802.11x - Zuordnung des VLANs per MAC-Adresse
Hallo,
wir sind gerade dabei auf VLANs umzustellen.
Am einfachsten bzw. die bevorzugte Art & Weise, wäre eine dynamische Zuordnung der MAC-Adressen.
Wir wissen das diese Variante nicht die sicherste ist (Stichwort: MAC -verfälschung), steht aber in keinsterweise zur Frage.
Ist es möglich zB einen RADIUS-Server so zu konfigurieren, das lediglich Anhand der MAC-Adresse eine VLAN Zuordnung geschieht?
Also ohne AD-Benutzer / Zertifikatsverteilung / etc. ?
Sollte dann ungefähr so aussehen:
Endgerät schickt Anfrage via Switch (Windows-PC / iPhone via WLAN / IP-Kamera) => Switch schickt diese MAC an RADIUS - Server => dieser entscheidet ob er in eine "Quarantäne VLAN kommt" oder eine Zuordnung erhält ?
Vielen Dank
wir sind gerade dabei auf VLANs umzustellen.
Am einfachsten bzw. die bevorzugte Art & Weise, wäre eine dynamische Zuordnung der MAC-Adressen.
Wir wissen das diese Variante nicht die sicherste ist (Stichwort: MAC -verfälschung), steht aber in keinsterweise zur Frage.
Ist es möglich zB einen RADIUS-Server so zu konfigurieren, das lediglich Anhand der MAC-Adresse eine VLAN Zuordnung geschieht?
Also ohne AD-Benutzer / Zertifikatsverteilung / etc. ?
Sollte dann ungefähr so aussehen:
Endgerät schickt Anfrage via Switch (Windows-PC / iPhone via WLAN / IP-Kamera) => Switch schickt diese MAC an RADIUS - Server => dieser entscheidet ob er in eine "Quarantäne VLAN kommt" oder eine Zuordnung erhält ?
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 325581
Url: https://administrator.de/contentid/325581
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
11 Kommentare
Neuester Kommentar
Ist es möglich zB einen RADIUS-Server so zu konfigurieren, das lediglich Anhand der MAC-Adresse eine VLAN Zuordnung geschieht?
Ja, das ist schon seit Jahren standartisierte Praxis im .1x Switch Umfeld und nennt sich Mac Bypass. So gut wie alle managebaren Switches und auch eine Menge der billigen Web Smart Switches supporten das schon seit Langem. Natürlich auch mit dynamsicher VLAN Zuweisung.Solltest du als Netzwerker aber eigentlich auch wissen ?!
Dieses Tutorial gibt einen Überblick und auch praktische Konfig Hilfe:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Mit einem klassischen FreeRadius ist das im Handumdrehen aufgesetzt:
Netzwerk Management Server mit Raspberry Pi
Kann aber keine dynamische VLAN Zuordnung auf Switchports ! Das kann nur der Switch selber !
das ist natürlich richtig.Macmon 'scannt' die Switche per SNMP (oder ssh-script ...) und kann dann per Regelwerk die entsprechenden Ports per SNMP sperren oder in ein gewünschtes VLAN setzen (vorausgesetzt, der Switch unterstützt das). Daneben macht/kann macmon noch einiges mehr...
Viele dieser Switches können auch eine dynamische ACL an dem Port via 802.1x und Mac Bypass.
Du kannst dann also nicht nur das VLAN dynmaisch zuweisen sondern auch eine ACL. Die ACL wird dann zentral auf dem Radius konfiguriert für den Switch.
Diese Funktion der dynmaischen ACLs ist aber schon etwas für bessere Switches. Bei Dell ist das ein bischen immer die Frage welche Switchhardware das ist.
Deren Power Connect Billigschrott kann das ganz sicher nicht, denn das sind billige OEMte Switches von Accton wo Dell nur sein Firmenbäppel aufklebt.
Möglich aber das das eine Hardware aus der Force-10 Akquise von Dell ist von vor paar Jahren. Die Force 10 Teile können atürlich erheblich mehr und da ist es denkbar das die das supporten.
Musst du ins Handbuch sehen.
Cisco, Juniper, Extreme, Brocade und die üblichen Kandidaten dort können auch dynamsiche ACLs per .1x
Du kannst dann also nicht nur das VLAN dynmaisch zuweisen sondern auch eine ACL. Die ACL wird dann zentral auf dem Radius konfiguriert für den Switch.
