Kommentare

Hallo Community, ich versuche einen Cisco Stack mit 3x 3750-x Switchen aufzubauen. 2 davon haben 12 GBIC Ports und ...

Router & Routing
Cisco Catalyst 3750 Grundkonfiguration
Frage von Thomas2Router & Routing5 Kommentare

Hallo, ich habe 3 Cisco Catalyst 3750 Switche, die zu einem Stack zusammengefasst werden sollen. Ich habe jedoch schon ...

Switche und Hubs
Cisco C3750 aus Stack entfernen
Frage von griss2015Switche und Hubs5 Kommentare

Hallo, ich habe hier einen Standalone-Switch (Cisco Catalyst 3750), der wohl aus Konfigurationssicht Bestandteil eines Stacks ist. Aufgefallen ist ...

Netzwerkgrundlagen
Access-Switch per Stack oder LAG?
gelöst Frage von FelR0429Netzwerkgrundlagen15 Kommentare

Hallo Leute, aktuell wird ein Redesign unseres Netzwerks geplant. Es sind zwei Core-Switches, an denen die Server direkt angebunden ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 10 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 12 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...