Jump to content

MAC-basierte 802.1x-Authentifizierung mit dynamischer VLAN-Zuordnung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

bei vielen Herstellern aktiver Netzwerkkomponenten wie z.B. Procurve, Extreme oder Foundry gibt es die Möglichkeit, eine MAC-basierte 802.1x-Authentifizierung durchzuführen mit dynamischer VLAN-Zuordnung. Bei Cisco scheint es diese Möglichkeit nicht zu geben, zumindest habe ich in der Dokumentation nichts dazu gefunden. Vermutlich verlässt sich Cisco dabei auf sein proprietäres VMPS-Protokoll, anstatt auf herstellerpezifische Radius-Attribute.

 

Weiß da jemand etwas drüber?

 

Danke und Gruß,

Martin

Link zu diesem Kommentar
VLAN Membership Policy Server (VMPS)—IEEE802.1x and VMPS are mutually exclusive

Danke für den Hinweis, evtl. habe ich mich nicht richtig ausgedrückt. Mein Ziel ist nicht, die VLAN-Zuordnung per VMPS zu machen und gleichzeitig 802.1x port based authentication zu fahren. Ziel ist es, eine Möglichkeit zu finden, in einer heterogenen Umgebung (Cisco, Procurve, Foundry, ...) eine dynamische VLAN-Zuordnung anhand der MAC-Adresse zu erreichen.

Einziger Ansatz bisher ist, eine Datenbankanbindung für OpenVMPS zu schreiben, der die VLAN-Zuordnung per VMPS für die Cisco-Geräte übernimmt und parallel dazu einen FreeRADIUS, der auf der gleichen Datenbasis die VLAN-Zuordnung per 802.1x vornimmt. Schön wäre allerdings gewesen, wenn man sich den VMPS-Daemon hätte sparen können.

Link zu diesem Kommentar

Ein Ansatz wäre bestimmt MAC-basierende 802.1x Authentifizierung damit solltest du über den RADIUS Server VLANs zuordnen können. Bei HP funktioniert das soweit ich weis indem man als Radius-User und als Radius-Passwort die MAC-Adresse des Clients nimmt.

Richtig, und das funktioniert auch für die meisten Hersteller. Mein Ziel ist, herauszufinden, ob das bei Cisco auf die gleiche Art möglich ist, oder ob Cisco diese Möglichkeit nicht vorsieht,

1. die Authentifizierung anhand der MAC-Adresse durchzuführen

2. die entsprechenden Radius-Attribute auszuwerten und anhand derer die VLAN-Zuordnung vorzunehmen, wie es andere Hersteller auch tun

Link zu diesem Kommentar

Hola,

 

non supplicant authentication ist auch mit cisco möglich..

 

Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring IEEE 802.1x Port-Based Authentication  [Cisco Catalyst 2960 Series Switches] - Cisco Systems

 

Using IEEE 802.1x Authentication with MAC Authentication Bypass

==> Das Delay sollte jedoch relativ hoch sein (ca. 30s) ==> DHCP könnte da Probleme haben..

 

Automatische Vlan Zuweisung klappt auch.

 

Ciao

Link zu diesem Kommentar
Hier hier für einen 3560.

 

Configuring IEEE 802.1x Port-Based Authentication

Hola,

 

non supplicant authentication ist auch mit cisco möglich..

 

Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring IEEE 802.1x Port-Based Authentication* [Cisco Catalyst 2960 Series Switches] - Cisco Systems

Hmm... danke :-) Wie konnt ich das nur überlesen... werde das morgen sofort testen!

Link zu diesem Kommentar

Mich würde hier folgendes interessieren:

 

Wenn ich mein Windows-PC am Switchport anschliesse und hochfahre, dann bin ich ja nicht an eine Domain angemeldet, sondern nur local. Danach würde mir ein VLAN zugeordnet und eine IP-Adresse zu geordnet. Schön, jetzt habe ich zwar eine IP-Adresse aus dem korrekten VLAN, aber wie geht es denn jetzt weiter? Wie "zwinge" ich denn Windows dazu sich an der Domain anzumelden bzw. wie kann ich jetzt dem PC bestimmte Scripte zuweisen?

Link zu diesem Kommentar

Wuuunderbar, hat funktioniert!

 

Der relevante Ausschnitt aus der Switchkonfiguration sieht folgendermassen aus:

 

!
aaa new-model
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
dot1x system-auth-control
!
interface FastEthernet1/0/1
switchport mode access
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout tx-period 1
dot1x guest-vlan 100
!
radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key 7 14112D040D0538302131
!

 

Der Eintrag in der FreeRADIUS-Konfiguration sieht folgendermassen aus:

 

001122AABBCC    Auth-Type := Local, User-Password == "001122AABBCC"
               Tunnel-Medium-Type = IEEE-802,
               Tunnel-Private-Group-Id = 123,
               Tunnel-Type = VLAN

 

Vielen Dank nochmal an alle :)

Link zu diesem Kommentar

Nee, auf den Accessports habe ich spanning-tree portfast konfiguriert, in der Konfiguration in meinem vorherigen Post aber weggelassen, weils für die 802.1x-Geschichte nicht wichtig war. Es dauert ca. 3-5 Sekunden, bis der Port einem VLAN zugewiesen ist und der Rechner eine IP-Adresse bekommen hat, da ich die tx-period auf 1 gesetzt habe und defaultmässig 2 retries gemacht werden. Nach dem letzten retry verwendet der Switch die MAC-Adresse, die an diesem Port gesehen wurde zur Authentifizierung, das war diese mac-auth-bypass-Sache.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...