Diese Funktion der dynmaischen ACLs ist aber schon etwas für bessere Switches. Bei Dell ist das ein bischen immer die Frage welche Switchhardware das ist.
Deren Power Connect Billigschrott kann das ganz sicher nicht, denn das sind billige OEMte Switches von Accton wo Dell nur sein Firmenbäppel aufklebt.
Möglich aber das das eine Hardware aus der Force-10 Akquise von Dell ist von vor paar Jahren. Die Force 10 Teile können atürlich erheblich mehr und da ist es denkbar das die das supporten.
Musst du ins Handbuch sehen.
Cisco, Juniper, Extreme, Brocade und die üblichen Kandidaten dort können auch dynamsiche ACLs per .1x
Ja, alles richtig. FreeRadius ist nicht zwingend, es kann jeglicher Radius Server sein wie z.B. auch der Microsoft NPS der bei vielen ja so oder so auf dem MS Server ist wenn man denn MS einsetzt ?!
Es wäre wenn MS eh im Einsatz ist dann nicht wirklich vernünftig on Top noch einen Radius dazu zu installieren.
Einer reicht ja dann, denn Radius ist Radius egal wer die Daten liefert. Das ist ein weltweiter Standard und der NPS macht das ebenso wie der FreeRadius oder die zig anderen die es noch gibt.
Intelligente Switches forwarden den Traffic dann immer auf Basis der Mac an diesem Port. Nicht authentisierte Macs werden dann auch geblockt und authentisierte können passieren.
Allerdings gibt es manchmal etwas Unterschiede im Handling bei verschiedenen Herstellern. Im Zweifel da besser nochmal genau ins Handbuch sehen.
Es wäre wenn MS eh im Einsatz ist dann nicht wirklich vernünftig on Top noch einen Radius dazu zu installieren.
Einer reicht ja dann, denn Radius ist Radius egal wer die Daten liefert. Das ist ein weltweiter Standard und der NPS macht das ebenso wie der FreeRadius oder die zig anderen die es noch gibt.
sollte es an einem Switchport einen weiteren "dummen Switch" geben, sollte es auch kein Problem darstellen, oder?
Nein !Intelligente Switches forwarden den Traffic dann immer auf Basis der Mac an diesem Port. Nicht authentisierte Macs werden dann auch geblockt und authentisierte können passieren.
Die VLAN Zuordnung geschieht ja anhand der MAC-Adresse & wird nicht auf dieses "Port" gebunden?
Richtig, genauso ist es !Allerdings gibt es manchmal etwas Unterschiede im Handling bei verschiedenen Herstellern. Im Zweifel da besser nochmal genau ins Handbuch sehen.
=> wird somit dasselbe sein, wovon wir sprechen?
Yepp, genau das !was passiert wenn der RADIUS Server neu gestartet werden muss bzw. kurzzeitig nicht erreichbar ist?
Dann hattu Pech ! Nix Zugriff mehr auf Netzwerk....Vorausdenkende Netzwerker setzen dafür einen Backup Radius auf.
ch meine, vor allem wenn kein "Request" an den RADIUS gesendet wird
Wenn kein Request gesendet wird, dann kommt logischerweise auch KEINE Antwort vom Radius und der Port bleibt unauthentisiert udn damit dicht...nix Zugriff auf netzwerk. Ist doch logisch und sagt einem der gesunde Menschenverstand sondern wenn der Client bereits seine VLAN ID erhalten hat
Ääähhh... Bahnhof, Ägypten ??Wie meinst du das ??
Quasi wenn der Server noch rennt, dem Client dann dynamisch das VLAN 10 zugewiesen hat und den Port authentisiert hat und DANN fällt der Radius aus ??
Dann hängt es davon ab wie der Switch konfiguriert ist. Es gibt Switches indem man eine Reauthentication einstellen kann. Ist der Reauthentication Timer abgelaufen sendet der einen neuen Request an den Radius. Ist der nicht da...Port dicht..Client draussen..klar !
Einfache Switches haben das nicht. Da bleibt der Client solange drin bis der physische Linkstatus am Port auf down geht. Dann gibts logischerweise einen neuen Request und wenn dann keine Antwort komt...siehe oben !