Switch Port: MacFilter für angeschlossenen AP

Es gibt 3 Antworten in diesem Thema, welches 1.253 mal aufgerufen wurde. Der letzte Beitrag () ist von Juky.

    Hallo zusammen,


    an den USWs sind APs angeschlossen, diese aber teilweise über frei zugängliche Dosen in Schulungsräumen.

    Mehrere WLANs werden über die APs ausgestrahlt, jedem WLAN ist ein eigenes VLAN zugeordnet.

    Auf dem Ports, an denen die APs angeschlossen sind, ist ein Trunk Profil hinterlegt, so daß alle VLANs möglich sind

    (Native VLAN=Default, Tagged VLAN=allow all)


    Jetzt möchte ich den Port mit einem MacFilter absichern, so daß der Port blockt, falls ein anderes Gerät als der AP gesteckt wird.

    Ich habe ein weiteres Profil erstellt, bei dem "Restricted by Mac ID"aktiviert ist und die MAC Adresse des APs eingetragen ist,

    das Profil habe ich dem Port zugewiesen (statt Profil "Trunk" das profil "Trunk-AP" zugewiesen).


    Verbindung mit dem AP ist dann nicht mehr möglich, Fehler/Warnung am Switch:

    "Restricted MAC ID list does not include all addresses seen on this port. Please update the list or check if there are any unknown clients"


    Gibt es eine Lösung wie ich den Port absichern kann, so daß nur der AP angeschlossen werden kann?

    Vielen Dank vorab,

    Gruß
    Ingolf


    UDM Pro 3.2.12, USW PRO, AP nanoHD

    Einmal editiert, zuletzt von Juky ()

    Zitat von Juky

    Jetzt möchte ich den Port mit einem MacFilter absichern, so daß der Port blockt, falls ein anderes Gerät als der AP gesteckt wird.

    Geht so nicht. Da Problem ist das ein AP netzwerktechnisch eine BRIDGE Zwischen Ethernet und Ethernet AIR ist.

    Die MAC Adressen aller CLEINTS werden 1zu1 duchgereicht und MÜSSEN auch durchgereicht werden

    (L2 Ethernet werden. Einziege Lösung mit Unifi: ALLE Mac Adressen der Clients mit in die Liste aufnehmen.


    Radius also 802.1x hilft nur bedingt, weil ggf auch alle Clients ein Profil benötigen und oder Extra Username

    und Passwort was auch nur bedingt weil der AP Selber auch Mitglied in den VLAN sein muss un dieser sich max

    über seine Fallback MAC am 802.1x anmelden kann... Wenn ich schon dreist genug mich da einzustöpseln bin

    ich auch dreist genug meine MAC mit der des AP zu ersetzen.


    ARUAB und CISCO kennen dafür im übrigen „Surrogate“ authentification.. deren Controller samt Lizenz und

    gennötigen Switches sind aber auch Teuer als nen Wachmann der auf Kabel aufpasst :smiling_face:


    Lösungen:

    Umbauen, Dose nicht erreichbar machen. Umrüsten auf Verschlussdosen (Hässlich aber abgeschlossen, sind eher

    für draußen gedacht Funktionieren aber auch drinnen. Verkleben (da ist ne ne neue Dose fällig)


    Monitoring etablieren das bei Fehlenden Ping / App Ping auf den AP sofort roten Alarm auslöst

    Zitat von gierig

    Geht so nicht. (...)Die MAC Adressen aller CLEINTS werden 1zu1 duchgereicht und MÜSSEN auch durchgereicht werden

    Das habe ich befürchtet, aber die Hoffnung stirbt zuletzt :smiling_face:


    Zitat von gierig

    Monitoring etablieren das bei Fehlenden Ping / App Ping auf den AP sofort roten Alarm auslöst

    Alle Geräte werden von ICMP/Ping mit Nodered überwacht ... dann muß das reichen.


    Vielen Dank jedenfalls für die Hilfe/Klarheit! :thumbs_up: