Frage Rogue Devices von HP Procurve finden (und stoppen!)


Wir scheinen ein Problem mit Rogue-Geräten in unserem Netzwerk zu haben. Von DHCP (auf Win2003) kann ich Namen von Geräten sehen, die eindeutig nicht von uns sind. Von dem Namen her vermute ich, dass es ein WLAN-AP ist (WGR614 sieht für mich wie ein Netgear aus). Ich kann es jetzt nicht anpingen, aber ich möchte A.) sicher sein, dass es weg ist und B.) es davon abhalten, zurück zu kommen.

Meine ursprüngliche Theorie ist, die MAC-Adresse am Switch zu blockieren. Ich würde auch gerne herausfinden, an welchen Port die MAC-Adresse angeschlossen war, damit ich den Ort finden kann, an den es angeschlossen war.

Wir haben verschiedene Varianten von HP ProCurve Switches, mit unserem primären Switch a 4200. Wie würde ich dies als einmalige Aufgabe ausführen? Ich bin kein Netzwerkadministrator, also bitte sei sanft.


7
2017-07-13 18:28


Ursprung


Schlechte Nachrichten: Das Blockieren des MAC des AP blockiert nicht den MAC seiner verbundenen Clients. Vielleicht möchten Sie sich die Port-Sicherheit von Procurve anschauen (falls kompatibel mit Ihrem Modell), um nur 1 MAC pro Port zuzulassen. - LatinSuD


Antworten:


Ich kann Ihnen nichts über das Blockieren oder die Zugriffssteuerungsliste in HP Procurve-Switches sagen. Im Allgemeinen ist das "Blockieren" unerwünschter Geräte keine gute Sache. Es ist eine bessere Idee, zu verhindern, dass die gewünschten Geräte überhaupt in Ihr Netzwerk gelangen.

Um die MAC-Adresse eines fehlerhaften Geräts von einem Computer im selben Subnetz wie dieses Gerät zu finden, PING das Gerät und führen Sie dann eine "arp -a" von einer Eingabeaufforderung aus. Sie sollten so etwas (unter Windows) erhalten:

Interface: 192.168.28.10 --- 0x6
  Internet Address      Physical Address      Type
  192.168.28.9          00-ff-22-71-a6-a2     dynamic

Die MAC-Adresse ist in der Spalte "Physische Adresse" aufgeführt.

Hoffentlich haben die ProCurve-Switches einige Funktionen, mit denen Sie die MAC-Adressdatenbank auf dem Switch nach einer bestimmten Adresse durchsuchen können. Tun Sie das, und der Switch wird Ihnen sagen, an welchen Port die MAC-Adresse "hängt".

Auf einem Cisco-Switch (oder einem Cisco-Workalike-Switch) würden Sie Folgendes tun:

show mac-address | include xxxx.xxxx.xxxx

Wo die X sind die MAC-Adresse (Entfernen der "-" zwischen den Ziffern, die Windows meldet und platzieren "." Zwischen jeder Gruppe von 4 Ziffern).

Finde heraus, was an diesem Port angeschlossen ist. Wenn es sich um einen anderen Schalter handelt, wiederholen Sie den Vorgang am anderen Schalter. Wenn Sie einen WLAN-Zugangspunkt haben, denken Sie daran, eine (bessere) Verschlüsselung zu verwenden, um nicht autorisierte Parteien von Ihrem Netzwerk fernzuhalten.


5
2017-07-13 18:37



+1 Ich denke, aus Sicherheitsgründen ist es fast immer besser, eine "Nur-Lizenz-Liste" (inklusive) anstelle einer "Ausschlussliste" (exklusiv) zu haben. - Kyle Brandt♦
Vielen Dank! Ich konnte es von der Show-Mac-Adresse aus verfolgen. Ich konnte nicht arap -a, da es nicht mehr im Netzwerk war, aber die Switches hatten, was ich brauchte. Wenn Schalter wie Server sind, ja, würde ich eine Erlaubnisliste benutzen, anstatt sie zu leugnen, aber ich versuche nur, sie schnell zu stoppen. Ich vermute, kompilieren, dass MAC-Liste ist ein bisschen mehr beteiligt, aber sag mir, wenn ich falsch liege! - CC.
show mac-address ist auch der Befehl, eine Mac-Adressliste auf dem HP ProCurve per Telnet an zu bekommen. - EKS


Wissen Sie, wie Sie zur Befehlszeilenschnittstelle gelangen? Der Befehl

Zeige Mac-Adresse

zeigt Ihnen alle MAC-Adressen an, die der Switch erkannt hat.

Sie können alle Handbücher für den 4200 hier bekommen:

Handbücher für Procurve 6400cl / 5300xl / 4200vl / 3400cl-Switches


4
2017-07-13 18:37