MAC-basierte 802.1x-Authentifizierung mit dynamischer VLAN-Zuordnung

[mturba]

Hi,

bei vielen Herstellern aktiver Netzwerkkomponenten wie z.B. Procurve, Extreme oder Foundry gibt es die Möglichkeit, eine MAC-basierte 802.1x-Authentifizierung durchzuführen mit dynamischer VLAN-Zuordnung. Bei Cisco scheint es diese Möglichkeit nicht zu geben, zumindest habe ich in der Dokumentation nichts dazu gefunden. Vermutlich verlässt sich Cisco dabei auf sein proprietäres VMPS-Protokoll, anstatt auf herstellerpezifische Radius-Attribute.

Weiß da jemand etwas drüber?

Danke und Gruß,
Martin

[fu123]

Hier hier für einen 3560.

Configuring IEEE 802.1x Port-Based Authentication

...
•VLAN Membership Policy Server (VMPS)—IEEE802.1x and VMPS are mutually exclusive.
...

Fu

[Wordo]

Zitat von mturba Vermutlich verlässt sich Cisco dabei auf sein proprietäres VMPS-Protokoll, anstatt auf herstellerpezifische Radius-Attribute.

Einen VMPS Server kannst du aber auch unter Linux aufsetzen (OpenVMPS)

[mturba]

VLAN Membership Policy Server (VMPS)—IEEE802.1x and VMPS are mutually exclusive

Danke für den Hinweis, evtl. habe ich mich nicht richtig ausgedrückt. Mein Ziel ist nicht, die VLAN-Zuordnung per VMPS zu machen und gleichzeitig 802.1x port based authentication zu fahren. Ziel ist es, eine Möglichkeit zu finden, in einer heterogenen Umgebung (Cisco, Procurve, Foundry, ...) eine dynamische VLAN-Zuordnung anhand der MAC-Adresse zu erreichen.
Einziger Ansatz bisher ist, eine Datenbankanbindung für OpenVMPS zu schreiben, der die VLAN-Zuordnung per VMPS für die Cisco-Geräte übernimmt und parallel dazu einen FreeRADIUS, der auf der gleichen Datenbasis die VLAN-Zuordnung per 802.1x vornimmt. Schön wäre allerdings gewesen, wenn man sich den VMPS-Daemon hätte sparen können.

[Weihnachtsmann]

Ein Ansatz wäre bestimmt MAC-basierende 802.1x Authentifizierung damit solltest du über den RADIUS Server VLANs zuordnen können. Bei HP funktioniert das soweit ich weis indem man als Radius-User und als Radius-Passwort die MAC-Adresse des Clients nimmt.

[mturba]

Zitat von Weihnachtsmann Ein Ansatz wäre bestimmt MAC-basierende 802.1x Authentifizierung damit solltest du über den RADIUS Server VLANs zuordnen können. Bei HP funktioniert das soweit ich weis indem man als Radius-User und als Radius-Passwort die MAC-Adresse des Clients nimmt.

Richtig, und das funktioniert auch für die meisten Hersteller. Mein Ziel ist, herauszufinden, ob das bei Cisco auf die gleiche Art möglich ist, oder ob Cisco diese Möglichkeit nicht vorsieht,
1. die Authentifizierung anhand der MAC-Adresse durchzuführen
2. die entsprechenden Radius-Attribute auszuwerten und anhand derer die VLAN-Zuordnung vorzunehmen, wie es andere Hersteller auch tun

[daking]

Hola,

non supplicant authentication ist auch mit cisco möglich..

Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring IEEE 802.1x Port-Based Authentication* [Cisco Catalyst 2960 Series Switches] - Cisco Systems

Using IEEE 802.1x Authentication with MAC Authentication Bypass
==> Das Delay sollte jedoch relativ hoch sein (ca. 30s) ==> DHCP könnte da Probleme haben..

Automatische Vlan Zuweisung klappt auch.

Ciao

[mturba]

Zitat von foo Hier hier für einen 3560. Configuring IEEE 802.1x Port-Based Authentication

Zitat von daking Hola, non supplicant authentication ist auch mit cisco möglich.. Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring IEEE 802.1x Port-Based Authentication* [Cisco Catalyst 2960 Series Switches] - Cisco Systems

Hmm... danke :-) Wie konnt ich das nur überlesen... werde das morgen sofort testen!

[Frank04]

Mich würde hier folgendes interessieren:

Wenn ich mein Windows-PC am Switchport anschliesse und hochfahre, dann bin ich ja nicht an eine Domain angemeldet, sondern nur local. Danach würde mir ein VLAN zugeordnet und eine IP-Adresse zu geordnet. Schön, jetzt habe ich zwar eine IP-Adresse aus dem korrekten VLAN, aber wie geht es denn jetzt weiter? Wie "zwinge" ich denn Windows dazu sich an der Domain anzumelden bzw. wie kann ich jetzt dem PC bestimmte Scripte zuweisen?

[weg5st0]

Frank: Das sind nun wirklich zwei paar Stiefel!

Hier dreht es sich darum, dass ein Netzwerkgerät überhaupt ans Netzwerk darf.

Was du vorhast liesse sich über Richtlinien steuern.