Ich muss für meine Arbeit mehrere Rechner mit dem Internet verbinden. Allerdings hat jede Workstation nur einen LAN-Port. Um das zu umgehen, habe ich versucht, einen Switch an den LAN-Port anzuschließen, um mehrere Links vom LAN-Port zu „erfassen“. Die Einrichtung läuft ungefähr so ab:
Internet <---> CISCO SWITCHES <---> Workstation LAN port <---> My switch <---> My systems
Ich erkannte bald, dass jeder LAN-Port nur eine begrenzte Anzahl von Links unterstützen konnte und dass dies eine strikte Beschränkung war, die von der IT-Abteilung auf Cisco-Switch-Ebene auferlegt wurde. Sie hatten eine Beschränkung für die Anzahl der MAC-Adressen festgelegt, die jeder LAN-Port unterstützen durfte, ab deren Überschreitung Links abgebrochen wurden.
Ich hatte ein kurzes Gespräch mit dem Netzwerkadministrator, der nur Zeit hatte, kurz zu erklären, dass der Spanning Tree auf den Switches verrücktspielen und möglicherweise das gesamte Netzwerk zum Absturz bringen könnte, wenn er die Einschränkung nicht eingerichtet hätte.
Mein begrenztes Verständnis von STP besteht darin, dass es verwendet wird, um Schleifen in einem Switched-Netzwerk zu verhindern. Aber wie könnte mein vorgeschlagenes Setup ohne die MAC-Adressbeschränkung möglicherweise das gesamte Netzwerk zum Absturz bringen?
Antwort1
Wenn Ihr Unternehmen groß genug ist, um „CISCO-SWITCHES“ einzusetzen, ist es wahrscheinlich auch so groß, dass die IT-Abteilung nicht jeden einzelnen unterstützen kann, der irgendwelche Netzwerkgeräte und unerwünschten Geräte anschließt, von denen er meint, dass sie in das Netzwerk gehören.
Wenn es um die Arbeit geht, müssen Sie mit der IT-Abteilung zusammenarbeiten.
Um insbesondere die Frage in Ihrem Betreff zu beantworten: Wenn nicht autorisierte Netzwerkgeräte im Netzwerk zugelassen werden, neigen „Poweruser“ schnell dazu, dumme Dinge zu tun, wie einen Hub in eine Schleife zu schalten, einen nicht autorisierten DHCP-Server einzufügen usw. Durch die Kontrolle der Anzahl der Geräte an jedem „Port“ (wir sprechen hier von Zugriffsebenenschaltern in einer Cisco-Welt) kann die IT-Abteilung den Überblick darüber behalten, was sich wo befindet und wer was tut, ohne sich mit einer Gruppe von Benutzern herumschlagen zu müssen, die Dinge tun, die sie angeblich niemals tun würden.
Dies ist möglicherweise nicht die beste Lösung für das Problem (insbesondere in einer Welt des BYOD), aber die IT-Abteilung hat sich dafür entschieden. Ihre nächsten Schritte sollten darin bestehen, eine geschäftliche Notwendigkeit für die Verbindung der Arbeitsstationen mit dem Netzwerk nachzuweisen und die IT nach einer Lösung zu fragen.
Antwort2
Die Verwendung von 802.1X/Mac-Learning an den Switch-Ports ist üblich.
Es handelt sich eher um eine Sicherheitsfunktion als um eine „Überflutungsschutz“-Funktion. In den meisten Fällen, in denen es eingesetzt wird, hat es nichts damit zu tun, dass man sich Sorgen macht, dass jemand das Netzwerk „überlastet“. Die IT möchte lediglich den Port beschränken, um zu verhindern, dass beispielsweise ein Benutzer seine 10 Heimgeräte mitbringt und sich mit dem Netzwerk verbindet. MAC-Learning ist eine der einfacher einzusetzenden Funktionen. 802.1X-Authentifizierung und -Zertifikate sind ebenfalls möglich.
Bei begründetem Bedarf kann die IT das Mac-Learning-Limit für diesen bestimmten LAN-Port entfernen oder erhöhen.
Antwort3
Dies ist vielleicht nicht die beste Möglichkeit, das eigene Netzwerk zuverlässiger zu machen, aber eine recht effektive Methode, die nicht zu viel Arbeit verursacht.
Meiner Erfahrung nach haben etwa die Hälfte der Netzwerkprobleme, die mir gemeldet werden, einen ganz einfachen Grund: ein 5-8-Port-Switch (nicht STP-fähig und Loop-fähig), an den jemand „nur ein paar Tests gemacht“ hat …
Identifizieren Sie diesen Port, fahren Sie ihn herunter und warten Sie einfach, bis sich die Cupcakes beschweren :-)
Ich werde aber nur angerufen, wenn das Netzwerk stundenlang ein merkwürdiges Verhalten an den Tag legt, also bekommt der Administrator ein paar Vorträge über grundlegende Sperren – stellt sicher, dass überall STP vorhanden ist, Loop-Guard, BPDU-Guard usw. – und begrenzt die Mac-Adressen, wo es nötig ist.
tsg