6
Authentifizierung MAC-BASED mit Procurve und 8-Port-Switch
Hallo,
ich bereibe hier Procurve-Switche 2620 mit einer MAC-BASED Authentifizierung.
Als RADIUS-Server dient hier ein Windows-Server.
Alle Computer sind mit ihren MAC-Adressen zusätzlich in der Active-Directory.
Hier Scenario 1:
Ich klemme einen Rechner, der in der AD nicht mit seiner MAC-Adresse bekannt ist
direkt an den Port vom Procurve Switch.
Der Rechner wird nicht authentifiziert.
Jetzt wird dieser Rechner in der AD mit seiner MAC-Adresse bekannt gemacht.
Anschließend vom Rechner das Netzwerkabel einmal raus- und wieder reingesteckt.
Jetzt wird der Rechner authentifiziert.
Jetzt kann man nach belieben in der AD den Rechner aktivieren und deaktivieren.
Sobald man am Rechner das Netzwerkabel zieht und wieder hineinsteckt, wird sofort
der richtige Zustand hergestellt.
Dieses Verhalten ist richtig.
Jetzt wird das Ganze wiederholt, aber mit einen Unterschied: Der Rechner ist nicht
direkt mit dem Switch Procurve verbunden, sondern üner einen 8-Port-Switch mit dem
Procurve verbunden.
Auch hier das gleiche Spiel:
Erst ist der Rechner in der AD nicht bekannt. Der Rechner wird auch nicht authentifiziert.
Soweit ist dieses Verhalten noch richtig.
Jetzt wird der Rechner in der AD eingetragen. Anschließend am Rechner Kabel rein und raus
Der Rechner wird immer noch nicht authentifiziert. Dieses Verhalten ist falsch.
Jetzt gibt es nur eine Methode, damit dieser Rechner auch authentifiziert wird: Man muss
das Kabel vom 8-Port-Switch, welches zum Procurve geht, herausziehen und wieder einstecken.
Erst jetzt wird der Rechner authentifiziert.
Meine Frage:
Ist dieses Verhalten normal oder habe ich am Procurve etwas nicht richtig konfiguriert?
Übrigens habe ich am Procurve für jeden Port ADDR-LIMIT auf 32 gesetzt. Daran kanns nicht liegen.
ich bereibe hier Procurve-Switche 2620 mit einer MAC-BASED Authentifizierung.
Als RADIUS-Server dient hier ein Windows-Server.
Alle Computer sind mit ihren MAC-Adressen zusätzlich in der Active-Directory.
Hier Scenario 1:
Ich klemme einen Rechner, der in der AD nicht mit seiner MAC-Adresse bekannt ist
direkt an den Port vom Procurve Switch.
Der Rechner wird nicht authentifiziert.
Jetzt wird dieser Rechner in der AD mit seiner MAC-Adresse bekannt gemacht.
Anschließend vom Rechner das Netzwerkabel einmal raus- und wieder reingesteckt.
Jetzt wird der Rechner authentifiziert.
Jetzt kann man nach belieben in der AD den Rechner aktivieren und deaktivieren.
Sobald man am Rechner das Netzwerkabel zieht und wieder hineinsteckt, wird sofort
der richtige Zustand hergestellt.
Dieses Verhalten ist richtig.
Jetzt wird das Ganze wiederholt, aber mit einen Unterschied: Der Rechner ist nicht
direkt mit dem Switch Procurve verbunden, sondern üner einen 8-Port-Switch mit dem
Procurve verbunden.
Auch hier das gleiche Spiel:
Erst ist der Rechner in der AD nicht bekannt. Der Rechner wird auch nicht authentifiziert.
Soweit ist dieses Verhalten noch richtig.
Jetzt wird der Rechner in der AD eingetragen. Anschließend am Rechner Kabel rein und raus
Der Rechner wird immer noch nicht authentifiziert. Dieses Verhalten ist falsch.
Jetzt gibt es nur eine Methode, damit dieser Rechner auch authentifiziert wird: Man muss
das Kabel vom 8-Port-Switch, welches zum Procurve geht, herausziehen und wieder einstecken.
Erst jetzt wird der Rechner authentifiziert.
Meine Frage:
Ist dieses Verhalten normal oder habe ich am Procurve etwas nicht richtig konfiguriert?
