5
PacketFence NAC VLAN-Zuweisung Restriktiv auf Ports
Hallo liebe Administratoren,
wir betreuen einige größere Netzwerke mit Aruba/HP Layer 3 Switches. Dabei fassen wir bei größeren Räumen das Netzwerk immer zu einem VLAN zusammen, was wir dann Raumnetze nennen. Diese VLANs routen wir dann auf das zentrale Netzwerk. Wenn Loops gesteckt werden, bleiben diese auf dem Switch und auch Broadcasts werden nicht im gesamten Netz verteilt. Das ist zumindest der Stand der Dinge. Jetzt kommt der Kunde auf uns zu und möchte ein Network Access Control (NAC) implementiert haben. Wir sind gerade dabei die Funktionalitäten zu prüfen und haben uns auf PacketFence beschränkt. Natürlich würde auch Aruba Clearpass oder etwas ähnliches von Aruba gehen, da ja auch Aruba APs zum Einsatz kommen, aber da sind wir uns noch nicht so sicher. (Falls jemand eine bessere Lösung für die folgende Frage hat, bitte Vorschläge nennen. Wir sind für alles offen)
Laut Netzbrief in Baden-Württemberg ist der Zugriff auf bestimmte Netze in geschlossenen Räumen erlaubt. Egal ob die Authentifizierung von Benutzern oder Geräten durchgeführt wird, wir brauchen die Restrektion auf bestimmte Räume, also verschiedene Ports aus diesen Räumen sollen auch nur auf bestimmte VLANs zugreifen. Wie im Beispiel:
Alle Geräte haben VLAN A
Gerätegruppe 1 (wenn wir über MAC autorisieren) hat VLAN B
Raum A darf jeder und dort soll VLAN A verteilt werden, egal ob ein Gerät der Gerätegruppe 1 dort sitzt. VLAN B wird dort nicht verteilt.
In Raum B dürfen nicht alle Geräte rein, aber dort dürfen die Geräte 1 auch auf VLAN B zugreifen und per Routing auf VLAN A.
---
Ist das mit NAC bzw. der Lösung über PacketFence möglich? Wie würde so etwas aussehen? Mit PacketFence haben wir leider noch keine Erfahrung.
wir betreuen einige größere Netzwerke mit Aruba/HP Layer 3 Switches. Dabei fassen wir bei größeren Räumen das Netzwerk immer zu einem VLAN zusammen, was wir dann Raumnetze nennen. Diese VLANs routen wir dann auf das zentrale Netzwerk. Wenn Loops gesteckt werden, bleiben diese auf dem Switch und auch Broadcasts werden nicht im gesamten Netz verteilt. Das ist zumindest der Stand der Dinge. Jetzt kommt der Kunde auf uns zu und möchte ein Network Access Control (NAC) implementiert haben. Wir sind gerade dabei die Funktionalitäten zu prüfen und haben uns auf PacketFence beschränkt. Natürlich würde auch Aruba Clearpass oder etwas ähnliches von Aruba gehen, da ja auch Aruba APs zum Einsatz kommen, aber da sind wir uns noch nicht so sicher. (Falls jemand eine bessere Lösung für die folgende Frage hat, bitte Vorschläge nennen. Wir sind für alles offen)
Laut Netzbrief in Baden-Württemberg ist der Zugriff auf bestimmte Netze in geschlossenen Räumen erlaubt. Egal ob die Authentifizierung von Benutzern oder Geräten durchgeführt wird, wir brauchen die Restrektion auf bestimmte Räume, also verschiedene Ports aus diesen Räumen sollen auch nur auf bestimmte VLANs zugreifen. Wie im Beispiel:
Alle Geräte haben VLAN A
Gerätegruppe 1 (wenn wir über MAC autorisieren) hat VLAN B
Raum A darf jeder und dort soll VLAN A verteilt werden, egal ob ein Gerät der Gerätegruppe 1 dort sitzt. VLAN B wird dort nicht verteilt.
In Raum B dürfen nicht alle Geräte rein, aber dort dürfen die Geräte 1 auch auf VLAN B zugreifen und per Routing auf VLAN A.
---
Ist das mit NAC bzw. der Lösung über PacketFence möglich? Wie würde so etwas aussehen? Mit PacketFence haben wir leider noch keine Erfahrung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6377236291
Url: https://administrator.de/contentid/6377236291
Printed on: May 5, 2024 at 07:05 o'clock
5 Comments
Latest comment
Packetfence taugt schon, damit bekommst alles abgedeckt. Kannst dir mal macmon noch anschauen.
