Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

MAC-Port binding (für Vollzugang) und Port 80 für externe Benutzer

Frage Hardware Switche und Hubs

Mitglied: Hufschmied

Hufschmied (Level 1) - Jetzt verbinden

25.03.2010, aktualisiert 18.10.2012, 3725 Aufrufe, 3 Kommentare, 1 Danke

Hallo Leute,
ich suche für folgendes Szenarium Tipps und Ratschläge bezüglich der Umsetzung:

Hardware:
Cisco Router 800 Serie
ZyXEL Zywall USG 300
2x Dell Power Connect 6248P
In einem Konferenzraum sollen 4 Netzwerkanschlüsse so konfiguriert werden, dass 10 Notebooks über kompletten Zugang verfügen (inkl. Domäne) sollen. Alle anderen Notebooks usw., die sich an den 4 Netzwerkanschlüssen zeitweise dran hängen, sollen nur Internetzugang bekommen (Port 80).
Der Konferenzraum steht auch für externe Mitarbeiter bereit, die halt nur Internet bekommen sollen.

Wie kann ich das am effektivsten umsetzen?

Ich dachte mir, dass es mit einem VLAN und ein MAC-Port binding möglich sein müsste die Notebooks über den Switch 6248P vollen Zugang gewähren zu lassen. Aber ich weiß momentan nicht, wie ich nur den Port 80 für alle anderen Notebooks realisiert bekomme, die ebenfalls an den 4 Netzwerkanschlüssen zeitweise Zugang erhalten sollen.
Ich bin dankbar für jeden Tipp…
Vorab vielen Dank.

LG
Mitglied: aqui
25.03.2010, aktualisiert 18.10.2012
Das ist in der Tat nicht ganz trivial, denn du musst auch die Ports für die Kollegen entsprechend trennen.
Eine preiswerte Möglichkeit ist das mit VLANs und einer Firewall und Mac bzw. Portfilter zu lösen:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
bzw.
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Damit liesse sich das mit einem kleinen Budget relativ schnell und einfach umsetzen. Allerdings musst du die Ports oder wenn du statt VLANs 2 unterschiedliche Switches benutzt entsprechend beschriften, denn die eine Gruppe wird aufgrund der Mac Filter keinen Zugang in den anderen Ports bekommen und entsprechen umgedreht.
Weiterhin besteht die Gefahr das Besucher ihre MAC Adresse ändern können (sofern deren Kenntnisse dafür ausreichen) und auch so über den kompletten Zugang verfügen können wenn nicht noch zusätzliche Sicherungen bestehen.

Für eine wasserdichte Lösung benötigst du einen 802.1x fähigen Switch, der eine Port Authentifizierung macht je nach User und dann eine dynamische Accessliste auf den Port legt.
Das können heute auch schon billige Taiwan Switches die die .1x Fähigkeit besitzen. Damit liesse sich dann eine sicher Authentifizierung und zuweisung erreichen die nicht umgehen werden kann sofern die Mitarbeiten den Besuchern nicht die Passwörter verraten.
Aber auch das könnte man mit Zertifikaten auf den Mitarbeiter Rechnern dann auch noch absolut sicher machen...na ja sofern ein Mitarbeiter keinen besucher an seinen PC lässt
Das sind die beiden realistischen Optionen die du hast...such dir die schönste aus !
Bitte warten ..
Mitglied: Hufschmied
26.03.2010 um 09:25 Uhr
Erst mal recht herzlichen Dank für deine Hilfe!
Die zwei Switche laufen im stack-modus.

Die Sache mit dem Gastzugang werde ich mir anschauen.
Ich muss leider zugeben mit VLANs noch keinerlei Erfahrungen gemacht zu haben – hatte mich gestern in die Materie etwas eingelesen.
Das wäre auch das erste VLAN in unserer Netzwerkumgebung (bin erst seit 3 Wochen in der Firma).
Nun habe ich bedenken, dass im VLAN die Domäne, die wir hier verwenden, nicht verfügbar ist. Oder ist das Quatsch?
Denn die 10 Notebooks im VLAN müssen auch Zugang zur Domäne haben. Alle anderen Notebooks die sich an den Netzwerkanschlüssen dranhängen, soll aber nur Port 80 erhalten.
Bitte warten ..
Mitglied: aqui
26.03.2010, aktualisiert 18.10.2012
Das ist Quatsch, denn VLANs haben mit Domänen nix zu tun. Sie sind lediglich eine virtuelle Trennung in separate physische Netze auf einer Hardware. Also sowas wie VmWare für den Switch wenn du so willst.
Hier gibts nähere Infos:
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
http://www.administrator.de/wissen/vlan-routing-%c3%bcber-802.1q-trunk- ...
bzw. das Tutorial von oben !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Debian
gelöst SSH über Webinterface Port 80 u. 443 (17)

Frage von Moddry zum Thema Debian ...

DSL, VDSL
Telekom blockiert immer noch den Port 7547 in ihrem Netz (9)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

LAN, WAN, Wireless
gelöst 1 Port in mehreren VLANs? (7)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

Firewall
Sophos Utm 9 Port 3000 für ProfiCash freigeben (4)

Frage von Floh21 zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...