RalphT 15 Geschrieben 12. September 2012 Melden Teilen Geschrieben 12. September 2012 Hallo, ich habe hier ein kleines Problem: Ich habe hier Switche Procurve 2620. Die Ports sind für eine MAC-Basierte Authentifizierung konfiguriert. Ein RADIUS-Server von Windows ist im Netz. Solange an einem Port nur ein Rechner hängt, ist alles ok. Jetzt haben manche Räume einen kleinen 8-Port unmanaged Switch an den Netzwerkport gehangen. Alle Rechner an diesen kleinen Switch werden auch authentifiziert. Sobald ich jedoch an diesen kleinen Switch einen neuen Rechner anschließe, wird dieser Rechner nicht authentifiziert. Das Kabel vom neuen Rechner rein-raus hilft nicht. Auch kein Neustart. Auch in der Ereignisanzeige vom Windows-RADIUS-Server wird kein Eintrag angezeigt. Dann habe ich vom 8-Port-Switch das Kabel, welches zum Procurve Switch geht, kurz herausgezogen. Jetzt wird der der neue Rechner authentifiziert. Das ist leider schlecht, denn wenn andere Rechner gerade an diesem Switch arbeiten, verlieren diese kurz das Netzwerk. Ist dieses Verhalten nornal oder was muss ich an dem neuen Rechner machen, damit er auch authentifiziert wird.? Zitieren Link zu diesem Kommentar
Hannes91 10 Geschrieben 12. September 2012 Melden Teilen Geschrieben 12. September 2012 Hallo, Also, du steckst den ersten PC an deinen Switch. Ganz egal ob mit einem 8 Port Tisch Switch oder nicht. Der Switch nimmt sich die Client MAC und fragt den Radius ob dieser zugriff hat, wenn ja dann macht der Switch für den Switch Port die "Klappe" auf und dein Client hat zugriff aufs Netzwerk. Wenn du nun an den Tischswitch dein zweiten Client hängst, wird dieser nicht mehr authentifiziert, denn der Switchport ist ja bereits authentifiziert ist. Dies ist auch eine möglichkeit 802.1x Port Authentication zu umgehen, man kann jedoch bei einigen Switchen den Port herunterfahren, sobald der Switch an einem Port 2 MAC Addressen erkennt. ergo: Das Verhalten ist normal Ich wüsste so keine möglichkeit, außer den unmanaged 8 Port SW gegen einen managed zu tauschen der Radius beherscht. Gruß Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 12. September 2012 Autor Melden Teilen Geschrieben 12. September 2012 Hmmm, das ist ja nicht so toll. Jetzt habe ich mal folgendes gemacht: Nur einen Rechner an den 8-Port-Switch gehangen. Dieser wird jetzt ordnungsgemäß erkannt. Anschließend habe ich diesen Rechner in Active-Directory deaktiviert. Kabel am Rechner rein und raus, aber der Rechner wird immer noch erkannt (Dieses Verhalten bestätigt Deine Aussage) Jetzt umgekehrt: An den 8-Port-Switch nur einen Rechner angeklemmt, der in der AD deaktivert ist. Dieser Rechner darf dann nicht vom Switch freigeschaltet werden. Das ist dann auch tatsächlich so. Anschließend in der AD den Rechner wieder aktiviert. Kabel am Rechner rein und raus. Jetzt sollte der Rechner authentifiziert werden. Aber das geht leider nicht. Damit jetzt keine Unklarheiten aufkommen: Alle Rechner sind mit ihren MAC-Adressen zusätzlich in der AD. Diese habe ich hier mal aktiviert und deaktiviert. Die eigentlichen Computerkonten in der AD bleiben hier unberührt. Nachtrag: Bei den Procurve Switchen gibt es den Parameter ADDR-LIMIT. Dieser beträgt bei unseren 32 und ist auch so für jeden Port gesetzt, bei den billigeren nur 2. Daher müsste er das doch eigentlich können. Zitieren Link zu diesem Kommentar
Hannes91 10 Geschrieben 12. September 2012 Melden Teilen Geschrieben 12. September 2012 Nachtrag: Bei den Procurve Switchen gibt es den Parameter ADDR-LIMIT. Dieser beträgt bei unseren 32 und ist auch so für jeden Port gesetzt, bei den billigeren nur 2. Daher müsste er das doch eigentlich können. Ich weiß nicht wie sich die HP Switche beim MAC-Auth verhalten. Meine erklärung oben basiert nur auf erfahrungen mit Cisco Switchen(!). Vielleicht hilft dir einer der Links: http://cdn.procurve.com/training/Manuals/2900-ASG-Jan08-9-8021X.pdf Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch - Anleitung - LAN, WAN und Wireless - administrator.de Gruß Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 13. September 2012 Autor Melden Teilen Geschrieben 13. September 2012 Noch ein Nachtrag: Ich habe den Befehl aaa port-access mac-based 1-24 reauth-period 60 auf den Procurve-Switch eingegeben. Diese Reauthentifizierung soll ja alle 60 Sekunden stattfinden. Nur leider funktioniert das nur zur Hälfte. Wird in der AD der Rechner deaktiivert, so wird dieser Zustand auch tatsächlich am Rechner erkannnt. Nur umgekehrt funktioniert das nicht. Gebe ich in der Konsole am Switch den Befehl aaa port-access mac-based 4 reauthenticated ein, dann wird Port 4 tatsächlich erneut authentifiziert und es funktioniert. Warum funktioniert diese regelmäßige Reauthentication nicht? Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 17. September 2012 Autor Melden Teilen Geschrieben 17. September 2012 So, dass Problem ist gelöst: Das Problem lag wohl an den Parameter reauth-period. Dieser Parameter ist im Handbuch mit dem Wert 300 als default-Wert angegeben. Der Paramter mac-age-time hat auch 300. Danach hätte das eigentlich klappen müssen. Das Problem war, dass der Parameter nicht wie geschrieben auf 300 gesetzt war, sondern auf 0. D.h. in diesem Fall ist diese Funktion deaktiviert. Hab den Parameter auf 180 gesetzt und jetzt funktioniert es. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.