4
mehrere VLANs mit Freeradius dynamisch zuweisen
Hallo,
ich versuche derzeit per Freeradius mehrere VLANs zur Auswahl an einen Cisco Switch zu übergeben. Dies hatte auch funktioniert. Der Switch arbeitete die VLANs der Reihe nach ab und wies das erste VLAN zu, was auch auf dem Switch bekannt war.
Seit auf die neueste IOS upgegraded wurde:
Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-IPBASEK9-M), Version 12.2(40)SG, RELEASE SOFTWARE (fc2)
funktioniert das nicht mehr. Der Switch arbeitet die Daten vom Radius nicht mehr von oben nach unten ab sondern nimmt immer nur die letzte Zeile. ( Admin und netz_1 sind als VLANS angelegt)
Die Übergabe vom Radius:
Feb 13 12:01:50 MET: RADIUS: Tunnel-Medium-Type [65] 6 00:ALL_802 [6]
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 12 01:"Admin"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 16 02:"netz_1"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 17 03:"netz_2"
Ist der VLAN Name nicht vorhanden wird eine Fehlermeldung generiert.
Feb 13 12:37:57 MET: %DOT1X_SWITCH-5-ERR_RADIUS_VLAN_NOT_FOUND: Attempt to assign non-existent VLAN netz_2 to dot1x port FastEthernet0/3
Gibt es eine Möglichkeit dem Switch zu sagen, die VLANs in Reihenfolge durchzuarbeiten und bei nicht vorhandenem VLAN das nächstangebotene zu konfigurieren ?
Ich bin mir ziemlich sicher, das bei der Software-Version Version 12.2(35) mehrere VLANs mitgegeben werden konnten, sofern keines bekannt war wurde dann das vorkonfigurierte VLAN am Switchport aktiv.
Über Hilfe bin ich sehr dankbar.
metroo
ich versuche derzeit per Freeradius mehrere VLANs zur Auswahl an einen Cisco Switch zu übergeben. Dies hatte auch funktioniert. Der Switch arbeitete die VLANs der Reihe nach ab und wies das erste VLAN zu, was auch auf dem Switch bekannt war.
Seit auf die neueste IOS upgegraded wurde:
Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-IPBASEK9-M), Version 12.2(40)SG, RELEASE SOFTWARE (fc2)
funktioniert das nicht mehr. Der Switch arbeitet die Daten vom Radius nicht mehr von oben nach unten ab sondern nimmt immer nur die letzte Zeile. ( Admin und netz_1 sind als VLANS angelegt)
Die Übergabe vom Radius:
Feb 13 12:01:50 MET: RADIUS: Tunnel-Medium-Type [65] 6 00:ALL_802 [6]
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 12 01:"Admin"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 16 02:"netz_1"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 17 03:"netz_2"
Ist der VLAN Name nicht vorhanden wird eine Fehlermeldung generiert.
Feb 13 12:37:57 MET: %DOT1X_SWITCH-5-ERR_RADIUS_VLAN_NOT_FOUND: Attempt to assign non-existent VLAN netz_2 to dot1x port FastEthernet0/3
Gibt es eine Möglichkeit dem Switch zu sagen, die VLANs in Reihenfolge durchzuarbeiten und bei nicht vorhandenem VLAN das nächstangebotene zu konfigurieren ?
Ich bin mir ziemlich sicher, das bei der Software-Version Version 12.2(35) mehrere VLANs mitgegeben werden konnten, sofern keines bekannt war wurde dann das vorkonfigurierte VLAN am Switchport aktiv.
Über Hilfe bin ich sehr dankbar.
metroo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 80639
Url: https://administrator.de/contentid/80639
Printed on: April 19, 2024 at 21:04 o'clock
4 Comments
Latest comment
Leider schreibst du nicht auf Basis welcher Daten du die VLANs zuweist. Das kann ja entweder mit einem Usernamen und Passwort oder auf Basis der MAC Adresse geschehen.
Eine FreeRadius Konfig dafür sieht so aus:
Wenn du den FreeRadius mit -xxyz oder -X startest erhälst du einen detailierten Debug Output meistens.
Freeradius Management mit WebGUI
Eine FreeRadius Konfig dafür sieht so aus:
#
# Mac Adresse
#
00aa39fc9005 Service-Type == Framed-User, User-Password == "00aa39fc9005"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = <vlanname oder ID>
#
# Hier mit Username und Passwort
#
user Auth-Type == EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-ID = <vlanname oder ID>
#Wenn du den FreeRadius mit -xxyz oder -X startest erhälst du einen detailierten Debug Output meistens.
Freeradius Management mit WebGUI
Hallo aqui,
danke für Deine Antwort.
in der Radiusconfig benutze ich beides, mac based und Zertifikat wie du angibst.
jedoch kann man mit:
user Auth-Type == EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-ID == <Admin>,
Tunnel-Private-Group-ID == <netz_1>,
Tunnel-Private-Group-ID == <netz_2>
vom Radius Server mehrere VLANS zur auswahl an den Switch übergeben. Nur leider wird anscheinend seit der neuen Software nur noch die letzte Zeile vom Switch verstanden oder aber die vorherigen private-Group-IDs mit dem jeweilig nächsten Wert überschrieben.
