MAC-basierte 802.1x-Authentifizierung mit dynamischer VLAN-Zuordnung

[mturba 10]

Hi,

 

bei vielen Herstellern aktiver Netzwerkkomponenten wie z.B. Procurve, Extreme oder Foundry gibt es die Möglichkeit, eine MAC-basierte 802.1x-Authentifizierung durchzuführen mit dynamischer VLAN-Zuordnung. Bei Cisco scheint es diese Möglichkeit nicht zu geben, zumindest habe ich in der Dokumentation nichts dazu gefunden. Vermutlich verlässt sich Cisco dabei auf sein proprietäres VMPS-Protokoll, anstatt auf herstellerpezifische Radius-Attribute.

 

Weiß da jemand etwas drüber?

 

Danke und Gruß,

Martin

[fu123 10]

Hier hier für einen 3560.

 

Configuring IEEE 802.1x Port-Based Authentication

 

...

•VLAN Membership Policy Server (VMPS)—IEEE802.1x and VMPS are mutually exclusive.

...

 

Fu

[Wordo 11]

Vermutlich verlässt sich Cisco dabei auf sein proprietäres VMPS-Protokoll, anstatt auf herstellerpezifische Radius-Attribute.

 

Einen VMPS Server kannst du aber auch unter Linux aufsetzen (OpenVMPS)

[mturba 10]

VLAN Membership Policy Server (VMPS)—IEEE802.1x and VMPS are mutually exclusive

Danke für den Hinweis, evtl. habe ich mich nicht richtig ausgedrückt. Mein Ziel ist nicht, die VLAN-Zuordnung per VMPS zu machen und gleichzeitig 802.1x port based authentication zu fahren. Ziel ist es, eine Möglichkeit zu finden, in einer heterogenen Umgebung (Cisco, Procurve, Foundry, ...) eine dynamische VLAN-Zuordnung anhand der MAC-Adresse zu erreichen.

Einziger Ansatz bisher ist, eine Datenbankanbindung für OpenVMPS zu schreiben, der die VLAN-Zuordnung per VMPS für die Cisco-Geräte übernimmt und parallel dazu einen FreeRADIUS, der auf der gleichen Datenbasis die VLAN-Zuordnung per 802.1x vornimmt. Schön wäre allerdings gewesen, wenn man sich den VMPS-Daemon hätte sparen können.

[Weihnachtsmann 10]

Ein Ansatz wäre bestimmt MAC-basierende 802.1x Authentifizierung damit solltest du über den RADIUS Server VLANs zuordnen können. Bei HP funktioniert das soweit ich weis indem man als Radius-User und als Radius-Passwort die MAC-Adresse des Clients nimmt.

[mturba 10]

Ein Ansatz wäre bestimmt MAC-basierende 802.1x Authentifizierung damit solltest du über den RADIUS Server VLANs zuordnen können. Bei HP funktioniert das soweit ich weis indem man als Radius-User und als Radius-Passwort die MAC-Adresse des Clients nimmt.

Richtig, und das funktioniert auch für die meisten Hersteller. Mein Ziel ist, herauszufinden, ob das bei Cisco auf die gleiche Art möglich ist, oder ob Cisco diese Möglichkeit nicht vorsieht,

1. die Authentifizierung anhand der MAC-Adresse durchzuführen

2. die entsprechenden Radius-Attribute auszuwerten und anhand derer die VLAN-Zuordnung vorzunehmen, wie es andere Hersteller auch tun

[daking 10]

Hola,

 

non supplicant authentication ist auch mit cisco möglich..

 

Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring IEEE 802.1x Port-Based Authentication  [Cisco Catalyst 2960 Series Switches] - Cisco Systems

 

Using IEEE 802.1x Authentication with MAC Authentication Bypass

==> Das Delay sollte jedoch relativ hoch sein (ca. 30s) ==> DHCP könnte da Probleme haben..

 

Automatische Vlan Zuweisung klappt auch.

 

Ciao

[mturba 10]

Hier hier für einen 3560.

 

Configuring IEEE 802.1x Port-Based Authentication

Hola,

 

non supplicant authentication ist auch mit cisco möglich..

 

Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring IEEE 802.1x Port-Based Authentication* [Cisco Catalyst 2960 Series Switches] - Cisco Systems

Hmm... danke :-) Wie konnt ich das nur überlesen... werde das morgen sofort testen!

[Frank04 10]

Mich würde hier folgendes interessieren:

 

Wenn ich mein Windows-PC am Switchport anschliesse und hochfahre, dann bin ich ja nicht an eine Domain angemeldet, sondern nur local. Danach würde mir ein VLAN zugeordnet und eine IP-Adresse zu geordnet. Schön, jetzt habe ich zwar eine IP-Adresse aus dem korrekten VLAN, aber wie geht es denn jetzt weiter? Wie "zwinge" ich denn Windows dazu sich an der Domain anzumelden bzw. wie kann ich jetzt dem PC bestimmte Scripte zuweisen?

[weg5st0 10]

Frank: Das sind nun wirklich zwei paar Stiefel!

 

Hier dreht es sich darum, dass ein Netzwerkgerät überhaupt ans Netzwerk darf.

 

Was du vorhast liesse sich über Richtlinien steuern.

[mturba 10]

Wuuunderbar, hat funktioniert!

 

Der relevante Ausschnitt aus der Switchkonfiguration sieht folgendermassen aus:

 

!
aaa new-model
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
dot1x system-auth-control
!
interface FastEthernet1/0/1
switchport mode access
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout tx-period 1
dot1x guest-vlan 100
!
radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key 7 14112D040D0538302131
!

 

Der Eintrag in der FreeRADIUS-Konfiguration sieht folgendermassen aus:

 

001122AABBCC    Auth-Type := Local, User-Password == "001122AABBCC"
               Tunnel-Medium-Type = IEEE-802,
               Tunnel-Private-Group-Id = 123,
               Tunnel-Type = VLAN

 

Vielen Dank nochmal an alle :)

[Wordo 11]

Muss man dann neben der Zeitspanne fuer Spanning-Tree nochmal 30 Sekunden warten bis man dann drin ist oder wie war das mit dem bypass?

[mturba 10]

Nee, auf den Accessports habe ich spanning-tree portfast konfiguriert, in der Konfiguration in meinem vorherigen Post aber weggelassen, weils für die 802.1x-Geschichte nicht wichtig war. Es dauert ca. 3-5 Sekunden, bis der Port einem VLAN zugewiesen ist und der Rechner eine IP-Adresse bekommen hat, da ich die tx-period auf 1 gesetzt habe und defaultmässig 2 retries gemacht werden. Nach dem letzten retry verwendet der Switch die MAC-Adresse, die an diesem Port gesehen wurde zur Authentifizierung, das war diese mac-auth-bypass-Sache.