Packetfenc mach vereinfacht gesagt nur eine Überprüfung WER ins Netzwerk darf und WER in welches VLAN muss.
Sozusagen 802.1x mit VLAN Zuweisung anhand von vorher definierten Gruppen.
Packetfence arbeitet soweit ich das in Erinnerung habe eigentlich lediglich auf Layer 2 bzw. sorgt dafür das ein bestimmter PC an einem Switchport in ein best. VLAN kommt oder eben garnicht weil der PC nicht erlaubt ist.
Was das Zugreifen von VLAN A nach VLAN B und VLAN B Keinen Zugriff auf VLAN A angeht so wirst du das nicht mit Packetfence lösen können.
Hier müsstes du entweder ACL´s auf den Switchen oder direkt auf dem Core anlagen welche eben den Zugriff gestatten oder Verhindern. Je nach dem wie Granular du das ganze brauchst kann man die Geschichte auf einer Firewall ab frühstücken.
Sozusagen 802.1x mit VLAN Zuweisung anhand von vorher definierten Gruppen.
Packetfence arbeitet soweit ich das in Erinnerung habe eigentlich lediglich auf Layer 2 bzw. sorgt dafür das ein bestimmter PC an einem Switchport in ein best. VLAN kommt oder eben garnicht weil der PC nicht erlaubt ist.
Was das Zugreifen von VLAN A nach VLAN B und VLAN B Keinen Zugriff auf VLAN A angeht so wirst du das nicht mit Packetfence lösen können.
Hier müsstes du entweder ACL´s auf den Switchen oder direkt auf dem Core anlagen welche eben den Zugriff gestatten oder Verhindern. Je nach dem wie Granular du das ganze brauchst kann man die Geschichte auf einer Firewall ab frühstücken.
...einige größere Netzwerke
"Groß" ist wie alles im IT Leben ja immer relativ, sagt also nix?!Fast alle Switches die NAC mit 802.1x bzw. Mac Bypass supporten was ja, wie oben schon gesagt letzendlich das Infrastruktur basierte NAC ist, können aber nicht nur dynamisch VLANs zuweisen sondern dazu auch immer Accesslisten. Die kann man dann entweder auf dem Radius userbezogen definieren oder statisch auf dem Switch und dann per Radius nur die ID zuweisen.
So ist es in jedem Falle auch möglich einem NAC Client dynamisch außer dem VLAN auch immer eine Client spezifische ACL zuzuweisen und damit festzulegen welche Netze dieser Client erreichen darf und welche nicht. Soviel dazu...
Allerdings ist die obige Beschreibung etwas wirr und verschwurbelt. Man versteht auch nach 3maligem Lesen nicht wirklich wer unter welchen (Raum) Bedingen wo reindarf.
Die vom TO umgesetzte Client Authentisierung kann immer nur nach 3 Kriterien oder einer Kombination aus zweien erfolgen:
- Mac Adresse
- 802.1x User/Pass Credentials
- Client Zerifikate
@aqui & @Mr-Gustav Danke für eure Beiträge.
Vielleicht nochmal an einem Beispiel erklärt:
Es gibt Verwaltungen aber auch Mitarbeiter. Diese sitzen an ihren zugewiesenen Arbeitsplätzen. Ein Verwaltungsmitglied ist aber gleichzeitig auch Mitarbeiter was ihm erlaubt an anderen Plätzen im Gebäude zu sitzen. Dort soll er aber aus Rechtlichen Gründen kein VLAN für die Verwaltung bzw. Zugriff auf dieses erhalten.
ACLs sind gut und schön aber zumindest bei Aruba geht das nur VLAN basierend. Cisco habe ich gesehen geht auch Port basiert. Wie sieht der Switch dann konfiguriert mit Packetfence aus? Sind dann die NAC Ports mit einem NAC VLAN versehen oder werden die VLANs dynamisch auf den Port zugewiesen? Natürlich könnte man sagen ein Switch ist nur für die Verwaltung da und auf diesem ist dann auch nur das VLAN konfiguriert und auf den anderen fehlt das VW VLAN. Aber leider kann man das nicht so genau sagen. Kann man einen mit Packetfence konfigurierten Switch auch normal mit VLANs noch konfigurieren?