Übrigens habe ich am Procurve für jeden Port ADDR-LIMIT auf 32 gesetzt. Daran kanns nicht liegen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 191110
Url: https://administrator.de/contentid/191110
Printed on: April 23, 2024 at 13:04 o'clock
6 Comments
Latest comment
Tach RalphT,
kann es denn vielleicht damit zusammen hängen, das der Procurve Switch einen Adresse Speicher für die MAC Adressen hat und erst nach dem an -und ab stöpseln des 8 Port Switches die MAC Adresse wieder aus dem Speicher genommen oder wieder neu eingelesen werden?
Ich will mir ja nicht Deinen Zorn zuziehen, aber lass doch einfach den "dummen" 8 Post Switch weg.
OT/
Ist dieses Verhalten normal oder habe ich am Procurve etwas nicht richtig konfiguriert?
OT
Wieso denn am Procurve, da lief doch alles bestens oder etwa nicht?
Der andere "Schweine" 8 Port Switch ist doch irgendwie glasklar der schuldige.
Denn wenn Du das wie oben in Deinem Text beschrieben machst, funktioniert doch alles einwandfrei,
nur an der Stelle wo der 8 Port Switch ins Spiel kommt tritt der Fehler auf.
Gruß
Dobby
kann es denn vielleicht damit zusammen hängen, das der Procurve Switch einen Adresse Speicher für die MAC Adressen hat und erst nach dem an -und ab stöpseln des 8 Port Switches die MAC Adresse wieder aus dem Speicher genommen oder wieder neu eingelesen werden?
Ich will mir ja nicht Deinen Zorn zuziehen, aber lass doch einfach den "dummen" 8 Post Switch weg.
OT/
Ist dieses Verhalten normal oder habe ich am Procurve etwas nicht richtig konfiguriert?
OT
Wieso denn am Procurve, da lief doch alles bestens oder etwa nicht?
Der andere "Schweine" 8 Port Switch ist doch irgendwie glasklar der schuldige.
Denn wenn Du das wie oben in Deinem Text beschrieben machst, funktioniert doch alles einwandfrei,
nur an der Stelle wo der 8 Port Switch ins Spiel kommt tritt der Fehler auf.
Gruß
Dobby
Hallo Dobby,
ok, der 8-Port-switch ist jetzt einfach der Schuldige, aber diese Dinger werden leider benötigt. Es sind zu wenige LAN-Steckdosen in manchen Büros vorhanden. Da komm ich leider nicht herum. Ich könnte diese durch andere Switche, die RADIUS beherrschen austauschen. Fällt auch aus, wegen der Kosten.
Jetzt nochmal zum Problem zurück: Ich habe gestern noch etwas probiert. Das Problem an dieser Sache scheint zu sein, dass bei einem Trenen des Rechners vom 8-Port-Switch der Procurve anscheinend nichts mit bekommt und daher keine erneute Prüfung durchführt.
Es gibt den Parameter im Procurve der heißt: aaa port-access mac-based 1-24 reauth-period 60. Das heißt für mich alle Ports von 1-24 werden alle 60 Sekunden erneut geprüft. Das habe ich dann getestet.
Es funktioniert leider nur in einer Richtung, bzw. in einem Fall:
Wird ein Rechner in der AD z.B. deaktiviert, dann wird tatsächlich nach max. 60 Sek. dieser Rechner auch gesperrt.
Umgekehrt geht das leider nicht.
Heißt also, wenn ein Rechner gesperrt war und wird zwischenzeitlich wieder in der AD freigegeben. Da kann man warten bis zur Ewigkeit.
Dann hilft auf der Konsole im Telnet nur noch ein Befehl: aaa port-access mac-based 4 reauthenticate
Dann wird alles auf Port 4 sofort nochmal überprüft. Dann funktioniert das auch.
Aber das kann nicht die Lösung sein. Warum funktioniert der Befehl aaa port-access mac-based 1-24 reauth-period 60 nicht richtig?
ok, der 8-Port-switch ist jetzt einfach der Schuldige, aber diese Dinger werden leider benötigt. Es sind zu wenige LAN-Steckdosen in manchen Büros vorhanden. Da komm ich leider nicht herum. Ich könnte diese durch andere Switche, die RADIUS beherrschen austauschen. Fällt auch aus, wegen der Kosten.
Jetzt nochmal zum Problem zurück: Ich habe gestern noch etwas probiert. Das Problem an dieser Sache scheint zu sein, dass bei einem Trenen des Rechners vom 8-Port-Switch der Procurve anscheinend nichts mit bekommt und daher keine erneute Prüfung durchführt.
Es gibt den Parameter im Procurve der heißt: aaa port-access mac-based 1-24 reauth-period 60. Das heißt für mich alle Ports von 1-24 werden alle 60 Sekunden erneut geprüft. Das habe ich dann getestet.
Es funktioniert leider nur in einer Richtung, bzw. in einem Fall:
Wird ein Rechner in der AD z.B. deaktiviert, dann wird tatsächlich nach max. 60 Sek. dieser Rechner auch gesperrt.
Umgekehrt geht das leider nicht.
Heißt also, wenn ein Rechner gesperrt war und wird zwischenzeitlich wieder in der AD freigegeben. Da kann man warten bis zur Ewigkeit.
Dann hilft auf der Konsole im Telnet nur noch ein Befehl: aaa port-access mac-based 4 reauthenticate
Dann wird alles auf Port 4 sofort nochmal überprüft. Dann funktioniert das auch.
Aber das kann nicht die Lösung sein. Warum funktioniert der Befehl aaa port-access mac-based 1-24 reauth-period 60 nicht richtig?
Hallo RalphT,
Ich wüsste jetzt auch nur drei Wege die Du ausprobieren kannst!
Saubere Lösung
1. Neue Dosen setzten, Leitungen ziehen, zusätzliche Patchfelder kaufen und das Ganze ordentlich machen!
Try out Lösung --> (Ohne Gewähr)
2. Du besorgst Dir kleine s.g. Smart Switche die VLAN Support mit bringen und setzt auf dem Switch im Rack ein VLAN auf und auf dem Smart Switch auch eins (Trunk) und da kommen dann die Klienten rein!
Die auth. macht dann der Switch mit der Unterstützung im Rack!
50 - 50 Lösung
3. Du kaufst die GS110T Smart Switche und hast einen Funktionsumpfang der sonst so nicht zu bekommen ist, ich habe hier zu Hause zwei davon, den GS110T & GS110TP ich bin zufrieden! (Alle Ports belegt!)
Die sind Lüfterlos und stören keinen, ich wollte erst die CISCO Smart Switch Serie nehmen, aber.......
und 105 € sind nun wirklich nicht zu viel, bei der Ausstattung.
Es gibt schon seid einer Weile SmartSwitche.
Lösung 2
Netgaer GS105E - 5 GB LAN Ports mit VLAN
Netgear GS108E - 8 GB LAN Ports mit VLAN
Netgear GS116E - 16 GB LAN Ports mit VLAN
Netgear JGS524E - 24 GB LAN Ports mit VLAN
Lösung 3
Netgaer GS110T - 8 GB LAN Ports mit VLAN + 2 FSP mini GBIC + Radius & TACAS+
Netgear GS110TP - 8 GB LAN Ports mit VLAN + 2 FSP mini GBIC + PoE + Radius & TACAS+
....Fällt auch aus, wegen der Kosten.
Netgear GS110T für 105 € plus Versand! 8 GB Lan Ports + 2 SFP mini GBICIch wüsste jetzt auch nur drei Wege die Du ausprobieren kannst!
Saubere Lösung
1. Neue Dosen setzten, Leitungen ziehen, zusätzliche Patchfelder kaufen und das Ganze ordentlich machen!
Try out Lösung --> (Ohne Gewähr)
2. Du besorgst Dir kleine s.g. Smart Switche die VLAN Support mit bringen und setzt auf dem Switch im Rack ein VLAN auf und auf dem Smart Switch auch eins (Trunk) und da kommen dann die Klienten rein!
Die auth. macht dann der Switch mit der Unterstützung im Rack!
50 - 50 Lösung
3. Du kaufst die GS110T Smart Switche und hast einen Funktionsumpfang der sonst so nicht zu bekommen ist, ich habe hier zu Hause zwei davon, den GS110T & GS110TP ich bin zufrieden! (Alle Ports belegt!)
Die sind Lüfterlos und stören keinen, ich wollte erst die CISCO Smart Switch Serie nehmen, aber.......
und 105 € sind nun wirklich nicht zu viel, bei der Ausstattung.
Es gibt schon seid einer Weile SmartSwitche.
Lösung 2
Netgaer GS105E - 5 GB LAN Ports mit VLAN
Netgear GS108E - 8 GB LAN Ports mit VLAN
Netgear GS116E - 16 GB LAN Ports mit VLAN
Netgear JGS524E - 24 GB LAN Ports mit VLAN
Lösung 3
Netgaer GS110T - 8 GB LAN Ports mit VLAN + 2 FSP mini GBIC + Radius & TACAS+
Netgear GS110TP - 8 GB LAN Ports mit VLAN + 2 FSP mini GBIC + PoE + Radius & TACAS+
Das Verhalten ist nicht falsch sondern logisch ! Man muss nur mal etwas nachdenken...
Die Mac Adresse des PCs ist in der Mac Forwarding Database vom 8 Port Switch gespeichert und kommt jetzt auch am Uplink Port der ProCurve Gurke an.
Nun startet die Authentisierung und der Rechner kommt ins Netzwerk. Switch intern kommt diese Mac in die Mac Forwarding Database des ProCurves, was ja auch richtig ist, denn er lernt diese ja über den Uplink Port.
Wenn du nun den PC am 8 Port Switch abklemmst wird seine Mac in dessen Mac Forwarding Database gelöscht, weil der Link down ist !
Niemals aber im ProCurve, denn der Uplink zum 8 Port Switch ist ja noch aktiv.
Der procurve hat also gar keine Chance mitzubekommen das die Mac am 8 Port Switch nicht mehr aktiv ist, denn für ihn kennt er sie ja noch über den Uplink Port.
Hier tuckt dann nun der Mac Aging Timer im ProCurve ! "Sieht" er diese Mac nicht mehr für eine gewisse Zeit wird sie aus der Mac Forwarding Database gelöscht, aber eben nach einer Zeit nicht sofort, weil der Link ja physsich aktiv ist.
Fazit: Der ProCurve macht was er soll und funktioniert standardkonform nur DU hast das vermutlich übersehen...oder weisst nicht wirklich wie ein LAN Switch funktioniert...?!
Also Mac Aging Gedächtnisminute (oder die Timoeout Zeit die die ProCurve Gurke dafür im Default konfiguriert hat ?!) beachten und dann nochmal testen...dann klappt das auch !
Die Mac Adresse des PCs ist in der Mac Forwarding Database vom 8 Port Switch gespeichert und kommt jetzt auch am Uplink Port der ProCurve Gurke an.
Nun startet die Authentisierung und der Rechner kommt ins Netzwerk. Switch intern kommt diese Mac in die Mac Forwarding Database des ProCurves, was ja auch richtig ist, denn er lernt diese ja über den Uplink Port.
Wenn du nun den PC am 8 Port Switch abklemmst wird seine Mac in dessen Mac Forwarding Database gelöscht, weil der Link down ist !
Niemals aber im ProCurve, denn der Uplink zum 8 Port Switch ist ja noch aktiv.
Der procurve hat also gar keine Chance mitzubekommen das die Mac am 8 Port Switch nicht mehr aktiv ist, denn für ihn kennt er sie ja noch über den Uplink Port.
Hier tuckt dann nun der Mac Aging Timer im ProCurve ! "Sieht" er diese Mac nicht mehr für eine gewisse Zeit wird sie aus der Mac Forwarding Database gelöscht, aber eben nach einer Zeit nicht sofort, weil der Link ja physsich aktiv ist.
Fazit: Der ProCurve macht was er soll und funktioniert standardkonform nur DU hast das vermutlich übersehen...oder weisst nicht wirklich wie ein LAN Switch funktioniert...?!
Also Mac Aging Gedächtnisminute (oder die Timoeout Zeit die die ProCurve Gurke dafür im Default konfiguriert hat ?!) beachten und dann nochmal testen...dann klappt das auch !
Nachdem ich jetzt mal etwas getestet habe, konnte ich wohl den Fehler ausmachen:
Laut Handbuch liegt der Parameter "mac-age-time bei 300 und der Parameter reauth-period auch bei 300. Danach hätte es eigentlich nach 5 Minuten klappen müssen. Lief aber nicht.
Dann habe ich den Parameter reauth-period auf den Wert 180 gesetzt. Und siehe da: Jetzt läuft es. Dieser Paramteter ist standardmäßig nicht auf 300, sondern auf 0. Das bedeutet, dass diese Funktion abgeschaltet ist.
Jetzt ist alles ok.
Laut Handbuch liegt der Parameter "mac-age-time bei 300 und der Parameter reauth-period auch bei 300. Danach hätte es eigentlich nach 5 Minuten klappen müssen. Lief aber nicht.
Dann habe ich den Parameter reauth-period auf den Wert 180 gesetzt. Und siehe da: Jetzt läuft es. Dieser Paramteter ist standardmäßig nicht auf 300, sondern auf 0. Das bedeutet, dass diese Funktion abgeschaltet ist.
Jetzt ist alles ok.
Eben.... HP ProCurve Gurken...was soll man da auch erwarten ?!
Wenn's das denn war bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Wenn's das denn war bitte dann auch
How can I mark a post as solved?
nicht vergessen !
