ralpht
Goto Top

WLAN-AP an Netzwerkdose schützen

Hallo,

der Titel verwirrt etwas. Ich habe an einem Netzwerkanschluss einen WLAN-Accespoint angeschlossen. Gibt es eine Möglichkeit nur diesen LAN-Anschluss vom Switch (ProCurve) zu schützen, dass an diesem auch nur dieser einer Access-Point angeschlossen werden kann?

Wenn ich diesen Port per "aaa port-access mac-based" schütze, dann werden leider auch alle WLAN-Clients, die sich über diesen AP verbinden auch geblockt. Ich sehe eigentlich keine Möglichkeit, das so zu realiiseiren, dass nur der AP angeschlossen werden kann, WLAN-Clients jedoch nicht beinträchtigt werden. Oder gibt es doch noch eine Möglichkeit?

Content-Key: 351144

Url: https://administrator.de/contentid/351144

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: aqui
Lösung aqui 09.10.2017 um 12:26:36 Uhr
Goto Top
dass an diesem auch nur dieser einer Access-Point angeschlossen werden kann?
Ja das gibt es und ist kinderleicht. Versteht man im Allgemeinen un ter dem Begriff Port Security am Switch.
Du hast in der Regel 2 Optionen:
1.)
Mac Security: Hier begrennzt du mit einem Port Kommando z.B. switchport port-security <mac-address> (Cisco) die Anzahl der zu lernenden Mac Adressen an dem Switchport bzw. kannst auch eine feste vorgeben.
Damit forwardet der Switch dann ausschliesslich nur Traffic an diese Mac Adresse an dem Port.
Das bedeutet aber auch gleichzeitiug das dann alle WLAN Clients blockiert sind wenn du nur die Mac des APs selber erlaubst.
Der AP arebutet ja als ganz einfach Layer 2 Bridge und bridged die Macs in das am Port anliegende LAN Segment.
Du musst also zusätzlich auch noch die Mac Adressen aller deiner WLAN Clients dort erlauben.
Sicher, aber erfordert Admin Aufwand zum managen.
2.)
802.1x Port Security: Hier läuft die Verbindung mit einem Radius Server. Nähere Infos hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Hast du mehrere APs dann macht das mehr Sinn, da die Konfig nur einmal zentral im Radius gemacht wird.
Außerdem muss der AP selber auch eine 802.1x Client Funktion supporten, was die meisten besseren APs aber haben. Er muss sich ja dann selber auch am .1x Port authentisieren.

Ein anderer Ansatz ist das WLAN routen zu lassen. Sprich also das der AP routet und das WLAN selber und den LAN Port in unterschiedlichen IP Netzen betreibt.
Bessere APs können das problemlos.
Dann kommt der gesamte Traffic des WLANs wieder von einer einzigen Mac Adresse, nämlich der des routenden APs am LAN Port und dann greift auch sofort wieder dein "aaa port-access mac-based" Kommando mit nur der Mac der APs.
Erfordert etwas Aufwand im Customizing des WLAN APs erfüllt aber vollständig deine Anforderung.
Mitglied: RalphT
RalphT 09.10.2017 um 12:28:15 Uhr
Goto Top
Danke. Damit kann was anfangen.