Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Port Security 3Com Superstack 3 sperrt MAC(nicht nur Port)

Frage Netzwerke Netzwerkmanagement

Mitglied: 73519

73519 (Level 1)

05.01.2009, aktualisiert 11:19 Uhr, 5702 Aufrufe, 7 Kommentare

Hallo,

ich habe eine Frage zur PortSecurity beim 3Com SuperStack 3(genauer beim 4400er).

Ziel ist es, dass jeweils an einem Port nur eine MAC angeschlossen werden kann und sobald sich eine zweite MAC dort anklemmt soll der Port gesperrt werden.
Da ich die erste MAC vorher nicht kenne, habe ich die PortSecurity auf autoLearn(1) gestellt. Ich habe es so verstanden, dass der Switch dann die erste MAC lernt und speichert und sobald sich eine andere MAC dort anklemmt wird der Port gesperrt.

Dies hat in meinem Test auch gut funktioniert. Allerdings sperrt der Switch das Gerät mit der MAC, die sich an dem Port angeklemmt hat, dann komplett aus. An keinem anderen Port ist mehr eine Kommunikation möglich, obwohl der Switch den Port als "UP" anzeigt.

Weiß jemand, ob der Switch grundsätzlich die MAC dann komplett aussperrt, oder ob man das vielleicht noch irgendwo einstellen kann?
Mitglied: aqui
05.01.2009 um 11:43 Uhr
Nein, eine "falsche" ,nicht gelernte MAC wird komplett ausgesperrt, das ist ja genau der Sinn dieser Mac Security !!

Willst du das dynamisch bzw. flexibel machen, musst du über eine MAC Authentifizierung am Port über 802.1x konfigurieren.
Damit wird dann eine MAC an einem zentralen Radius Server geprüft ob diese MAC ins Netz darf und der Port dann freigegeben.
Das hat den Vorteil das der Benutzer innerhalb des Netzes problemlos umziehen kann und Laptop Besitzer sich frei bewegen können ohne das du auf Sicherheit verzichtest. Man kann sogar ebenfalls Benutzern damit gleichzeitig dynamisch ihr VLAN zuweisen, sofern gewollt.
Nicht registrierte Macs können dann dynamisch in ein isoliertes Gummizellen VLAN verbannt werden sollten sie sich am Netzwerk verbinden wollen. Oder ganz ausgesperrt werden, je nachdem wie deine Sicherheits Policy die du vorher festgelegt hast das bestimmt.
Oder du weisst den unbekannten MACs dynamisch eine Accessliste zu die dann nur bestimmte Kommunikationen erlaubt.
All das ist möglich über eine dynmaische Mac Authentifizierung nach IEEE 802.1x.
So gut wie alle "besseren" Switch Hersteller supporten das...vermutlich 3Com auch.
Ob das so ist sollte dir dein Handbuch oder die 3Com Support Seite sicher sagen können !!
Bitte warten ..
Mitglied: 73519
05.01.2009 um 12:02 Uhr
Danke schonmal.

Der Switch kann natürlich auch RADIUS-Authentifizierung. Dies möchte ich aber ungern nutzen. Ich dachte, dass nur der Port gesperrt wird, wenn ich PortSecurity mache und nicht der Port und zusätzlich die MAC-Adresse der Geräts an allen Ports.

Wenn das so ist, dass die MAC dann komplett ausgesperrt wird, muss ich damit leben. Werde aber wohl bei autoLearn bleiben ohne Radius.
Bitte warten ..
Mitglied: aqui
05.01.2009 um 12:09 Uhr
Eigentlich sollte es auch nur der einzelnen Port sein.
Da der Switch aber eine zentrale MAC Forwarding Database hat, mag es sein das 3Com diese Funktion etwas "primitiv" implementiert hat und diese MAC aus der gesamten Forwarding Database zentral ausschliesst oder eben gar nicht erst reinlässt (Blocking), damit ist sie dann natürlich am gesamten Switch gesperrt, wenn der Switch diese Mac gar nicht erst lesen kann...logisch !

Ein Blick ins Handbuch oder auf die 3Com Seite sollte das Verhalten des Switches bei der Mac Security Funktion schnell klären !!
Bitte warten ..
Mitglied: 73519
05.01.2009 um 12:20 Uhr
Genau das ist das verwirrende für mich, weshalb ich hoffte, dass vielleicht jemand hier ist, der sich mit den Superstack 3 auskennt, denn die Doku sagt:

MAC addresses are learned continuously by the port until the number of authorised
addresses specified is reached. When this number is exceeded the port automatically
stops learning addresses and Disconnect Unauthorized Device (DUD) is enabled on the
port.

Da steht ja eigentlich, dass sich alles nur auf den einen Port bezihet. Daher war ich auch so überrascht, dass das komplette Gerät "deaktiviert" wird.


Weiß vielleicht jemand, was dort passiert sein könnte, oder ob man das ändern kann?
Bitte warten ..
Mitglied: aqui
05.01.2009 um 13:49 Uhr
Ja die Aussage ist dann klar: Das bezieht sich nur auf den Port, er blockt dann nur diesen Port vom Lernen !!
Wenn du das Endgerät dann auf einen freien, noch nicht gelernten Port aufsteckst sollte er diese Mac Adresse dort lernen und entsprechend funktionieren.

Alles andere wäre ein Firmware Bug der 3Com Firmware !!

Hast du den Switch auf die aktuellste Firmware upgedatet ??
Bitte warten ..
Mitglied: 73519
05.01.2009 um 13:50 Uhr
Ja, Firmware ist die aktuellste und habe sicherheitshalber auch alle Einstellungen mal auf "Factory default" zurückgesetzt, damit es nicht mit anderen Regeln kollidiert.
-> Immer noch das gleiche Problem
Bitte warten ..
Mitglied: aqui
05.01.2009 um 13:55 Uhr
Dann bleibt dir nix weiter als einen Bug Case aufzumachen bei 3Com...
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Trend Micro Security for Mac

Frage von BAMA1971 zum Thema Viren und Trojaner ...

Mac OS X
Mac ports -f activate port

Frage von Alchimedes zum Thema Mac OS X ...

Router & Routing
gelöst Ip6tables sperrt komplett (4)

Frage von ketanest112 zum Thema Router & Routing ...

Neue Wissensbeiträge
Windows Tools

Zeit für Energiesparmodus, Bildschirmabschaltung etc. schnell anpassen

Anleitung von hannsgmaulwurf zum Thema Windows Tools ...

Linux Netzwerk

Ping und das einstellbare Bytepattern

(1)

Erfahrungsbericht von LordGurke zum Thema Linux Netzwerk ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(4)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Heiß diskutierte Inhalte
Microsoft Office
Office Druck fehler (18)

Frage von DaistwasimBusch zum Thema Microsoft Office ...

Windows Server
Zertifikat am DC erneuern funktioniert nicht (13)

Frage von takvorian zum Thema Windows Server ...