mad-eye
Goto Top

Switchauswahl für 802.1x multiple untagged

Hallo Zusammen,

wir sind zur Zeit bei einer neuauswahl unserer Switche für den Access-Layer (48x1G PoE, min 2x10G IGMP-Snooping etc.). So weit eigentlich nichts besonderes, allerdings benötigen wir ein spezielles Feature welches leider selten genau dokumentiert ist und ich bisher nur bei zwei Herstellern genau so dokumentiert finde (Dell, Commscope/Ruckus).

Und zwar wäre es folgendes Szenario:
8021x

Hinter dem Access-Switch kann es Vorkommen das noch ein unmanaged switch existiert. Diesen können pber 802.1x mehrere VLANs zugewiesen werden und laufen dann auf dem Accessswitch in unterschiedlichen dot1x-mac-sessions.

Bei Cisco z.B. finde ich in den Dokus zum Beispiel sowas "After a VLAN is assigned to a host on the port, subsequent hosts must have matching VLAN information or be denied access to the port."
Also nur das selbe VLAN bei mehreren Sessions.

Da Dell die kleineren Produktlinien eingestampft hat und Ruckus eigentlich Garnichts mehr ausliefert (haben schon bei zwei Lieferanten eine Bestellung ausgelöst und der Liefertermin verschiebt sich nur seit bald einem Jahr) wollte ich mal Fragen ob jemand 802.1x in dieser Konstellation einsetzt und welche Hardware hierzu benutzt/empfohlen werden könnte?

Für unsere normalen Lieferanten ist diese Frage wohl zu viel da die spätestens nach den "Standardanforderungen" abschalten und stumpf anbieten was die so da haben.

Vielen Dank euch,
Mad-Eye

Content-ID: 52905446209

Url: https://administrator.de/contentid/52905446209

Ausgedruckt am: 24.11.2024 um 12:11 Uhr

7907292512
7907292512 30.08.2023 aktualisiert um 17:20:36 Uhr
Goto Top
Moin.

Können die meisten besseren managbaren Switches, von Cisco über HP oder auch Mikrotik bieten dir das ... Eingabe des obigen Stichworts in die Doku der Geräte sollte reichen.

An deiner Stelle würde ich aber den Blöd-Switch in die Tonne kloppen und was vernünftiges hin setzen (gibt es von Mikrotik auch sehr billig, da lohnt ein Blödswitch ehrlich gesagt nicht) und dann einen Trunk auf die Leitung legen.

Gruß sid
Xaero1982
Xaero1982 30.08.2023 um 18:16:55 Uhr
Goto Top
Moin,

welche Ruckus suchst du genau? Genaue Bezeichnung.

Grüße
aqui
Lösung aqui 31.08.2023 um 10:04:18 Uhr
Goto Top
Ja, ist mit Ruckus vielfach hier im Einsatz und eine übliche Standardanforderung wenn kaskadierte unmanaged Switches am 802.1x Access hängen.
Das was du da ansprichst ist der 802.1x "Multi Host Mode" am Port. Cisco Catalysten supporten sowas natürlich auch. Guckst du hier:
https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/Trus ...
Kollege @7907292512 hat es oben schon gesagt.
Ruckus eigentlich Garnichts mehr ausliefert
Sehr wahrscheinlich hast du das falsche Modell angefragt. Kollege @Xaero1982 hat es schon gesagt.
Die aktuellen ICX8200 Access Switches sind wenn man über einen registrierten Ruckus Partner ordert sofort lieferbar.
7162888311
7162888311 31.08.2023 aktualisiert um 10:56:30 Uhr
Goto Top
Guten Tag,

hätte evlt. noch was von LANCOM, ich bin der Meinung das die Switches IGMP-Snooping beherschen:

Dynamic VLAN assignment
LANCOM Whitepaper – Switch Security mit IEEE 802.1X

Bspw der GS-3510XP:

LANCOM GS-3510XP Datenblatt
"IGMP Querier Unterstützung von Multicast-Domänen aus Switchen mit IGMP Snooping ohne Multicast-fähigen Router" (Seite 5)

Das meiste gibts in Deutsch und auch in Englisch
aqui
aqui 31.08.2023 aktualisiert um 11:37:21 Uhr
Goto Top
das die Switches IGMP-Snooping beherschen:
Hat aber mit dem eigentlichen Thread Thema hier gar nichts zu tun?! 🤔
Außerdem behandelt das o.a. Whitepaper dynamische VLANs im WLAN. Beim TO oben geht es aber primär um Kupferports, wo Lancom es (vermutlich) mit seinem eingeschränkten Featureset nicht supportet?!
Lancom Switches sind einfache OEM Barebone Ware von Accton/Taiwan wo Lancom nur seinen Namen raufbäppelt. Im Switchbereich entwickelt Lancom bekanntlich nichts selber. Entsprechend eingeschränkt sind Features und Support. face-sad
7162888311
7162888311 31.08.2023 um 13:17:32 Uhr
Goto Top
Zitat von @aqui:

das die Switches IGMP-Snooping beherschen:
Hat aber mit dem eigentlichen Thread Thema hier gar nichts zu tun?! 🤔
Außerdem behandelt das o.a. Whitepaper dynamische VLANs im WLAN. Beim TO oben geht es aber primär um Kupferports, wo Lancom es (vermutlich) mit seinem eingeschränkten Featureset nicht supportet?!
Lancom Switches sind einfache OEM Barebone Ware von Accton/Taiwan wo Lancom nur seinen Namen raufbäppelt. Im Switchbereich entwickelt Lancom bekanntlich nichts selber. Entsprechend eingeschränkt sind Features und Support. face-sad

