Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Port Security 3Com Superstack 3 sperrt MAC(nicht nur Port)

Frage Netzwerke Netzwerkmanagement

Mitglied: 73519

73519 (Level 1)

05.01.2009, aktualisiert 11:19 Uhr, 5680 Aufrufe, 7 Kommentare

Hallo,

ich habe eine Frage zur PortSecurity beim 3Com SuperStack 3(genauer beim 4400er).

Ziel ist es, dass jeweils an einem Port nur eine MAC angeschlossen werden kann und sobald sich eine zweite MAC dort anklemmt soll der Port gesperrt werden.
Da ich die erste MAC vorher nicht kenne, habe ich die PortSecurity auf autoLearn(1) gestellt. Ich habe es so verstanden, dass der Switch dann die erste MAC lernt und speichert und sobald sich eine andere MAC dort anklemmt wird der Port gesperrt.

Dies hat in meinem Test auch gut funktioniert. Allerdings sperrt der Switch das Gerät mit der MAC, die sich an dem Port angeklemmt hat, dann komplett aus. An keinem anderen Port ist mehr eine Kommunikation möglich, obwohl der Switch den Port als "UP" anzeigt.

Weiß jemand, ob der Switch grundsätzlich die MAC dann komplett aussperrt, oder ob man das vielleicht noch irgendwo einstellen kann?
Mitglied: aqui
05.01.2009 um 11:43 Uhr
Nein, eine "falsche" ,nicht gelernte MAC wird komplett ausgesperrt, das ist ja genau der Sinn dieser Mac Security !!

Willst du das dynamisch bzw. flexibel machen, musst du über eine MAC Authentifizierung am Port über 802.1x konfigurieren.
Damit wird dann eine MAC an einem zentralen Radius Server geprüft ob diese MAC ins Netz darf und der Port dann freigegeben.
Das hat den Vorteil das der Benutzer innerhalb des Netzes problemlos umziehen kann und Laptop Besitzer sich frei bewegen können ohne das du auf Sicherheit verzichtest. Man kann sogar ebenfalls Benutzern damit gleichzeitig dynamisch ihr VLAN zuweisen, sofern gewollt.
Nicht registrierte Macs können dann dynamisch in ein isoliertes Gummizellen VLAN verbannt werden sollten sie sich am Netzwerk verbinden wollen. Oder ganz ausgesperrt werden, je nachdem wie deine Sicherheits Policy die du vorher festgelegt hast das bestimmt.
Oder du weisst den unbekannten MACs dynamisch eine Accessliste zu die dann nur bestimmte Kommunikationen erlaubt.
All das ist möglich über eine dynmaische Mac Authentifizierung nach IEEE 802.1x.
So gut wie alle "besseren" Switch Hersteller supporten das...vermutlich 3Com auch.
Ob das so ist sollte dir dein Handbuch oder die 3Com Support Seite sicher sagen können !!
Bitte warten ..
Mitglied: 73519
05.01.2009 um 12:02 Uhr
Danke schonmal.

Der Switch kann natürlich auch RADIUS-Authentifizierung. Dies möchte ich aber ungern nutzen. Ich dachte, dass nur der Port gesperrt wird, wenn ich PortSecurity mache und nicht der Port und zusätzlich die MAC-Adresse der Geräts an allen Ports.

Wenn das so ist, dass die MAC dann komplett ausgesperrt wird, muss ich damit leben. Werde aber wohl bei autoLearn bleiben ohne Radius.
Bitte warten ..
Mitglied: aqui
05.01.2009 um 12:09 Uhr
Eigentlich sollte es auch nur der einzelnen Port sein.
Da der Switch aber eine zentrale MAC Forwarding Database hat, mag es sein das 3Com diese Funktion etwas "primitiv" implementiert hat und diese MAC aus der gesamten Forwarding Database zentral ausschliesst oder eben gar nicht erst reinlässt (Blocking), damit ist sie dann natürlich am gesamten Switch gesperrt, wenn der Switch diese Mac gar nicht erst lesen kann...logisch !

Ein Blick ins Handbuch oder auf die 3Com Seite sollte das Verhalten des Switches bei der Mac Security Funktion schnell klären !!
Bitte warten ..
Mitglied: 73519
05.01.2009 um 12:20 Uhr
Genau das ist das verwirrende für mich, weshalb ich hoffte, dass vielleicht jemand hier ist, der sich mit den Superstack 3 auskennt, denn die Doku sagt:

MAC addresses are learned continuously by the port until the number of authorised
addresses specified is reached. When this number is exceeded the port automatically
stops learning addresses and Disconnect Unauthorized Device (DUD) is enabled on the
port.

Da steht ja eigentlich, dass sich alles nur auf den einen Port bezihet. Daher war ich auch so überrascht, dass das komplette Gerät "deaktiviert" wird.


Weiß vielleicht jemand, was dort passiert sein könnte, oder ob man das ändern kann?
Bitte warten ..
Mitglied: aqui
05.01.2009 um 13:49 Uhr
Ja die Aussage ist dann klar: Das bezieht sich nur auf den Port, er blockt dann nur diesen Port vom Lernen !!
Wenn du das Endgerät dann auf einen freien, noch nicht gelernten Port aufsteckst sollte er diese Mac Adresse dort lernen und entsprechend funktionieren.

Alles andere wäre ein Firmware Bug der 3Com Firmware !!

Hast du den Switch auf die aktuellste Firmware upgedatet ??
Bitte warten ..
Mitglied: 73519
05.01.2009 um 13:50 Uhr
Ja, Firmware ist die aktuellste und habe sicherheitshalber auch alle Einstellungen mal auf "Factory default" zurückgesetzt, damit es nicht mit anderen Regeln kollidiert.
-> Immer noch das gleiche Problem
Bitte warten ..
Mitglied: aqui
05.01.2009 um 13:55 Uhr
Dann bleibt dir nix weiter als einen Bug Case aufzumachen bei 3Com...
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Viren und Trojaner
gelöst T-Online sperrt Port 25 wegen spam misbrauch (3)

Frage von itsk-robert zum Thema Viren und Trojaner ...

Firewall
Sophos Utm 9 Port 3000 für ProfiCash freigeben (4)

Frage von Floh21 zum Thema Firewall ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...