Dynamische VLAN's mit 802.1x und Radius

[tinsel 10]

Hi

wollte mal in die Runde fragen ob jemand schon mal Dynamische VLAN Vergabe mit 802.1x und Radiusserver gemacht hat.

Warum ich kein VMPS verwende? Das IOS auf meinem 2950 untersützt es leider nicht.

[daking 10]

Hola,

 

von dieser Funktion habe ich im Cisco Umfeld noch nichts gehört. Denke dass das so nicht so einfach möglich währe. Bei Alcatel Hardware gibts derartige Features (Group Mobility).

Wo hast du diese Info her?

 

Ciao

[darkjedi 10]

...im Linux-Magazin war glaube ich vor kurzem ein Artikel darüber...wollte ich mir auch nochmal durchlesen. bin auch der Meinung in einer Cisco-Switch-Doku schon davon gelesen zu haben. Werde mal schauen, ob ich noch was dazu finde.

[nerd 28]

Hi,

 

ich habe mich auch mal mit dem Thema beschäftigt (allerdings mehr aus der Software Sicht). Soweit ich das meinen grauen Zellen entnehmen kann geht das auch mit Cisco Switchen ab einer Bestimmten IOS Version.

 

(ist ja im Prinzip eine Grundfunktion von 802.1x - so wie ich das verstanden haben)

 

Liebe Grüße

[Frank04 10]

Ich habe das mit Nortel gebaut, dort heisst das EAPoL. Die dynamische VLAN Zuordnung geschieht über eine Policy auf dem Radius.

Das hat auch soweit funktioniert. Das VLAN wurde dynamisch zugeordet und per DHCP hat der Client auch eine IP Adresse erhalten. Danach war aber Essig.

Mit meinen bescheidenen Windows Kenntnissen beschreibe ich mal das Problem: Der Client war jetzt zwar IP-mäßig im Netz, aber er konnte sich beim Booten nicht an der Domäne anmelden, da ja der Port des Switches noch in keinem VLAN war. Nach der Authentifizierung per 802.1x(EAPoL) war zwar eine IP-Verbindung da, aber Windows sieht ja keine Veranlassung sich nochmal an der Domäne anmelden zu wollen? Lösung wäre wohl abmelden/anmelden, da bleibt der Netzwerklink ja oben, aber das ist ja nicht praktikabel...

[tinsel 10]

Hi, erst mal danke für die Antworten

ich habe mich auch mal mit dem Thema beschäftigt (allerdings mehr aus der Software Sicht).

Was heist das? Was es für Software gibt oder wie man sie konfiguriert?

 

im Linux-Magazin war glaube ich vor kurzem ein Artikel darüber

 

Welche Ausgabe?

 

@darkjedi Ja es geht, leider weis ich nicht wie...

 

Edit

das mit der Domainanmeldung stimmt. Ich hatte aber irgend wo gelesen das zu mindest mit XP das Problem gelöst wurde in dem der Auth vor dem DHCP beim Boot kommt.

[nerd 28]

Was heist das? Was es für Software gibt oder wie man sie konfiguriert?

u. a. allerdings nur von oben. Sprich ich habe nur geschaut in wie weit das System in sehr großen Netzten umsetzbar ist und was man dafür braucht und mit welchen OS - Versionen / Switches es arbeitet. Zudem haben wir geschaut was für Probleme dabei auftauchen könnten und welchen wirklichen Vorteil man aus der Umsetzung ziehen würde und was für ein Verwaltungsaufwand dem gegenüber steht...

 

z. B. Müssen alle Drucker in ein extra Vlan, da diese die auth via 802.1x nicht unterstützen etc...

[tinsel 10]

Was war eure Meinung zu dem Problem, dass ja der Auth erst nach dem Boot kommt und somit DHCP geschweige denn Domainanmelung funktioniert?

 

 

 

im Linux Magazin 1/2005 ist es mit freeradius beschrieben

[Frank04 10]

DHCP hat funktioniert, nur die Domänenanmeldung nicht.

 

Hat da jemand tiefergehende Erfahrung ? Ich meine grundsätzlich ist das ja ein "Problem" des Betriebsystem und nicht der Switch/Routerhardware?

[tinsel 10]

mit Cisco Geräten oder den Nortel's?

[Frank04 10]

In der Etage hatte ich Nortel BayStack470er mit BoS-Image. Wie gesagt, dynamische VLAN-Zuordnung und DHCP funktionierte im Labor einwandfrei. Als Radius hatten wir den IAS von Windows 2003 Server benutzt.

Problem mit der Anmeldung an die Domäne besteht immer noch.

 

Wir hatten uns gedacht, wenn der Radius eh beim ADS nachfragt, ob der User xyz ins Netz darf und dann entsprechend er einer Gruppe und VLAN zugeordnet wird, er auch an der Domäne dann angemeldet ist. Funktioniert aber nicht.

[Wurstbläser 10]

Hallo Leuts

folgende Doku springt einem bei CISCO ins Auge (pass zu deinem 2950, lieber Tinsel)

http://www.cisco.com/en/US/products/hw/switches/ps628/products_configuration_guide_chapter09186a0080150b73.html

Ist das nicht die Lösung? Authentifizierung über RADIUS - benutzt 802.1x - allerdings auf dem EnhancedImage..

 

Gruss

Robert

[Momo 10]

Hallo,

 

ich wollte das Thema nochmals aufwärmen, da ich so etwas gerade auch ins Auge fasse.

 

Wobei mir einige Dinge noch nicht ganz klar sind.

 

Plan: Erstellen von zwei oder mehr VLANs. Eines als Gast, die anderen für das "normale" Netz mit Authentifizierung über Radius (Windows 2003 IAS).

 

Frage 1: Was wird hier gegen das AD gecheckt der User bei der Anmelung, oder das Computer Konto?

 

Frage 2: Für die Radius Einrichtung bzw. zum Senden des jeweiligen VLANs benötigt man doch Vendor Codes des Herstellers, oder was übergebe ich der Switch.

 

Frage 3: Wer übergibt die IP? Fungiert der Radius in diesem Fall als DHCP Server oder werden die IPs vorher vergeben und nur die Switch schaltet den Rechner in eines der VLANs?

 

Gruß

Momo

[Ciscler 10]

Hallo,

 

habe mich gerade mal ein wenig über VMPS informiert. Wir setzen bei uns leider keine Cisco Switches ein sonder nur 3Com. Haben in unserem Netz auch viele VLANs konfiguiert. Meine Frage ist gibt es VMPS nur bei Cisco oder auch bei 3Com vllt. hat sogar von euch einer Erfahrung in solchen Sachen mit 3Com Switches?

 

Danke im Vorraus Gruß Dirk

[Momo 10]

Hallo rohlmannd,

 

kurz mal gegoogelt:

VMPS (VLAN Membership Policy Server) ist ein Cisco-eigenes Protokoll zur dynamischen VLAN-Zuordnung.

[/Quote]

 

Ich gehe mal davon aus, dass es das so nicht bei 3COM gibt - aber eventuell etwas ähnliches. ;)