MAC basierte VLAN Zuweisung

Es gibt 4 Antworten in diesem Thema, welches 1.044 mal aufgerufen wurde. Der letzte Beitrag () ist von swag.

    Hallo zusammen


    ich setze eine UDM Pro und USW 24 PoE ein, also Geräte der neusten Generation. Meine rudimentäre Segmentierung via Switch Port soll nun erweitert werden. Klassisch mit je einem VLAN für

    • Management (UDM, USW, APs)
    • Office
    • IOT / Gäste

    Was ich nicht hinkriege ist eine MAC basierte Zuweisung eines Gerätes zu einem der VLANs. Ich kann zwar Ports des USW einem VLAN zuweisen, das ist aber keine sichere Lösung. Wenn jemand sein Gerät an einem anderen Port einsteckt, ist das Konzept im Eimer.


    Wie kann ich Endgeräte per MAC dazu zwingen, auf ein bestimmtes VLAN gehen zu müssen?


    Gruss und Danke

    Testbild

    Zitat von Testbild

    Was ich nicht hinkriege ist eine MAC basierte Zuweisung eines Gerätes zu einem der VLANs. Ich kann zwar Ports des USW einem VLAN zuweisen, das ist aber keine sichere Lösung. Wenn jemand sein Gerät an einem anderen Port einsteckt, ist das Konzept im Eimer.


    Wie kann ich Endgeräte per MAC dazu zwingen, auf ein bestimmtes VLAN gehen zu müssen?

    Wenn es jemand hinbekommt sein Gerät in eine nicht dafür freigeben Dose zu stecken hast du ganz andere Probleme. Und wenn ich irgendwo was rausziehe und mich selber anzustöpslen dann kann ich auch die MAC

    Klonen...Der Kram ist nett um es einfach zu haben als Fallback für Geräte die keine 802.1x Anmeldung

    hinbekommen hat aber wenn du ne MAC erlaubst ins “gute“ vlan zu dürfen mit

    Sicherheit nichts mehr zu tun.


    Aber nun gut die Switche können alle 802.1x und sich damit über einen Radius authentifizierung erzwingen.

    Dazu reicht als Fallback auch die MAC. Im WIKI gibt es hier eine etwas ältere Anleitung die aber noch

    Gültigkeit hat..

    Vielen Dank an dich "gierig".


    Ist ja "nur" eine Umgebung Zuhause und nicht im Hochsicherheitstrakt. Es ist schnell mal passiert, dass man in einem Raum mit 2 LAN Anschlüssen in der gleichen Steckdose Access Point von VLAN1 und Office PC VLAN2 tauscht, nicht mal böswillig. Deshalb auch die Idee mit der MAC.


    Ich versuche das Ganze mal mit Radius.

    Zitat von Testbild

    Access Point von VLAN1

    Hinweis:

    der Kram Funktioniert nur für ein VLAN, AccessPoint die ggf. über ein TRUNK mehrere VLAN bekommen

    sind außen vor. Nicht so sehr wegen dem Access Point sonder wegen den Clients die Da mit Ihrer Mac mitmischen wollen. (die ARP Tabelle des Switches muss ja eine Vielzahl von MACs sich and dem Port merken)