Was auch interessant wäre: Priorisierung
user Auth-Type == EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-ID:1 == <Admin>,
Tunnel-Private-Group-ID:2 == <netz_1>,
Tunnel-Private-Group-ID:3 == <netz_2>
Den Tunnel-Private-Group-ID's einen Wert mitgeben, dies kommt ja auch beim Switch an:
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 5 01:"Admin"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 6 02:"netz_1"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 6 03:"netz_2"
Nur scheint das der Switch nicht zu verstehen.
Um kurz zu erläutern was meine Intension ist:
In meiner Netzwerkstruktur ist es notwendig Clients auch dynamisch ein Entwicklernetz zuzuweisen, jedoch wenn dies nicht vorhanden ist, das Standard-Client-VLAN zuzuweisen.
genau dafür bräuchte ich diese Features, welche Freeradius mitliefert, aber der Switch anscheinend nicht mehr versteht.
Viele Grüße
danke für Deine Antwort.
in der Radiusconfig benutze ich beides, mac based und Zertifikat wie du angibst.
jedoch kann man mit:
user Auth-Type == EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-ID == <Admin>,
Tunnel-Private-Group-ID == <netz_1>,
Tunnel-Private-Group-ID == <netz_2>
vom Radius Server mehrere VLANS zur auswahl an den Switch übergeben. Nur leider wird anscheinend seit der neuen Software nur noch die letzte Zeile vom Switch verstanden oder aber die vorherigen private-Group-IDs mit dem jeweilig nächsten Wert überschrieben.
Was auch interessant wäre: Priorisierung
user Auth-Type == EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-ID:1 == <Admin>,
Tunnel-Private-Group-ID:2 == <netz_1>,
Tunnel-Private-Group-ID:3 == <netz_2>
Den Tunnel-Private-Group-ID's einen Wert mitgeben, dies kommt ja auch beim Switch an:
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 5 01:"Admin"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 6 02:"netz_1"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 6 03:"netz_2"
Nur scheint das der Switch nicht zu verstehen.
Um kurz zu erläutern was meine Intension ist:
In meiner Netzwerkstruktur ist es notwendig Clients auch dynamisch ein Entwicklernetz zuzuweisen, jedoch wenn dies nicht vorhanden ist, das Standard-Client-VLAN zuzuweisen.
genau dafür bräuchte ich diese Features, welche Freeradius mitliefert, aber der Switch anscheinend nicht mehr versteht.
Viele Grüße
Was soll das für einen Sinn haben dem Client mehrere VLANs zur Auswahl zu geben. Cisco kann nur Port basierende VLANs der Client kann also immer nur in einem VLAN drin. Zusätzliche VLANs sind also unsinnig m.E.
Bedenke das in der Freeradius Syntax noch Kommas hinter alle Zeilen kommen mit Ausnahme der letzten Zeile.
Die Fallback Funktion auf ein default VLAN wenn das dynamische nicht vorhanden ist oder der Client nicht authentisiert werden kann sollte eigentlich im Switch selber konfiguriert werden.
Bedenke das in der Freeradius Syntax noch Kommas hinter alle Zeilen kommen mit Ausnahme der letzten Zeile.
Die Fallback Funktion auf ein default VLAN wenn das dynamische nicht vorhanden ist oder der Client nicht authentisiert werden kann sollte eigentlich im Switch selber konfiguriert werden.
Ja, die Kommas hatte ich in meinem Post vergessen, habe den Beitrag editiert der Form halber.
Das der Switch nur ein VLAN pro port zuweisen kann ist mir klar. Mehrere VLANS machen in dem Moment Sinn, wo ein Anwender an verschiedenen Standorten arbeitet und zu verschiedenen VLANS Zugriff braucht. Je nachdem an welchem Standort er sich gerade befindet.
Also zB.
Der Anwender soll Prio 1 sein Entwicklernetz zugewiesen bekommen.
Natürlich liegt das Entwicklernetz nur an seinem Hauptstandort auf.
Jetzt muss der Anwender für ein Projekt an einen anderen Standort der Firma, dort gibt es kein Entwicklernetz.
Prio2 wäre dann das Standard-Netz.Was nun als zweite Möglichkeit zur Verfügung steht.Dieses weist ihm dann der Radius+Switch zu.
Dies soll keine direkte Fallback Lösung sein. Fallback ist ja nur dann wenn die Authentisierung fehlschlägt.
Schönes Wochenende
Das der Switch nur ein VLAN pro port zuweisen kann ist mir klar. Mehrere VLANS machen in dem Moment Sinn, wo ein Anwender an verschiedenen Standorten arbeitet und zu verschiedenen VLANS Zugriff braucht. Je nachdem an welchem Standort er sich gerade befindet.
Also zB.
Der Anwender soll Prio 1 sein Entwicklernetz zugewiesen bekommen.
Natürlich liegt das Entwicklernetz nur an seinem Hauptstandort auf.
Jetzt muss der Anwender für ein Projekt an einen anderen Standort der Firma, dort gibt es kein Entwicklernetz.
Prio2 wäre dann das Standard-Netz.Was nun als zweite Möglichkeit zur Verfügung steht.Dieses weist ihm dann der Radius+Switch zu.
Dies soll keine direkte Fallback Lösung sein. Fallback ist ja nur dann wenn die Authentisierung fehlschlägt.
Schönes Wochenende
