Ich stand heute vor der Aufgabe, auf einer HP ProCurve 2610-24 einen MAC-basierten Zugriffsfilter einzurichten. Klingt einfach, ist es dank der “tollen” Oberfläche der Switch und der recht kompliziert gehaltenen Dokumentation seitens HP allerdings nicht. Die genutzten Unterlagen sind auf der folgenden Seite zu finden:
HP ProCurve Networking Manuals
Das Dokument, welches die Konfiguration beschreibt, ist das Access Security Guide for the ProCurve Series 2610 Switches. Wichtig ist hier Kapitel 12-6 bzw. Seite 398 in dem PDF-Dokument.
Ich habe einen kleinen Moment gebraucht um herauszufinden, wie die Filterung genau funktioniert. Ich habe weder Screenshots des Menüs noch solch ein Modell zur Verfügung, deswegen ist die Erklärung der einzelnen Menüpunkte oder Buttons nicht exakt, ich denke aber jeder der das Gerät vor sich hat kommt mit dieser Anleitung sowie dem Handbuch klar :)
Nachdem wir uns per Webbrowser auf die Managementseite der Switch aufgewählt haben und uns angemeldet haben, navigieren wir in der oberen Menüleiste über “Security” zu “Port Security”.
An dieser Stelle sehen wir alle Ports. Hier können wir nun entweder einen oder mehrere Ports auswählen, danach können wir die Einstellungen konfigurieren, indem wir den Knopf unten rechts auswählen. Es öffnet sich ein weiteres Menü, in dem wir unsere Einstellungen wählen können. Die für uns wichtige Einstellung ist “Learn Mode”, diese Einstellung kann auf die folgenden Einstellung konfiguriert werden:
- Continuous: Bei dieser Einstellung dürfen alle MAC-Adressen kommunizieren, es gibt keine Einschränkungen. Dies ist die Standard-Einstellung.
- Static: In diesem Modus kann man auswählen, welche MAC-Adressen freigeschaltet sind. Die Anzahl der Adressen liegt bei 0-64. Wenn man insgesamt 2 Adressen erlaubt, aber nur eine MAC-Adresse einträgt, darf eine beliebige zweite Adresse ebenfalls kommunizieren. Dies bedeutet, dass immer so viele MAC-Adressen hinterlegt werden, wie auch unter “Address-Limit” angegeben ist.
- Configured: Dieser Modus ist ähnlich wie “Static”, allerdings dürfen bei einem “Address-Limit” von 2 und einer eingetragenen MAC-Adresse keine weiteren Adressen kommunizieren, somit ist dieser Modus sicherer als “Static”.
- Port Access: Dies aktiviert die 802.1X Port-basierte Zugriffskontrolle, dies habe ich allerdings nicht probiert bzw. eingestellt.
Ich habe auf der Switch die Ports auf “Configured” gestellt und die MAC-Adressen der zugelassenen Clients konfiguriert. Nachdem die Einstellungen gespeichert wurden, konnten Geräte mit einer nicht erlaubten MAC-Adresse nicht mehr über die Switch kommunizieren.
Tipp 1: Wenn Sie eine bestehende Switch nachträglich absichern wollen, setzen Sie dem “Learn-Mode” erst auf “Static”. Bei dieser Option “lernt” die Switch, d.h. Ihnen wird die MAC-Adresse des aktuell verbundenen Clients angezeigt. Sie können die Einstellung dann in “Configured” ändern und müssen nicht manuell alle MAC-Adressen der Systeme heraussuchen und eintippen.
Tipp 2: Denken Sie daran, evtl. bei der Einrichtung nicht eingeschaltete oder vorhandene Geräte mit aufzunehmen (Drucker, mobile Endgeräte usw.), weiterhin macht es Sinn die MAC-Adresse von einem oder mehreren Geräten mit aufzunehmen, die sich um die Administration kümmern.
Schneller geht es per CLI, vor allem dann, wenn man eine Liste mit Mac-Adressen hat und z.B. eine Reihe von Switches konfigurieren muss. Im Editor kann man die Config vorschreiben und anschließend als startup-config per TFTP hochladen.
Hallo Patrick,
danke für den Hinweis.
Gruß, Jan