Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SNMP: Port laut Mac-Adresse sperren bei 2 verbundenen Switchen

Frage Netzwerke Netzwerkprotokolle

Mitglied: HandyAndi

HandyAndi (Level 1) - Jetzt verbinden

13.09.2013 um 15:31 Uhr, 2477 Aufrufe, 5 Kommentare

Hallo zusammen,

ich habe folgende Problemstellung.

Ich möchte auf einem unserer HP Procurve-Switche anhand einer Mac-Adresse den entsprechenden Port per SNMP sperren. Das ich soweit auch kein Problem mit den OID´s 1.3.6.1.2.1.17.4.3.1.1 und 1.3.6.1.2.1.17.4.3.1.2

Mein Problem ist folgendes:

Wir haben in unserem Netzwerk unter anderem 2 Procurve-Switche, welche direkt miteinander verbunden sind. Die IP-Adressen lauten 5.68.43.12 und 5.68.43.13. Haben wir nun einen Client mit der IP-Adresse 5.68.43.77 ist dieser logischerweise mit dem Port einer dieser beiden Switche verbunden. Man kann aber nicht direkt sagen mit welchem.
Ich gehe nun wie folgt vor. Ich suche anhand der Mac-Adresse mit den beiden oben genannten OID´s erst auf dem Switch mit der IP 5.68.43.12 nach dem entsprechenden Port und finden diesen auch. Suche ich anschließend auf dem Switch mit der IP 5.68.43.13 ebenfalls mit den OID´s den entsprechenden Port, bekomme ich auch einen Port ausgespuckt.
Auf dem ersten Switch ist es beispielsweise Port 77 und auf zweiten Switch Port 5. Nun weiß ich natürlich nicht, welchen ich sperren soll. Ich habe bereits herausgefunden, dass der 1.Switch am Port 5 des zweiten Switches hängt. Daher bekommt er an diesen Port wohl auch die Mac-Adresse des Client, der eigentlich physikalisch am Port 77 des 1 Switches hängt.

Kann mir hier jemand helfen, dass ich bei Abfrage beider Switche nur den "richtigen" Port als Ausgabe bekomme? Evtl. gibt es noch andere OID´s mit denen ich zum richtigen Ergebnis komme.

Vielleicht sollte ich noch erwähnen, dass die Portsperrung komplett automatisiert per Skript erfolgt.

Ich hoffe ich habe mein Anliegen relativ verständlich beschrieben

Viele Grüße

Andi



Mitglied: MrNetman
13.09.2013 um 15:37 Uhr
Die MAC Adressen müssen auf beiden Switchen vorkommen. Auf einem einmal und auf dem anderen zweimal. Du musst nur alle Abfragen an die uplinks ignorieren oder unterdrücken. Dann triffst du den richtigen Port zum fallweisen Abschalten. Uplinks werden auch häufig über die LLDP Funktion identifiziert.

GRuß
Netman
Bitte warten ..
Mitglied: aqui
13.09.2013, aktualisiert 14.09.2013
Müsste man ja auch so schon auf den ersten Blick sehen können, denn bei einen Switch kann die Mac ja nur auf dem Uplink zum anderen Switch sein !
Da man die Uplink Ports ja kennt ist es dann in Sekunden klar wo der Endgeräte Port ist...?!
Da hätte es eigentlich nicht eines solchen Forum Threads bedurft...nur etwas Nachdenken ?!
Bitte warten ..
Mitglied: Dobby
14.09.2013, aktualisiert um 14:05 Uhr
Hallo,

ich will mich jetzt nicht zu weit aus dem Fenster lehnen, aber dafür beschriften viele Admins ihre Netzwerkkabel
die an den Verschiedenen Endgeräte Ports hängen, damit man dann eben im Fall der Fälle das ganze schnell auffindet und lokalisiert!

Mit DHCP
Und zusätzlich noch etwas, falls Deine Switche Port Security Einstellungen bieten, könnte man am Endgeräte Port auch noch
eine MAC Adresse hinterlegen und nur diese kann dann mit diesem Port kommunizieren, also ließe sich dann auch schnell
nur ein bestimmtes Gerät an einem bestimmten Port recht schnell aus dem Netz nehmen.

Ohne DHCP
Kann man auch noch wenn es denn wirklich feste (statische) IP Adressen sind die IP Adresse an der Firewall sofern eine
vorhanden ist sperren lassen, und wenn diese fest vergeben wird könnte man dann auch noch mittels MAC > IP Adresse Bindungen
(IP Bindings) + MAC Port Security Einstellungen am Switch die ganze Sache wasserdicht anlegen und durchziehen.
Wenn die Firewall auch noch Scripte unterstützt ist das auch schnell erledigt.

Ist nicht die Art und Weise nach der Du gefragt hast und ist auch vorab immer mit etwas Arbeit verbunden, aber funktioniert dann
eben auch zuverlässig.

Gruß
Dobby
Bitte warten ..
Mitglied: MrNetman
14.09.2013 um 13:56 Uhr
@D.o.b.b.y
Beschriftungen gehen maximal zu gepatchten Wanddosen, nicht zum angeschlossenen Endgerät. Auch Updates und Erneuerungen sind damit nicht zu erfassen.
Aber die Beschriftung ist schon ein guter Anfang für eine Dokumentation.

GRuß
Netman
Bitte warten ..
Mitglied: Dobby
14.09.2013 um 14:15 Uhr
Hallo MrNetman,

Beschriftungen gehen maximal zu gepatchten Wanddosen, nicht zum angeschlossenen Endgerät.
Also ich denke wenn jemand ein Problem hat kann dieser bei der IT bzw. EDV Abteilung anrufen und wenn man diesen
dann fragt was oben auf dem Aufkleber steht, der an dem Gerät angebracht wurde (PC, Workstation oder dem Endgerät)
kann man das sehr schnell herausfinden, wenn man es denn Pflegt!

IP 192.168.1.50/24 (Mac: ff:ff:......) Inverntarnummer, steht dann in Deiner Liste ist an
Netzwerkdose 1.5.25.6 (Stockwerk, Raum oder Büro, Abteilung, Dosennummer)
und diese kommt dann am Patchpanel an Port xyz wieder heraus, und ist dann eben
in Switch xyz und an seinen Port 22 gepatcht! Fertig!

Ist aber sicherlich nicht überall so, da gebe ich Dir natürlich recht.

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
SNMP-Abfrage bei HP Switch (ProCurve)- Zuordnung Vlan - Mac-Adresse (1)

Frage von CBuechner zum Thema Netzwerkmanagement ...

Netzwerkgrundlagen
gelöst Doppelte MAC Adresse (3)

Frage von Marius.Follert zum Thema Netzwerkgrundlagen ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
gelöst Raid-Controller (Areca) Datenverlust trotz R5 (16)

Frage von sebastian2608 zum Thema Festplatten, SSD, Raid ...

Windows 7
Bluesreens unternehmensweit (13)

Frage von SYS64738 zum Thema Windows 7 ...

Windows 10
Programm Installation bei Win 10 Fehlerhaft (12)

Frage von Keineahnungvonnix zum Thema Windows 10 ...

SAN, NAS, DAS
gelöst Synology DS213j (11)

Frage von Hendrik2586 zum Thema SAN, NAS, DAS ...