Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
mturba

MAC-basierte 802.1x-Authentifizierung mit dynamischer VLAN-Zuordnung

Empfohlene Beiträge

Hi,

 

bei vielen Herstellern aktiver Netzwerkkomponenten wie z.B. Procurve, Extreme oder Foundry gibt es die Möglichkeit, eine MAC-basierte 802.1x-Authentifizierung durchzuführen mit dynamischer VLAN-Zuordnung. Bei Cisco scheint es diese Möglichkeit nicht zu geben, zumindest habe ich in der Dokumentation nichts dazu gefunden. Vermutlich verlässt sich Cisco dabei auf sein proprietäres VMPS-Protokoll, anstatt auf herstellerpezifische Radius-Attribute.

 

Weiß da jemand etwas drüber?

 

Danke und Gruß,

Martin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Vermutlich verlässt sich Cisco dabei auf sein proprietäres VMPS-Protokoll, anstatt auf herstellerpezifische Radius-Attribute.

 

Einen VMPS Server kannst du aber auch unter Linux aufsetzen (OpenVMPS)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
VLAN Membership Policy Server (VMPS)—IEEE802.1x and VMPS are mutually exclusive

Danke für den Hinweis, evtl. habe ich mich nicht richtig ausgedrückt. Mein Ziel ist nicht, die VLAN-Zuordnung per VMPS zu machen und gleichzeitig 802.1x port based authentication zu fahren. Ziel ist es, eine Möglichkeit zu finden, in einer heterogenen Umgebung (Cisco, Procurve, Foundry, ...) eine dynamische VLAN-Zuordnung anhand der MAC-Adresse zu erreichen.

Einziger Ansatz bisher ist, eine Datenbankanbindung für OpenVMPS zu schreiben, der die VLAN-Zuordnung per VMPS für die Cisco-Geräte übernimmt und parallel dazu einen FreeRADIUS, der auf der gleichen Datenbasis die VLAN-Zuordnung per 802.1x vornimmt. Schön wäre allerdings gewesen, wenn man sich den VMPS-Daemon hätte sparen können.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ein Ansatz wäre bestimmt MAC-basierende 802.1x Authentifizierung damit solltest du über den RADIUS Server VLANs zuordnen können. Bei HP funktioniert das soweit ich weis indem man als Radius-User und als Radius-Passwort die MAC-Adresse des Clients nimmt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ein Ansatz wäre bestimmt MAC-basierende 802.1x Authentifizierung damit solltest du über den RADIUS Server VLANs zuordnen können. Bei HP funktioniert das soweit ich weis indem man als Radius-User und als Radius-Passwort die MAC-Adresse des Clients nimmt.

Richtig, und das funktioniert auch für die meisten Hersteller. Mein Ziel ist, herauszufinden, ob das bei Cisco auf die gleiche Art möglich ist, oder ob Cisco diese Möglichkeit nicht vorsieht,

1. die Authentifizierung anhand der MAC-Adresse durchzuführen

2. die entsprechenden Radius-Attribute auszuwerten und anhand derer die VLAN-Zuordnung vorzunehmen, wie es andere Hersteller auch tun

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hola,

 

non supplicant authentication ist auch mit cisco möglich..

 

Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring IEEE 802.1x Port-Based Authentication  [Cisco Catalyst 2960 Series Switches] - Cisco Systems

 

Using IEEE 802.1x Authentication with MAC Authentication Bypass

==> Das Delay sollte jedoch relativ hoch sein (ca. 30s) ==> DHCP könnte da Probleme haben..

 

Automatische Vlan Zuweisung klappt auch.

 

Ciao

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Hier hier für einen 3560.

 

Configuring IEEE 802.1x Port-Based Authentication

Hola,

 

non supplicant authentication ist auch mit cisco möglich..

 

Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring IEEE 802.1x Port-Based Authentication* [Cisco Catalyst 2960 Series Switches] - Cisco Systems

Hmm... danke :-) Wie konnt ich das nur überlesen... werde das morgen sofort testen!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Mich würde hier folgendes interessieren:

 

Wenn ich mein Windows-PC am Switchport anschliesse und hochfahre, dann bin ich ja nicht an eine Domain angemeldet, sondern nur local. Danach würde mir ein VLAN zugeordnet und eine IP-Adresse zu geordnet. Schön, jetzt habe ich zwar eine IP-Adresse aus dem korrekten VLAN, aber wie geht es denn jetzt weiter? Wie "zwinge" ich denn Windows dazu sich an der Domain anzumelden bzw. wie kann ich jetzt dem PC bestimmte Scripte zuweisen?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Frank: Das sind nun wirklich zwei paar Stiefel!

 

Hier dreht es sich darum, dass ein Netzwerkgerät überhaupt ans Netzwerk darf.

 

Was du vorhast liesse sich über Richtlinien steuern.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wuuunderbar, hat funktioniert!

 

Der relevante Ausschnitt aus der Switchkonfiguration sieht folgendermassen aus:

 

!
aaa new-model
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
dot1x system-auth-control
!
interface FastEthernet1/0/1
switchport mode access
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout tx-period 1
dot1x guest-vlan 100
!
radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key 7 14112D040D0538302131
!

 

Der Eintrag in der FreeRADIUS-Konfiguration sieht folgendermassen aus:

 

001122AABBCC    Auth-Type := Local, User-Password == "001122AABBCC"
               Tunnel-Medium-Type = IEEE-802,
               Tunnel-Private-Group-Id = 123,
               Tunnel-Type = VLAN

 

Vielen Dank nochmal an alle :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nee, auf den Accessports habe ich spanning-tree portfast konfiguriert, in der Konfiguration in meinem vorherigen Post aber weggelassen, weils für die 802.1x-Geschichte nicht wichtig war. Es dauert ca. 3-5 Sekunden, bis der Port einem VLAN zugewiesen ist und der Rechner eine IP-Adresse bekommen hat, da ich die tx-period auf 1 gesetzt habe und defaultmässig 2 retries gemacht werden. Nach dem letzten retry verwendet der Switch die MAC-Adresse, die an diesem Port gesehen wurde zur Authentifizierung, das war diese mac-auth-bypass-Sache.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×