Hallo,

mal etwas, was nichts mit Webseiten und Webservern etc. zu tun hat. Ich weiß nur nicht so recht, wo ich wie nach einer Lösung suchen könnte und ich hoffe, es findet sich hier jemand, der mir die Frage beantworten kann.

Bisher verwenden wir in unserem Firmennetzwerk auf unseren Switchen Mac-Based-Authentication, um nur uns bekannte Geräte im Netzwerk zuzulassen. Bei unbekannten Geräten wird der Port auf dem Switch geschlossen. (Ja, man kann Mac-Adressen faken, aber es ist eine erste Hürde)

Mittlerweile haben wir aber immer mehr USB-C Dockingstations, die logischerweise am Arbeitsplatz bleiben. Da diese eine eigene Mac-Adresse haben und ein angeschlossenes Notebook nur über die Mac der Dockingstation kommuniziert, können so auch wieder einfach unbekannte Fremdgeräte genutzt werden.

Wie kann ich zukünftig wieder nur uns bekannte Geräte im Netzwerk zulassen, inklusive der an USB-C-Docks angeschlossenen Geräte?

Würde das über ein Zertifikatsbasierten Ansatz funktionieren? Also jedes eigene Gerät bekommt ein eigenes Zertifikat installiert und dieses authentifiert dann das Gerät? Wie funktioniert das dann mit den USB-C-Docks? Erst wenn ein Gerät mit gültigem Zertifikat angeschlossen wird, wird der Port geöffnet?

Gibt es da ausführliche Anleitungen zur Umsetzung? Einsetzbar wäre bei uns eine Cisco ISE, aber auch gerne ein FreeRadius. Die Switche sind auch alle von Cisco.

Ich verstehe im Moment noch nicht, wie die Kommunikation zwischen Client, Radius und Layer2-Switch funktioniert, sodass der Port vom Switch geöffnet oder geschlossen wird (oder in ein spezielles VLAN z.B. für Gäste packt).

LG Klaus