Verständnisfrage - 802.1x Switche kaskardieren - wie Ports einstellen?
Guten Abend euch Allen,
Folgendes Szenario:
Hintereinander hängen drei Switche (über 3 Stockwerke), an jedem Switch hängen Endgeräte (Clients und Drucker), am 1. Switch auch (RADIUS-)Server und zwei Access Points (OpenWRT).
Ich möchte jetzt NAC mit 802.1x realisieren, bevorzugt mit Benutzernamen/Passwort-Authentifizierung gegen FreeRadius. Einen 802.1x-fähigen Switch von LevelOne habe ich, die zwei anderen muss ich noch beschaffen. Bisher tendiere ich zu den neuen SF 300- oder SG 300-Geräten von Cisco.
Allerdings stehe ich jetzt vor dem ersten Problem: muss ich die Ports zwischen den Switches pauschal freigeben oder wandert ein EAPol-Frame ungehindert vom 3. Switch zum 1. Switch und schaltet auf dem Rückweg die Ports auf allen drei Switches frei?
Vielen Dank für eure Erfahrung
Folgendes Szenario:
Hintereinander hängen drei Switche (über 3 Stockwerke), an jedem Switch hängen Endgeräte (Clients und Drucker), am 1. Switch auch (RADIUS-)Server und zwei Access Points (OpenWRT).
Ich möchte jetzt NAC mit 802.1x realisieren, bevorzugt mit Benutzernamen/Passwort-Authentifizierung gegen FreeRadius. Einen 802.1x-fähigen Switch von LevelOne habe ich, die zwei anderen muss ich noch beschaffen. Bisher tendiere ich zu den neuen SF 300- oder SG 300-Geräten von Cisco.
Allerdings stehe ich jetzt vor dem ersten Problem: muss ich die Ports zwischen den Switches pauschal freigeben oder wandert ein EAPol-Frame ungehindert vom 3. Switch zum 1. Switch und schaltet auf dem Rückweg die Ports auf allen drei Switches frei?
Vielen Dank für eure Erfahrung
Please also mark the comments that contributed to the solution of the article
Content-Key: 174885
Url: https://administrator.de/contentid/174885
Printed on: April 26, 2024 at 08:04 o'clock
3 Comments
Latest comment
Wenn du mit den Ports zwischen den Switches die Uplink Ports meinst die die Switches untereinander verbinden dann machst du auf diesen (und nur auf diesen Ports) kein .1x. Diese Ports werden in den tagged Mode gesetzt um alle VLANs transparent zu übertragen wie Kollege dog schon richtig bemerkt hat.
.1x aktivierst du nur auf den Access Ports wo die Endgeräte dran sind.
EAPoL Pakete laufen so oder so nicht über die Switch Infrastruktur, das ist Unsinn ! Die werden nur zw. Client und dem Switchport wo er angeschlossen ist ausgetauscht. Wenn, dann laufen Radius Pakete über die Switches und das ist dann wieder simples TCP bzw. UDP.
Alles weitere sagt dir dieses Tutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
.1x aktivierst du nur auf den Access Ports wo die Endgeräte dran sind.
EAPoL Pakete laufen so oder so nicht über die Switch Infrastruktur, das ist Unsinn ! Die werden nur zw. Client und dem Switchport wo er angeschlossen ist ausgetauscht. Wenn, dann laufen Radius Pakete über die Switches und das ist dann wieder simples TCP bzw. UDP.
Alles weitere sagt dir dieses Tutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch