Pro Curve - Port Authentifizierung
Hallo,
ich bin hier gerade dabei mit einem Pro Curve 2510 eine Authentifizierung einzelner Ethernetports einzurichten (hier nur Port 13).
Es gibt einmal die Möglichkeit, das Ganze MAC-Adressen basiert aufzubauen oder über 802.1x.
Ich habe das jeweils für beide Fälle einzeln konfiguriert. Soweit funktioniert alles nach Plan.
Ich hätte aber gerne beide Möglichkeiten gleichzeitig an einen Port. Beim Googeln ist mir diese Seite aufgefallen:
http://kb.juniper.net/InfoCenter/index?page=content&id=KB15062
Dort ist das Problem, allerdings nicht für meinen Switch, beschrieben.
Ich habe die ganzen Befehle, so wie sie da stehen abgetippt. Beim Befehl "aaa port-access mac-based 13" ging es nicht weiter. Ich musste, so wie es auch in der CLI stand, bei der 802.1x Authentifizierung den Befehl "no aaa port-access 13 authenticator unauth-vid" hinzufügen. Danach ging es weiter. Natürlich funktionierte das Ganze hinterher nicht.
Meine Frage: Funktioniert es deshalb nicht, weil der Switch das nicht kann? Oder funktioniert das generell nicht?
Falls es doch gehen sollte, kann mir mal jemand die Befehlsfolge posten?
ich bin hier gerade dabei mit einem Pro Curve 2510 eine Authentifizierung einzelner Ethernetports einzurichten (hier nur Port 13).
Es gibt einmal die Möglichkeit, das Ganze MAC-Adressen basiert aufzubauen oder über 802.1x.
Ich habe das jeweils für beide Fälle einzeln konfiguriert. Soweit funktioniert alles nach Plan.
Ich hätte aber gerne beide Möglichkeiten gleichzeitig an einen Port. Beim Googeln ist mir diese Seite aufgefallen:
http://kb.juniper.net/InfoCenter/index?page=content&id=KB15062
Dort ist das Problem, allerdings nicht für meinen Switch, beschrieben.
Ich habe die ganzen Befehle, so wie sie da stehen abgetippt. Beim Befehl "aaa port-access mac-based 13" ging es nicht weiter. Ich musste, so wie es auch in der CLI stand, bei der 802.1x Authentifizierung den Befehl "no aaa port-access 13 authenticator unauth-vid" hinzufügen. Danach ging es weiter. Natürlich funktionierte das Ganze hinterher nicht.
Meine Frage: Funktioniert es deshalb nicht, weil der Switch das nicht kann? Oder funktioniert das generell nicht?
Falls es doch gehen sollte, kann mir mal jemand die Befehlsfolge posten?
7 Antworten
- LÖSUNG aqui schreibt am 25.10.2011 um 08:19:14 Uhr
- LÖSUNG RalphT schreibt am 25.10.2011 um 08:50:56 Uhr
- LÖSUNG CaptainChaos schreibt am 25.10.2011 um 08:57:07 Uhr
- LÖSUNG RalphT schreibt am 25.10.2011 um 09:14:13 Uhr
- LÖSUNG aqui schreibt am 25.10.2011 um 12:51:26 Uhr
- LÖSUNG onkelbeh schreibt am 11.07.2012 um 11:37:43 Uhr
- LÖSUNG aqui schreibt am 18.07.2012 um 20:54:36 Uhr
- LÖSUNG onkelbeh schreibt am 11.07.2012 um 11:37:43 Uhr
- LÖSUNG aqui schreibt am 25.10.2011 um 12:51:26 Uhr
- LÖSUNG RalphT schreibt am 25.10.2011 um 09:14:13 Uhr
LÖSUNG 25.10.2011, aktualisiert 18.10.2012
Guckst du hier
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
Wenn der 2510 802.1x supportet kein Problem !!
Allerdings muss der Switch eine kombinierte Kopplung beider Verfahren supporten. Bei fast allen Premium Herstellern ist das der Fall. Ob Billigheimer HP das auch kann ist fraglich.
In der Regel kannst du mit einem Switchkommando bestimmen was zuerst kommen soll mac oder .1x oder umgedreht, oder der Radius Server schickt ein sog. Vendor specific Attribute mit und initiiert so die 2te zusätzlich Abfrage.
Sieh in dein Handbuch oder Datenblatt zum Switch, da steht obs geht bei HP oder nicht.
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
Wenn der 2510 802.1x supportet kein Problem !!
Allerdings muss der Switch eine kombinierte Kopplung beider Verfahren supporten. Bei fast allen Premium Herstellern ist das der Fall. Ob Billigheimer HP das auch kann ist fraglich.
In der Regel kannst du mit einem Switchkommando bestimmen was zuerst kommen soll mac oder .1x oder umgedreht, oder der Radius Server schickt ein sog. Vendor specific Attribute mit und initiiert so die 2te zusätzlich Abfrage.
Sieh in dein Handbuch oder Datenblatt zum Switch, da steht obs geht bei HP oder nicht.
