mastersp
Goto Top

802.11x - Zuordnung des VLANs per MAC-Adresse

Hallo,

wir sind gerade dabei auf VLANs umzustellen.
Am einfachsten bzw. die bevorzugte Art & Weise, wäre eine dynamische Zuordnung der MAC-Adressen.
Wir wissen das diese Variante nicht die sicherste ist (Stichwort: MAC -verfälschung), steht aber in keinsterweise zur Frage.

Ist es möglich zB einen RADIUS-Server so zu konfigurieren, das lediglich Anhand der MAC-Adresse eine VLAN Zuordnung geschieht?
Also ohne AD-Benutzer / Zertifikatsverteilung / etc. ?

Sollte dann ungefähr so aussehen:
Endgerät schickt Anfrage via Switch (Windows-PC / iPhone via WLAN / IP-Kamera) => Switch schickt diese MAC an RADIUS - Server => dieser entscheidet ob er in eine "Quarantäne VLAN kommt" oder eine Zuordnung erhält ?

Vielen Dank

Content-ID: 325581

Url: https://administrator.de/contentid/325581

Ausgedruckt am: 09.11.2024 um 01:11 Uhr

aqui
aqui 05.01.2017 aktualisiert um 17:51:09 Uhr
Goto Top
Ist es möglich zB einen RADIUS-Server so zu konfigurieren, das lediglich Anhand der MAC-Adresse eine VLAN Zuordnung geschieht?
Ja, das ist schon seit Jahren standartisierte Praxis im .1x Switch Umfeld und nennt sich Mac Bypass. So gut wie alle managebaren Switches und auch eine Menge der billigen Web Smart Switches supporten das schon seit Langem. Natürlich auch mit dynamsicher VLAN Zuweisung.
Solltest du als Netzwerker aber eigentlich auch wissen ?!
Dieses Tutorial gibt einen Überblick und auch praktische Konfig Hilfe:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Mit einem klassischen FreeRadius ist das im Handumdrehen aufgesetzt:
Netzwerk Management Server mit Raspberry Pi
laster
laster 05.01.2017 um 23:01:01 Uhr
Goto Top
Wenn du Geld dafür ausgeben kannst und willst, dann schau dir das Produkt macmon mal an.
vG
LS
aqui
aqui 06.01.2017 um 10:22:05 Uhr
Goto Top
Kann aber keine dynamische VLAN Zuordnung auf Switchports ! Das kann nur der Switch selber !
Wäre ja auch sinnfrei dafür eine externe Software einzusetzen wenn der Switch das supportet.
laster
laster 06.01.2017 aktualisiert um 11:25:16 Uhr
Goto Top
Kann aber keine dynamische VLAN Zuordnung auf Switchports ! Das kann nur der Switch selber !
das ist natürlich richtig.

Macmon 'scannt' die Switche per SNMP (oder ssh-script ...) und kann dann per Regelwerk die entsprechenden Ports per SNMP sperren oder in ein gewünschtes VLAN setzen (vorausgesetzt, der Switch unterstützt das). Daneben macht/kann macmon noch einiges mehr...
aqui
aqui 06.01.2017 um 16:36:57 Uhr
Goto Top
Wär natürlich auch ein gangbarer Weg....
Bedeutet aber dann externe kostenpflichtige SW. .1x Mac Bypass haben die Switches onboard und einen NPS unter Winblows oder den kostenlosen FreeRadius hat so gut wie jeder im Netz face-wink
Es gibt halt viele Wege nach Rom...
mastersp
mastersp 08.01.2017 aktualisiert um 18:29:30 Uhr
Goto Top
Hallo,

Danke für die Antwort(en).
Werde mich via deine Links gleich einlesen.

Setzen Dell N2048 ein, was ich bisher aus den Manuals gelesen habe sollte es per ACL via Switch möglich sein.
Möchte diese ACL-Liste aber nicht am Switch verwalten.

@radius: Habe hier nur die Angst das dieser "vollständig" eingerichtet werden MUSS.
dH Zertifikatsverteilung, ev. AD-Anbindung usw..
Sollte recht "simpel" gehalten werden, dH reine dynamische VLAN Verwaltung. (via MAC-Adresse am besten)

lG
aqui
aqui 09.01.2017 um 10:51:43 Uhr
Goto Top
Viele dieser Switches können auch eine dynamische ACL an dem Port via 802.1x und Mac Bypass.
Du kannst dann also nicht nur das VLAN dynmaisch zuweisen sondern auch eine ACL. Die ACL wird dann zentral auf dem Radius konfiguriert für den Switch.
Diese Funktion der dynmaischen ACLs ist aber schon etwas für bessere Switches. Bei Dell ist das ein bischen immer die Frage welche Switchhardware das ist.
Deren Power Connect Billigschrott kann das ganz sicher nicht, denn das sind billige OEMte Switches von Accton wo Dell nur sein Firmenbäppel aufklebt.
Möglich aber das das eine Hardware aus der Force-10 Akquise von Dell ist von vor paar Jahren. Die Force 10 Teile können atürlich erheblich mehr und da ist es denkbar das die das supporten.
Musst du ins Handbuch sehen.
Cisco, Juniper, Extreme, Brocade und die üblichen Kandidaten dort können auch dynamsiche ACLs per .1x
mastersp
mastersp 13.01.2017 aktualisiert um 11:37:59 Uhr
Goto Top
Das heißt im Grund wäre dein Lösungsansatz (werde ich gleich ausprobieren) wie folgt:

- Installation eines freeradius Server
(Ist das in einem Windows-Netzwerk bzw. auf einem Windows-Server vernünftig?)
- Anbindung des Switch / Stack an diesen
- In diesem kann ich dann die MAC-Adresse einen VLAN zuweisen
- & ein "Fallback"-VLAN definieren, falls die MAC nicht angelegt ist

Ohne jetzt eine Windows-AD / Zertifikatsanbindung durchzuführen?
& sollte es an einem Switchport einen weiteren "dummen Switch" geben, sollte es auch kein Problem darstellen, oder?
Die VLAN Zuordnung geschieht ja anhand der MAC-Adresse & wird nicht auf dieses "Port" gebunden?

Danke & liebe Grüße
aqui
aqui 13.01.2017 aktualisiert um 16:46:12 Uhr
Goto Top
Ja, alles richtig. FreeRadius ist nicht zwingend, es kann jeglicher Radius Server sein wie z.B. auch der Microsoft NPS der bei vielen ja so oder so auf dem MS Server ist wenn man denn MS einsetzt ?!
Es wäre wenn MS eh im Einsatz ist dann nicht wirklich vernünftig on Top noch einen Radius dazu zu installieren.
Einer reicht ja dann, denn Radius ist Radius egal wer die Daten liefert. Das ist ein weltweiter Standard und der NPS macht das ebenso wie der FreeRadius oder die zig anderen die es noch gibt.
sollte es an einem Switchport einen weiteren "dummen Switch" geben, sollte es auch kein Problem darstellen, oder?
Nein !
Intelligente Switches forwarden den Traffic dann immer auf Basis der Mac an diesem Port. Nicht authentisierte Macs werden dann auch geblockt und authentisierte können passieren.
Die VLAN Zuordnung geschieht ja anhand der MAC-Adresse & wird nicht auf dieses "Port" gebunden?
Richtig, genauso ist es !
Allerdings gibt es manchmal etwas Unterschiede im Handling bei verschiedenen Herstellern. Im Zweifel da besser nochmal genau ins Handbuch sehen.
mastersp
mastersp 14.01.2017 aktualisiert um 19:09:56 Uhr
Goto Top
Danke!
Bin gerade am Einrichten in meiner Testumgebung.

Switch-seitig nennt sich die Funktion: "Dot1x MAC Authentication Bypass"
=> wird somit dasselbe sein, wovon wir sprechen?

Was ich noch nicht verstanden habe, was passiert wenn der RADIUS Server neu gestartet werden muss bzw. kurzzeitig nicht erreichbar ist?
Ich meine, vor allem wenn kein "Request" an den RADIUS gesendet wird, sondern wenn der Client bereits seine VLAN ID erhalten hat & der Server später "nicht erreichbar" ist?

lG
aqui
aqui 15.01.2017 um 16:35:57 Uhr
Goto Top
=> wird somit dasselbe sein, wovon wir sprechen?
Yepp, genau das !
was passiert wenn der RADIUS Server neu gestartet werden muss bzw. kurzzeitig nicht erreichbar ist?
Dann hattu Pech ! Nix Zugriff mehr auf Netzwerk....
Vorausdenkende Netzwerker setzen dafür einen Backup Radius auf.
ch meine, vor allem wenn kein "Request" an den RADIUS gesendet wird
Wenn kein Request gesendet wird, dann kommt logischerweise auch KEINE Antwort vom Radius und der Port bleibt unauthentisiert udn damit dicht...nix Zugriff auf netzwerk. Ist doch logisch und sagt einem der gesunde Menschenverstand face-wink
sondern wenn der Client bereits seine VLAN ID erhalten hat
Ääähhh... Bahnhof, Ägypten ??
Wie meinst du das ??
Quasi wenn der Server noch rennt, dem Client dann dynamisch das VLAN 10 zugewiesen hat und den Port authentisiert hat und DANN fällt der Radius aus ??
Dann hängt es davon ab wie der Switch konfiguriert ist. Es gibt Switches indem man eine Reauthentication einstellen kann. Ist der Reauthentication Timer abgelaufen sendet der einen neuen Request an den Radius. Ist der nicht da...Port dicht..Client draussen..klar !
Einfache Switches haben das nicht. Da bleibt der Client solange drin bis der physische Linkstatus am Port auf down geht. Dann gibts logischerweise einen neuen Request und wenn dann keine Antwort komt...siehe oben !