Dann habe ich vermutlich das Szenario nicht ganz verstanden. Geht es hier um Dynamisches VLAN anhand von MAC-Adressen UND 802.1Q-in-Q VLAN? Falls ja wäre das möglich. Ansonsten bin ich offen für Erklärungen.

Finde die Features von LANCOM eigentlich in Ordnung gibt zwar an manchen Sachen makel aber was ist denn eingeschränkt?

Support bekommt man, kann bloß nich viel dazu sagen da ich Platin Status bei LANCOM habe und dementsprechend Support innerhalb von 4 Stunden bekomme.
aqui
aqui 31.08.2023 aktualisiert um 15:52:25 Uhr
Goto Top
Geht es hier um Dynamisches VLAN anhand von MAC-Adressen UND 802.1Q-in-Q VLAN?
Nein! Wie die Thread Überschrift schon eindeutig sagt geht es außschliesslich um 802.1x Port Authentication speziell im Multi Host Mode!
Wer lesen kann... 😉
Xaero1982
Xaero1982 31.08.2023 um 19:08:43 Uhr
Goto Top
Zitat von @aqui:

Geht es hier um Dynamisches VLAN anhand von MAC-Adressen UND 802.1Q-in-Q VLAN?
Nein! Wie die Thread Überschrift schon eindeutig sagt geht es außschliesslich um 802.1x Port Authentication speziell im Multi Host Mode!
Wer lesen kann... 😉

Blöde Frage, aber wenn ich an einen Ruckus einen unmanaged Switch anschließe und an dem Port vom Ruckus ist 802.1x aktiv und ich klemme einen Client an den unmanaged Switch, dann wird das zum Radius geleitet? Der Port bekommt sein VLAN und reicht das dann aber an den unmanaged Switch? d.h. das dann alle Ports z.B. mit VLAN 10 getagged werden? Sofern der unmanaged das supported?

Grüße
aqui
Lösung aqui 31.08.2023, aktualisiert am 01.09.2023 um 09:57:53 Uhr
Goto Top
Gibts ja, nicht nur blöde Antworten... 😉
klemme einen Client an den unmanaged Switch, dann wird das zum Radius geleitet?
Ja, wenn der Client den .1x Service aktiv hat spricht er ja EAPoL was der unmanaged Switch weiterleitet an den .1x Port weiterleitet.
Der Port bekommt sein VLAN und reicht das dann aber an den unmanaged Switch?
Nein, das kann ja schon aus dem Grund gar nicht funktionieren weil ein un managed Switch solche Funktion gar nicht hat. Und auch an welche IP Adresse sollte der Radius die VLAN Information senden wenn es die gar nicht gibt? Logisch das es so nicht klappen kann.
Den Radius Request initiiert ja der (Ruckus) Switch mit seiner Management IP, also sendet der Radius Server auch an diesen seine Antwort.
d.h. das dann alle Ports z.B. mit VLAN 10 getagged werden?
Jein!
Es gibt 2 Modi:
  • Du konfigurierst authentication auth-mode multiple-untagged an dem Port, dann passiert das was der TO oben erreichen will: Der Switch weist jeder Mac Adresse die dort am Port über den unmanaged Switch reinkommt intern eine VLAN ID und forwardet den Frame dann individuell in das vom Radius bestimmte VLAN zu dieser Mac. Quasi ein Mac based VLAN.
  • Bei einem Single-untagged Port öffnet die erste Mac die den Switch an dem Port erreicht diesen mit dem dazu im Radius konfigurierten VLAN und alle anderen Geräte, auch solche ohne .1x, können passieren.

Bei Ruckus gibt es zudem noch eine interessante Sonderlocke...
Du kannst im Radius mit z.B. "T:10" auch mitgeben das dieser Port für das VLAN 10 getaggt werden soll. "U:" dann untagged. Das kann auch mit "T:10,20,30" oder "T:10-15" eine VLAN Range sein.
Daraus ergibt sich eine pfiffige Option mit dynamischen VLANs und z.B. der Absicherung von AP LAN Ports die öffentlich zugänglich sind.
Man kann so die Management IP bzw. deren Mac oder .1x Client des APs im Radius definieren der dann z.B. mit "U:10, T:10,20,30" den LAN Port mit untagged 10 (Management WLAN) und den VLANs 10, 20 und 30 tagged als MSSID VLANs öffnet.
Alternativ erlaubt Ruckus statt der VLAN IDs auch die VLAN Namen.
Siehe Ruckus Security Guide Seite 188 ff. Kapitel Flexible Authentication.
Mad-Eye
Mad-Eye 01.09.2023 um 08:48:29 Uhr
Goto Top
Hallo zusammen,

danke euch schon mal für die vielen Rückmeldungen, entschuldigt bitte die späte Rückmeldung, ich war gestern nicht mehr auf Arbeit.


Zitat von @Xaero1982:

Moin,

welche Ruckus suchst du genau? Genaue Bezeichnung.

Grüße

Im Speziellen haben wir die ICX7150-24P-4X1G und ICX7150-48P-4X10G angefragt.


Zitat von @aqui:

  • Du konfigurierst authentication auth-mode multiple-untagged an dem Port, dann passiert das was der TO oben erreichen will: Der Switch weist jeder Mac Adresse die dort am Port über den unmanaged Switch reinkommt intern eine VLAN ID und forwardet den Frame dann individuell in das vom Radius bestimmte VLAN zu dieser Mac. Quasi ein Mac based VLAN.

Genau das ist was wir aktuell vorhaben.

Ich werde mir mal die 8200er Serie genau anschauen, bei den 7150 war auch vor allem noch das "Zuckerle" dabei bei wenig abgerufener PoE-Leistung den Fanless Mode zu aktivieren.

Danke schonmal,
Mad-Eye
aqui
aqui 01.09.2023 um 09:56:06 Uhr
Goto Top
Mit den 8200 gehen die 7150er demnächst in EoS. Da die 8200er die neuen Access Switches sind solltest du immer diese anfragen und keine 7150er mehr! 😉
Die 8200er sind auch problemlos lieferbar.
Xaero1982
Xaero1982 01.09.2023 um 15:22:41 Uhr
Goto Top
Allerdings sind die 8200 erheblich teurer!
Xaero1982
Xaero1982 01.09.2023 um 15:25:05 Uhr
Goto Top
Zitat von @Mad-Eye:

Hallo zusammen,

danke euch schon mal für die vielen Rückmeldungen, entschuldigt bitte die späte Rückmeldung, ich war gestern nicht mehr auf Arbeit.


Zitat von @Xaero1982:

Moin,

welche Ruckus suchst du genau? Genaue Bezeichnung.

Grüße

Im Speziellen haben wir die ICX7150-24P-4X1G und ICX7150-48P-4X10G angefragt.

Mein Händler hat beide im Bestand. Den 48p aber aktuell nur 2 Stück.

PS Du kannst die 4x1G nicht stacken und haben meines Wissens nach dann auch kein L3.
aqui
aqui 01.09.2023 aktualisiert um 18:08:30 Uhr
Goto Top
Stacking geht doch so oder so immer nur über 10G Interfaces (nicht nur bei Ruckus) und nie über 1G was ja auch irgendwie Sinn macht.
Die ICX 7150 sind ja aber alle über Portlizenzen immer auf 10G erweiterbar. Physisch können die Ports ja alle auch 10G. Dann beschafft er sich gleich ne 2er 10G Port Lizenz dazu von deinem Händler und gut iss. Kostet ja nicht die Welt und dann klappts auch mit dem Stacking. face-wink
L3 können alle ICX immer kostenfrei über das Trust Based Licensing was ab der Firmware 8.08.80 eingeführt wurde. Base L3 ist immer kostenfrei.

Ansonsten wenn dein Händler noch 2mal 7150er hat soll er da schnell zuschlagen!! 😉
Xaero1982
Xaero1982 01.09.2023 um 18:31:23 Uhr
Goto Top
Wollte es nur anmerken, dass der 2x1G das nicht kann face-smile
Aber selbst die Lizenzen haben die Händler offenbar nicht immer alle verfügbar...

Ach da hab ich das mit dem L3 missverstanden. Las sich so raus.

2x vom 48er. Beim 24er steht kein genauer Bestand da. Müsste ich anfragen face-smile
aqui
aqui 01.09.2023, aktualisiert am 02.09.2023 um 17:43:44 Uhr
Goto Top
Die Lizenzen sind immer verfügbar ohne Verzögerung, denn die können die Distributoren wie z.B. die KOMSA usw. selber generieren. Das geht ja alles elektronisch per Email. face-wink
Xaero1982
Xaero1982 02.09.2023 um 14:26:25 Uhr
Goto Top
Zitat von @aqui:

Die Lizenzen sind immer verfügbar ohne Verzögerung, denn die können die Distributoren wie die KOMSA usw. selber generieren. Das geht ja alles elektronisch per Email. face-wink

Gut zu wissen. Bei allnet werden die immer als nicht verfügbar gelistet. Werde mich dann auch mal KOMSA anmelden bei Gelegenheit face-smile