LÖSUNG 25.10.2011 um 08:50 Uhr
LÖSUNG 25.10.2011 um 08:57 Uhr
LÖSUNG 25.10.2011 um 09:14 Uhr
Hmm,
also hier erst mal der Link wo ich diese Info her hatte:
http://wiki.freeradius.org/HP
Dort unter "Dual Authentication"
Ich habe ja schon für beide Arten das Ganze getestet. 802.1x und MAC-Based - funktioniert jedes für sich tadelos. Ich habe daraufhin die nachfolgende Befehlsreihenfolge in der CLI eingegeben:
aaa port-access authenticator 13
aaa port-access authenticator 13 quiet-period 30
aaa port-access authenticator 13 tx-period 2
aaa port-access authenticator 13 supplicant-timeout 2
aaa port-access authenticator 13 server-timeout 1
aaa port-access authenticator 13 max-requests 3
aaa port-access authenticator 13 client-limit 1
aaa port-access mac-based 13 >> Hier hatte er gemeckert. Man muss vorher folgendes eintippen: no aaa port-access authenticator unauth-vid
aaa port-access mac-based 13 logoff-period 862400
aaa port-access mac-based 13 quiet-period 30
aaa port-access mac-based 13 server-timeout 10
aaa port-access mac-based 13 reauth-period 600
aaa port-access mac-based 13 unauth-vid 10
aaa port-access 13
aaa port-access authenticator active
also hier erst mal der Link wo ich diese Info her hatte:
http://wiki.freeradius.org/HP
Dort unter "Dual Authentication"
Ich habe ja schon für beide Arten das Ganze getestet. 802.1x und MAC-Based - funktioniert jedes für sich tadelos. Ich habe daraufhin die nachfolgende Befehlsreihenfolge in der CLI eingegeben:
aaa port-access authenticator 13
aaa port-access authenticator 13 quiet-period 30
aaa port-access authenticator 13 tx-period 2
aaa port-access authenticator 13 supplicant-timeout 2
aaa port-access authenticator 13 server-timeout 1
aaa port-access authenticator 13 max-requests 3
aaa port-access authenticator 13 client-limit 1
aaa port-access mac-based 13 >> Hier hatte er gemeckert. Man muss vorher folgendes eintippen: no aaa port-access authenticator unauth-vid
aaa port-access mac-based 13 logoff-period 862400
aaa port-access mac-based 13 quiet-period 30
aaa port-access mac-based 13 server-timeout 10
aaa port-access mac-based 13 reauth-period 600
aaa port-access mac-based 13 unauth-vid 10
aaa port-access 13
aaa port-access authenticator active
LÖSUNG 25.10.2011 um 12:51 Uhr
@CapatainChaos
Wer lesen kann.... !!
Es geht ihm um eine duale Port Authentisierung also das er BEIDES gleichzeitig auf dem Port macht !
Z.B. jemand verbindet sich an den Port der keinen 802.1x Account hat und der soll dann wenigstens mit der Mac Authentisiert werden und das nacheinander. Oder eben auch umgekehrt, das man zur Mac Authentisierung auch noch zusätzlich eine 802.1x Auth macht.
Genau DAS kann der ProCurve Billigswitch nicht !
Wer lesen kann.... !!
Es geht ihm um eine duale Port Authentisierung also das er BEIDES gleichzeitig auf dem Port macht !
Z.B. jemand verbindet sich an den Port der keinen 802.1x Account hat und der soll dann wenigstens mit der Mac Authentisiert werden und das nacheinander. Oder eben auch umgekehrt, das man zur Mac Authentisierung auch noch zusätzlich eine 802.1x Auth macht.
Genau DAS kann der ProCurve Billigswitch nicht !
LÖSUNG 11.07.2012, aktualisiert um 11:40 Uhr
Klar kann ein ProCurve 2510G-xx das, ich hab das auf einigen am laufen, FW Y.11.35:
So z.B. für Port 10:
aaa port-access authenticator 10
aaa port-access authenticator 10 quiet-period 15
aaa port-access authenticator 10 server-timeout 10
aaa port-access authenticator 10 logoff-period 862400
aaa port-access authenticator 10 client-limit 1
aaa port-access mac-based 10
aaa port-access mac-based 10 logoff-period 862400
aaa port-access mac-based 10 quiet-period 15
aaa port-access mac-based 10 unauth-vid 666
aaa port-access 10 controlled-direction in
Schwerer ist das am Radius aufzusetzen.
Nachdem die .1X Auth gescheitert ist, wird versucht anhand der Mac zu authentifizieren, erst wenn auch das scheitert, fliegt der Client in VLAN666.
Für die Mac-Auth muss am Radius CHAP funktionieren, Mac-Adresse als Username & Passwort!
So z.B. für Port 10:
aaa port-access authenticator 10
aaa port-access authenticator 10 quiet-period 15
aaa port-access authenticator 10 server-timeout 10
aaa port-access authenticator 10 logoff-period 862400
aaa port-access authenticator 10 client-limit 1
aaa port-access mac-based 10
aaa port-access mac-based 10 logoff-period 862400
aaa port-access mac-based 10 quiet-period 15
aaa port-access mac-based 10 unauth-vid 666
aaa port-access 10 controlled-direction in
Schwerer ist das am Radius aufzusetzen.
Nachdem die .1X Auth gescheitert ist, wird versucht anhand der Mac zu authentifizieren, erst wenn auch das scheitert, fliegt der Client in VLAN666.
Für die Mac-Auth muss am Radius CHAP funktionieren, Mac-Adresse als Username & Passwort!
LÖSUNG 18.07.2012, aktualisiert um 20:54 Uhr
Und wie man das genau am Radius einrichtet damit beides problemlos funktioniert kann man hier nachlesen:
https://www.administrator.de/contentid/154402
https://www.administrator.de/contentid/154402