Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SNMP: Port laut Mac-Adresse sperren bei 2 verbundenen Switchen

Frage Netzwerke Netzwerkprotokolle

Mitglied: HandyAndi

HandyAndi (Level 1) - Jetzt verbinden

13.09.2013 um 15:31 Uhr, 2446 Aufrufe, 5 Kommentare

Hallo zusammen,

ich habe folgende Problemstellung.

Ich möchte auf einem unserer HP Procurve-Switche anhand einer Mac-Adresse den entsprechenden Port per SNMP sperren. Das ich soweit auch kein Problem mit den OID´s 1.3.6.1.2.1.17.4.3.1.1 und 1.3.6.1.2.1.17.4.3.1.2

Mein Problem ist folgendes:

Wir haben in unserem Netzwerk unter anderem 2 Procurve-Switche, welche direkt miteinander verbunden sind. Die IP-Adressen lauten 5.68.43.12 und 5.68.43.13. Haben wir nun einen Client mit der IP-Adresse 5.68.43.77 ist dieser logischerweise mit dem Port einer dieser beiden Switche verbunden. Man kann aber nicht direkt sagen mit welchem.
Ich gehe nun wie folgt vor. Ich suche anhand der Mac-Adresse mit den beiden oben genannten OID´s erst auf dem Switch mit der IP 5.68.43.12 nach dem entsprechenden Port und finden diesen auch. Suche ich anschließend auf dem Switch mit der IP 5.68.43.13 ebenfalls mit den OID´s den entsprechenden Port, bekomme ich auch einen Port ausgespuckt.
Auf dem ersten Switch ist es beispielsweise Port 77 und auf zweiten Switch Port 5. Nun weiß ich natürlich nicht, welchen ich sperren soll. Ich habe bereits herausgefunden, dass der 1.Switch am Port 5 des zweiten Switches hängt. Daher bekommt er an diesen Port wohl auch die Mac-Adresse des Client, der eigentlich physikalisch am Port 77 des 1 Switches hängt.

Kann mir hier jemand helfen, dass ich bei Abfrage beider Switche nur den "richtigen" Port als Ausgabe bekomme? Evtl. gibt es noch andere OID´s mit denen ich zum richtigen Ergebnis komme.

Vielleicht sollte ich noch erwähnen, dass die Portsperrung komplett automatisiert per Skript erfolgt.

Ich hoffe ich habe mein Anliegen relativ verständlich beschrieben

Viele Grüße

Andi



Mitglied: MrNetman
13.09.2013 um 15:37 Uhr
Die MAC Adressen müssen auf beiden Switchen vorkommen. Auf einem einmal und auf dem anderen zweimal. Du musst nur alle Abfragen an die uplinks ignorieren oder unterdrücken. Dann triffst du den richtigen Port zum fallweisen Abschalten. Uplinks werden auch häufig über die LLDP Funktion identifiziert.

GRuß
Netman
Bitte warten ..
Mitglied: aqui
13.09.2013, aktualisiert 14.09.2013
Müsste man ja auch so schon auf den ersten Blick sehen können, denn bei einen Switch kann die Mac ja nur auf dem Uplink zum anderen Switch sein !
Da man die Uplink Ports ja kennt ist es dann in Sekunden klar wo der Endgeräte Port ist...?!
Da hätte es eigentlich nicht eines solchen Forum Threads bedurft...nur etwas Nachdenken ?!
Bitte warten ..
Mitglied: Dobby
14.09.2013, aktualisiert um 14:05 Uhr
Hallo,

ich will mich jetzt nicht zu weit aus dem Fenster lehnen, aber dafür beschriften viele Admins ihre Netzwerkkabel
die an den Verschiedenen Endgeräte Ports hängen, damit man dann eben im Fall der Fälle das ganze schnell auffindet und lokalisiert!

Mit DHCP
Und zusätzlich noch etwas, falls Deine Switche Port Security Einstellungen bieten, könnte man am Endgeräte Port auch noch
eine MAC Adresse hinterlegen und nur diese kann dann mit diesem Port kommunizieren, also ließe sich dann auch schnell
nur ein bestimmtes Gerät an einem bestimmten Port recht schnell aus dem Netz nehmen.

Ohne DHCP
Kann man auch noch wenn es denn wirklich feste (statische) IP Adressen sind die IP Adresse an der Firewall sofern eine
vorhanden ist sperren lassen, und wenn diese fest vergeben wird könnte man dann auch noch mittels MAC > IP Adresse Bindungen
(IP Bindings) + MAC Port Security Einstellungen am Switch die ganze Sache wasserdicht anlegen und durchziehen.
Wenn die Firewall auch noch Scripte unterstützt ist das auch schnell erledigt.

Ist nicht die Art und Weise nach der Du gefragt hast und ist auch vorab immer mit etwas Arbeit verbunden, aber funktioniert dann
eben auch zuverlässig.

Gruß
Dobby
Bitte warten ..
Mitglied: MrNetman
14.09.2013 um 13:56 Uhr
@D.o.b.b.y
Beschriftungen gehen maximal zu gepatchten Wanddosen, nicht zum angeschlossenen Endgerät. Auch Updates und Erneuerungen sind damit nicht zu erfassen.
Aber die Beschriftung ist schon ein guter Anfang für eine Dokumentation.

GRuß
Netman
Bitte warten ..
Mitglied: Dobby
14.09.2013 um 14:15 Uhr
Hallo MrNetman,

Beschriftungen gehen maximal zu gepatchten Wanddosen, nicht zum angeschlossenen Endgerät.
Also ich denke wenn jemand ein Problem hat kann dieser bei der IT bzw. EDV Abteilung anrufen und wenn man diesen
dann fragt was oben auf dem Aufkleber steht, der an dem Gerät angebracht wurde (PC, Workstation oder dem Endgerät)
kann man das sehr schnell herausfinden, wenn man es denn Pflegt!

IP 192.168.1.50/24 (Mac: ff:ff:......) Inverntarnummer, steht dann in Deiner Liste ist an
Netzwerkdose 1.5.25.6 (Stockwerk, Raum oder Büro, Abteilung, Dosennummer)
und diese kommt dann am Patchpanel an Port xyz wieder heraus, und ist dann eben
in Switch xyz und an seinen Port 22 gepatcht! Fertig!

Ist aber sicherlich nicht überall so, da gebe ich Dir natürlich recht.

Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerke
Clientname anhand MAC Adresse herausfinden (13)

Frage von VerruecktesPferd zum Thema Netzwerke ...

Firewall
gelöst PFSense 2.3.2 Captive Port, Administrator Zugriffsteuerung sperren (12)

Frage von horstvogel zum Thema Firewall ...

Windows Mobile
MAC-Adresse in Windows CE per Befehl ermitteln? (1)

Frage von timemaster zum Thema Windows Mobile ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...