@mininik Ich habe mir macmon mal angeschaut. Ich sehe aber erstmal kein großen Vorteil. Packetfence selbst habe ich aber auch noch nicht gesehen. Ich werde es mal im Hinterkopf behalten (>5000€ vs kostenlos ist halt auch ein argument. Da muss es schon was bieten)
Vielleicht nochmal an einem Beispiel erklärt:
Es gibt Verwaltungen aber auch Mitarbeiter. Diese sitzen an ihren zugewiesenen Arbeitsplätzen. Ein Verwaltungsmitglied ist aber gleichzeitig auch Mitarbeiter was ihm erlaubt an anderen Plätzen im Gebäude zu sitzen. Dort soll er aber aus Rechtlichen Gründen kein VLAN für die Verwaltung bzw. Zugriff auf dieses erhalten.
ACLs sind gut und schön aber zumindest bei Aruba geht das nur VLAN basierend. Cisco habe ich gesehen geht auch Port basiert. Wie sieht der Switch dann konfiguriert mit Packetfence aus? Sind dann die NAC Ports mit einem NAC VLAN versehen oder werden die VLANs dynamisch auf den Port zugewiesen? Natürlich könnte man sagen ein Switch ist nur für die Verwaltung da und auf diesem ist dann auch nur das VLAN konfiguriert und auf den anderen fehlt das VW VLAN. Aber leider kann man das nicht so genau sagen. Kann man einen mit Packetfence konfigurierten Switch auch normal mit VLANs noch konfigurieren?
@mininik Ich habe mir macmon mal angeschaut. Ich sehe aber erstmal kein großen Vorteil. Packetfence selbst habe ich aber auch noch nicht gesehen. Ich werde es mal im Hinterkopf behalten (>5000€ vs kostenlos ist halt auch ein argument. Da muss es schon was bieten)
ACLs sind gut und schön aber zumindest bei Aruba geht das nur VLAN basierend.
Das wäre, auch wenn es HP Gruselhardware ist, zumindestens bei den Premium Modellen schwer zu glauben. Ohne dynamische Zuweisung von ACLs pro Usern wirst du deine Anforderungen schwerlich lösen können. HP hat bekanntlich ein mickriges Featureset was das anbelangt aber eigentlich sollten sie das auch können, denn im Business Bereich sind solche Anforderungen bekanntlich gang und gäbe.Denn wie willst du das umsetzen wenn Mitarbeiter je nachdem an welchen Switch die sich anstöpseln unterschiedliche Access Bedingungen haben sollen?
Sprich ein Verwaltungsmitarbeiter hat an seinem "Arbeitsplatz Switch" andere Access Regeln als an Switches in anderen Bereichen. Das geht dann über das NAC (Radius) nur so das du ihm per Switch ein separates Regelwerk zuweist. Die ACL muss Nutzer bezogen dynamisch zugewiesen werden, nicht statisch pro VLAN oder pro Port. Letzteres so oder so nicht wenn du ein NAC etablierst, denn das würde eine NAC Lösung in Gänze ad absurdum führen.
Sollten die Switches das nicht können wäre das für dich fatal und dann die falsche HW für dich was deine ganze Realisierung gefährdet. Diesen Punkt solltest du also wasserdicht vorher klären. In dem Falle wäre dann ggf. ein anderer Hersteller die bessere Wahl. Z.B. Cisco oder Ruckus ICX Switches u.a. supporten sowas problemlos.
Kann man einen mit Packetfence konfigurierten Switch auch normal mit VLANs noch konfigurieren?
Das geht immer, aber du hast vermutlich die Funktion missverstanden. Auch ein noch so gut konfiguriertes Packetfence wird ja niemals ein fehlendes Hardware Feature im Switch ersetzen können was für dein Setup zwingend ist. Auch z.B. Macmon setzt über dieses Feature User bezogene Access Profile pro Gerät um.Packetfence selbst habe ich aber auch noch nicht gesehen.
Warum nicht?? Das ist ja nun wirklich ein Leichtes! Es liegt als fertiges ISO und sogar als fertige OVF VM vor die in 10 Miniuten in jedem gängigen Hypervisor (Proxmox etc.) oder ganz einfach in Virtual Box u.a. fix und fertig online ist.Dann nimmst du dir einen beliebigen Switch aus der Bastelschublade der 802.1x und MBP Support hat und hast in 20 Minuten ein lauffähiges Setup mit dem du alles Live austesten kannst. Wo ist dein wirkliches Problem?!
