Seppe 10 Geschrieben 21. April 2012 Melden Geschrieben 21. April 2012 (bearbeitet) Hallo Zusammen, Bin gerade dabei mich in der Thamatik "Port-based-Security zu wagen". Lese gerade die passende Doku. Da bin ich auf folgende Abbildung gestoßen: Catalyst 3750 Software Configuration Guide, Release 12.2(55)SE - Configuring IEEE 802.1x Port-Based Authentication* [Cisco Catalyst 3750 Series Switches] - Cisco Systems. Zu meinen Fragen: 1.) Was passiert, wenn der RADIUS-Server bei den nicht 802.1x-fähigen Geräten ausfällt? Gibt es da auch ein "Critical Authentication VLAN"? 2.) Wenn ein Port im "Critical Authentication VLAN" ist und der Server wieder erreichbar ist, erfolgt automatisch eine Re-Authentication? Hat jemand Erfahrung mit dieser Thematik? Danke :-D bearbeitet 21. April 2012 von Seppe
Wordo 11 Geschrieben 23. April 2012 Melden Geschrieben 23. April 2012 Clients die 802.1x nicht beherrschen kommen doch eh in ein separates VLAN?
Seppe 10 Geschrieben 24. April 2012 Autor Melden Geschrieben 24. April 2012 Das ist richtig. Aber wie kommen diese Geräte aus dem Guest-VLAN wider raus?
Otaku19 33 Geschrieben 24. April 2012 Melden Geschrieben 24. April 2012 denke mal der Switch wird sobald der radius wieder verfügbar ist eien reauthentication machen ? Bzw. machen das vielleicht die Supplicants auch ?
Seppe 10 Geschrieben 25. April 2012 Autor Melden Geschrieben 25. April 2012 @Wordo: Das ist klar, aber in einer Firma wäre das niocht die optimale Lösung :) @Otaku19: Ob das der Switch macht ist genau die Frage. In der Doku steht weder ja noch nein. Bei den Supplikanten sollte das nicht geregelt werden.
Wordo 11 Geschrieben 26. April 2012 Melden Geschrieben 26. April 2012 Du koenntest mit EEM ein Script basteln was auf den Syslog lauscht und dann den Port zuruecksetzt.
Seppe 10 Geschrieben 26. April 2012 Autor Melden Geschrieben 26. April 2012 Wie würde das vom Ablauf funktionieren? Das Script soll bei Wiedererreichbarkeit des RADIUS den Port re-connecten?
Wordo 11 Geschrieben 27. April 2012 Melden Geschrieben 27. April 2012 Ich kenn den Syslogmeldung nicht, wenn der AAA wieder da ist, aber danach kannst du matchen lassen. Dann den Output der IF's die im Critical VLAN haengen nehmen und resetten. Vielleicht gibts sowas ja schon http://www.cisco.com/go/ciscobeyond
Otaku19 33 Geschrieben 27. April 2012 Melden Geschrieben 27. April 2012 man kann den reauthentication timer eh am switch konfigurieren seh ich grade
Seppe 10 Geschrieben 27. April 2012 Autor Melden Geschrieben 27. April 2012 Das man den Einstellen kann bzw. per RADIUS übermitteln kann habe ich auch schon gelesen. Aber es steht nicht explizit da, dass es für das Guest-VLAN geht. Bei den Restricted-VLAN steht es direkt da.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden