10
Vlan Mac basierend bei Procurve Switches
Ich bin Neuling bei Vlans und hätte dabei einige Fragen
Ich habe einen Procurve 2524 Switch und habe derzeit keinen Plan wie ich ein Mac-Addressen basierendes Vlan aufbaue.
Muss ich dabei Listen oder Datenbanken auf den Switch übertragen oder kann ich alles im CLI Arbeitsbereich einstellen und vor allen wie
würde mich freuen wenn mir wer Weiterhelfen könnte
Ich habe einen Procurve 2524 Switch und habe derzeit keinen Plan wie ich ein Mac-Addressen basierendes Vlan aufbaue.
Muss ich dabei Listen oder Datenbanken auf den Switch übertragen oder kann ich alles im CLI Arbeitsbereich einstellen und vor allen wie
würde mich freuen wenn mir wer Weiterhelfen könnte
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 51659
Url: https://administrator.de/contentid/51659
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
10 Kommentare
Neuester Kommentar
Nein das muss man nicht und das wäre ja auch ein etwas krankes Konzept.
Was man macht ist die MAC Adressen auf einem Radius Server wie z.B. MS IAS oder Freeradius zu hinderlegen. Mit der MAC Adresse übergibst du dann als Radius Parameter das VLAN in das dieser Client soll.
Von der Funktion ist das recht einfach. Der Switch sieht sich das allererste Packet an das vom Client an den geblockten Switchport kommt. Dann erzeugt er einen Radius Request um die MAC Adresse zu authentifizieren. Der Radius antwortet und gibt gleich das VLAN mit zu der diese MAC Adresse gehört und der Switch ordnet dann dynamisch dieses VLAN zu und übernimmt die Adresse in seine CAM Tabelle.
Wenn die MAC Adresse unbekannt ist gibt es 2 Möglichkeiten:
1.) Der Switch lässt den Zugriff nicht zu und blockt den Port !
2.) Der Switch schickt dieses Endgerät in eine gesichertes "Quarantäne VLAN".
Eine Freeradius Konfig sieht z.B. so aus:
Was man macht ist die MAC Adressen auf einem Radius Server wie z.B. MS IAS oder Freeradius zu hinderlegen. Mit der MAC Adresse übergibst du dann als Radius Parameter das VLAN in das dieser Client soll.
Von der Funktion ist das recht einfach. Der Switch sieht sich das allererste Packet an das vom Client an den geblockten Switchport kommt. Dann erzeugt er einen Radius Request um die MAC Adresse zu authentifizieren. Der Radius antwortet und gibt gleich das VLAN mit zu der diese MAC Adresse gehört und der Switch ordnet dann dynamisch dieses VLAN zu und übernimmt die Adresse in seine CAM Tabelle.
Wenn die MAC Adresse unbekannt ist gibt es 2 Möglichkeiten:
1.) Der Switch lässt den Zugriff nicht zu und blockt den Port !
2.) Der Switch schickt dieses Endgerät in eine gesichertes "Quarantäne VLAN".
Eine Freeradius Konfig sieht z.B. so aus:
000c0e812e33 Service-Type == Framed-User, User-Password == "000c0e812e33"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 7 (-> Das ist die VLAN ID die übergeben wird !)
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 7 (-> Das ist die VLAN ID die übergeben wird !)
Was muss ich dabei auf den switch konfigurieren das er zuerst am Radius Server nachfragt
Ich habe nämlich keine zugehörige konfiguration entdecken können
Ich habe nämlich keine zugehörige konfiguration entdecken können
Du brauchst dafür die aktuellste Firmware F05.55. In den Release Notes dazu:
ftp://ftp.hp.com/pub/networking/software/2300-2500-RelNotes--f0555-59903102.pdf
steht auf Seite 101 genau wie es geht.
Das ist eine generelle Radius Konfiguration die für alle Security Abfragen gilt !
Scheinbar supportet die 25er Serie aber keine MAC based VLANs, das machen nur andere Modelle (siehe Feature Liste bei HP).
Der 2524 macht so nach den release Notes der Firmware nur eine 802.1x Port Authentifizierung !
Ggf. gibt es aber einen aktuelleren FW Fix von HP der das Manko behebt. Ggf. bei der Hotline nachfragen.
ftp://ftp.hp.com/pub/networking/software/2300-2500-RelNotes--f0555-59903102.pdf
steht auf Seite 101 genau wie es geht.
Das ist eine generelle Radius Konfiguration die für alle Security Abfragen gilt !
Scheinbar supportet die 25er Serie aber keine MAC based VLANs, das machen nur andere Modelle (siehe Feature Liste bei HP).
Der 2524 macht so nach den release Notes der Firmware nur eine 802.1x Port Authentifizierung !
Ggf. gibt es aber einen aktuelleren FW Fix von HP der das Manko behebt. Ggf. bei der Hotline nachfragen.
Ich habe aber auch noch 2626er und einen 5300xl im netz kann ich mit denen Mac basierende VLANs machen
Dafür solltest du auf der HP Seite einmal die Release Notes zu den letzten Firmware Images dieser beiden Systeme lesen. Oder...kurz die Hotline bei HP anrufen ! Die sollten das wissen...
Hallo Miteinander,
ich bin auch schon einige Zeit damit am probieren,
aber scheinbar zu blöd
um es richtig hinzukriegen.
Habe einen Procurve 2824 mit aktueller Firmware und
den Microsoft IAS als Radius Server.
User und Kennwort sind die MAC des Clients (auf Switch Port 16).
Meine Procurve config schaut so aus:
aaa authentication port-access chap-radius
radius-server host 192.168.20.30 key radius
aaa port-access authenticator 16
aaa port-access authenticator active
aaa port-access mac-based 16
aaa port-access mac-based addr-format multi-dash
aaa port-access 16
Habe ich am Procurve etwas vergessen oder ist der IAS
mein Problem ?
Danke für Eure Hilfe !
ich bin auch schon einige Zeit damit am probieren,
aber scheinbar zu blöd
um es richtig hinzukriegen.Habe einen Procurve 2824 mit aktueller Firmware und
den Microsoft IAS als Radius Server.
User und Kennwort sind die MAC des Clients (auf Switch Port 16).
Meine Procurve config schaut so aus:
aaa authentication port-access chap-radius
radius-server host 192.168.20.30 key radius
aaa port-access authenticator 16
aaa port-access authenticator active
aaa port-access mac-based 16
aaa port-access mac-based addr-format multi-dash
aaa port-access 16
Habe ich am Procurve etwas vergessen oder ist der IAS
mein Problem ?
Danke für Eure Hilfe !
Was sagt denn dein IAS im Log wenn eine eingehende Authentifizierung vom Switch kommt ???
Sieht er diese Auth Packete überhaupt ??? Wenn nicht sendet der Switch gar nichts an ihn und das Problem liegt ganz woanders.
Am einfachsten schleifst du mal einen Sniffer in den Anschluss des IAS und checkst mal ob dort Radius Auth. Requests vom Switch ankommen... Das Log muss das aber auch anzeigen !
Sieht er diese Auth Packete überhaupt ??? Wenn nicht sendet der Switch gar nichts an ihn und das Problem liegt ganz woanders.
Am einfachsten schleifst du mal einen Sniffer in den Anschluss des IAS und checkst mal ob dort Radius Auth. Requests vom Switch ankommen... Das Log muss das aber auch anzeigen !
Anbei die Meldung vom IAS
Benutzer "00-0f-b0-b8-81-87" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = /Trusted PC´s/mac_ds-nb-tkarrer
NAS-IP-Adresse = 192.168.20.254
NAS-Kennung = ds-hp2824
Clientanzeigename = HP-2824 Switch
Client-IP-Adresse = 192.168.20.254
Kennung der Anruferstation = 00-0f-b0-b8-81-87
NAS-Porttyp = Ethernet
NAS-Port = 16
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinienname = 802.1x MAC Auth.
Authentifizierungstyp = MD5-CHAP
EAP-Typ = <unbestimmt>
Also laut IAS ist scheinbar alles OK.
Auch im Switch bekomme ich keine weiterne Fehlermeldungen.
sh radius host - Auth auch OK !
aber das Port 16 bleibt Down ?
Ist die Procurve Konfig soweit OK ?
Benutzer "00-0f-b0-b8-81-87" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = /Trusted PC´s/mac_ds-nb-tkarrer
NAS-IP-Adresse = 192.168.20.254
NAS-Kennung = ds-hp2824
Clientanzeigename = HP-2824 Switch
Client-IP-Adresse = 192.168.20.254
Kennung der Anruferstation = 00-0f-b0-b8-81-87
NAS-Porttyp = Ethernet
NAS-Port = 16
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinienname = 802.1x MAC Auth.
Authentifizierungstyp = MD5-CHAP
EAP-Typ = <unbestimmt>
Also laut IAS ist scheinbar alles OK.
Auch im Switch bekomme ich keine weiterne Fehlermeldungen.
sh radius host - Auth auch OK !
aber das Port 16 bleibt Down ?
Ist die Procurve Konfig soweit OK ?
Das ist in der Tat merkwürdig. Auf down dürfte der Port aber niemals gehen, denn dort hängt ja ein aktiver Link von dem zu authentifizierenden PC dran. Das wäre per se schonmal falsch ! Auch wenn der Benutzer nicht authentifiziert ist bleibt so ein Port immer physisch auf up !!!
Gibt es auf dem HP ein paar "show" Kommandos die den Authentifizierungsstatus anzeigen ? Hat der Switch einen "debug mode" in den du ihn schalten kannst um zu sehen was mit dem Port während der Authentifizierung passiert ???
GGf. ist das ein SW Bug in der HP Firmware. Was sagt denn die HP Hotline dazu oder eröffne einen Case mit HP. Die geben doch lebenslangen Support also sollte die Auskunft bzw. der Support ja nix kosten...
Gibt es auf dem HP ein paar "show" Kommandos die den Authentifizierungsstatus anzeigen ? Hat der Switch einen "debug mode" in den du ihn schalten kannst um zu sehen was mit dem Port während der Authentifizierung passiert ???
GGf. ist das ein SW Bug in der HP Firmware. Was sagt denn die HP Hotline dazu oder eröffne einen Case mit HP. Die geben doch lebenslangen Support also sollte die Auskunft bzw. der Support ja nix kosten...
Also der Link-Status des Port 16 ist UP.
Auch bei sh port-access mac-based ist Port 16 "Authenticated"
Aber bei sh port-access authenticator ist Port 16 "Closed"
und somit auch keine Kommunikation möglich.
Werde wohl den HP Support einschalten.
Danke
Auch bei sh port-access mac-based ist Port 16 "Authenticated"
Aber bei sh port-access authenticator ist Port 16 "Closed"
und somit auch keine Kommunikation möglich.
Werde wohl den HP Support einschalten.
Danke
