Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Authentifizierung MAC-BASED mit Procurve und 8-Port-Switch

Frage Netzwerke Netzwerkmanagement

Mitglied: RalphT

RalphT (Level 1) - Jetzt verbinden

12.09.2012 um 11:27 Uhr, 4302 Aufrufe, 6 Kommentare

Hallo,

ich bereibe hier Procurve-Switche 2620 mit einer MAC-BASED Authentifizierung.
Als RADIUS-Server dient hier ein Windows-Server.
Alle Computer sind mit ihren MAC-Adressen zusätzlich in der Active-Directory.

Hier Scenario 1:

Ich klemme einen Rechner, der in der AD nicht mit seiner MAC-Adresse bekannt ist
direkt an den Port vom Procurve Switch.
Der Rechner wird nicht authentifiziert.

Jetzt wird dieser Rechner in der AD mit seiner MAC-Adresse bekannt gemacht.
Anschließend vom Rechner das Netzwerkabel einmal raus- und wieder reingesteckt.
Jetzt wird der Rechner authentifiziert.

Jetzt kann man nach belieben in der AD den Rechner aktivieren und deaktivieren.
Sobald man am Rechner das Netzwerkabel zieht und wieder hineinsteckt, wird sofort
der richtige Zustand hergestellt.

Dieses Verhalten ist richtig.


Jetzt wird das Ganze wiederholt, aber mit einen Unterschied: Der Rechner ist nicht
direkt mit dem Switch Procurve verbunden, sondern üner einen 8-Port-Switch mit dem
Procurve verbunden.
Auch hier das gleiche Spiel:

Erst ist der Rechner in der AD nicht bekannt. Der Rechner wird auch nicht authentifiziert.
Soweit ist dieses Verhalten noch richtig.

Jetzt wird der Rechner in der AD eingetragen. Anschließend am Rechner Kabel rein und raus
Der Rechner wird immer noch nicht authentifiziert. Dieses Verhalten ist falsch.

Jetzt gibt es nur eine Methode, damit dieser Rechner auch authentifiziert wird: Man muss
das Kabel vom 8-Port-Switch, welches zum Procurve geht, herausziehen und wieder einstecken.

Erst jetzt wird der Rechner authentifiziert.

Meine Frage:

Ist dieses Verhalten normal oder habe ich am Procurve etwas nicht richtig konfiguriert?

Übrigens habe ich am Procurve für jeden Port ADDR-LIMIT auf 32 gesetzt. Daran kanns nicht liegen.
Mitglied: Dobby
12.09.2012 um 15:02 Uhr
Tach RalphT,

kann es denn vielleicht damit zusammen hängen, das der Procurve Switch einen Adresse Speicher für die MAC Adressen hat und erst nach dem an -und ab stöpseln des 8 Port Switches die MAC Adresse wieder aus dem Speicher genommen oder wieder neu eingelesen werden?

Ich will mir ja nicht Deinen Zorn zuziehen, aber lass doch einfach den "dummen" 8 Post Switch weg.

OT/
Ist dieses Verhalten normal oder habe ich am Procurve etwas nicht richtig konfiguriert?
OT

Wieso denn am Procurve, da lief doch alles bestens oder etwa nicht?
Der andere "Schweine" 8 Port Switch ist doch irgendwie glasklar der schuldige.
Denn wenn Du das wie oben in Deinem Text beschrieben machst, funktioniert doch alles einwandfrei,
nur an der Stelle wo der 8 Port Switch ins Spiel kommt tritt der Fehler auf.

Gruß
Dobby
Bitte warten ..
Mitglied: RalphT
13.09.2012 um 11:28 Uhr
Hallo Dobby,

ok, der 8-Port-switch ist jetzt einfach der Schuldige, aber diese Dinger werden leider benötigt. Es sind zu wenige LAN-Steckdosen in manchen Büros vorhanden. Da komm ich leider nicht herum. Ich könnte diese durch andere Switche, die RADIUS beherrschen austauschen. Fällt auch aus, wegen der Kosten.

Jetzt nochmal zum Problem zurück: Ich habe gestern noch etwas probiert. Das Problem an dieser Sache scheint zu sein, dass bei einem Trenen des Rechners vom 8-Port-Switch der Procurve anscheinend nichts mit bekommt und daher keine erneute Prüfung durchführt.
Es gibt den Parameter im Procurve der heißt: aaa port-access mac-based 1-24 reauth-period 60. Das heißt für mich alle Ports von 1-24 werden alle 60 Sekunden erneut geprüft. Das habe ich dann getestet.
Es funktioniert leider nur in einer Richtung, bzw. in einem Fall:

Wird ein Rechner in der AD z.B. deaktiviert, dann wird tatsächlich nach max. 60 Sek. dieser Rechner auch gesperrt.
Umgekehrt geht das leider nicht.
Heißt also, wenn ein Rechner gesperrt war und wird zwischenzeitlich wieder in der AD freigegeben. Da kann man warten bis zur Ewigkeit.

Dann hilft auf der Konsole im Telnet nur noch ein Befehl: aaa port-access mac-based 4 reauthenticate

Dann wird alles auf Port 4 sofort nochmal überprüft. Dann funktioniert das auch.

Aber das kann nicht die Lösung sein. Warum funktioniert der Befehl aaa port-access mac-based 1-24 reauth-period 60 nicht richtig?
Bitte warten ..
Mitglied: Dobby
13.09.2012, aktualisiert um 14:57 Uhr
Zitat von RalphT:
Hallo Dobby,
Hallo RalphT,

....Fällt auch aus, wegen der Kosten.
Netgear GS110T für 105 € plus Versand! 8 GB Lan Ports + 2 SFP mini GBIC

Ich wüsste jetzt auch nur drei Wege die Du ausprobieren kannst!

Saubere Lösung
1. Neue Dosen setzten, Leitungen ziehen, zusätzliche Patchfelder kaufen und das Ganze ordentlich machen!

Try out Lösung --> (Ohne Gewähr)
2. Du besorgst Dir kleine s.g. Smart Switche die VLAN Support mit bringen und setzt auf dem Switch im Rack ein VLAN auf und auf dem Smart Switch auch eins (Trunk) und da kommen dann die Klienten rein!
Die auth. macht dann der Switch mit der Unterstützung im Rack!

50 - 50 Lösung
3. Du kaufst die GS110T Smart Switche und hast einen Funktionsumpfang der sonst so nicht zu bekommen ist, ich habe hier zu Hause zwei davon, den GS110T & GS110TP ich bin zufrieden! (Alle Ports belegt!)
Die sind Lüfterlos und stören keinen, ich wollte erst die CISCO Smart Switch Serie nehmen, aber.......
und 105 € sind nun wirklich nicht zu viel, bei der Ausstattung.

Es gibt schon seid einer Weile SmartSwitche.

Lösung 2
Netgaer GS105E - 5 GB LAN Ports mit VLAN
Netgear GS108E - 8 GB LAN Ports mit VLAN
Netgear GS116E - 16 GB LAN Ports mit VLAN
Netgear JGS524E - 24 GB LAN Ports mit VLAN

Lösung 3
Netgaer GS110T - 8 GB LAN Ports mit VLAN + 2 FSP mini GBIC + Radius & TACAS+
Netgear GS110TP - 8 GB LAN Ports mit VLAN + 2 FSP mini GBIC + PoE + Radius & TACAS+
Bitte warten ..
Mitglied: aqui
13.09.2012, aktualisiert um 13:40 Uhr
Das Verhalten ist nicht falsch sondern logisch ! Man muss nur mal etwas nachdenken...
Die Mac Adresse des PCs ist in der Mac Forwarding Database vom 8 Port Switch gespeichert und kommt jetzt auch am Uplink Port der ProCurve Gurke an.
Nun startet die Authentisierung und der Rechner kommt ins Netzwerk. Switch intern kommt diese Mac in die Mac Forwarding Database des ProCurves, was ja auch richtig ist, denn er lernt diese ja über den Uplink Port.
Wenn du nun den PC am 8 Port Switch abklemmst wird seine Mac in dessen Mac Forwarding Database gelöscht, weil der Link down ist !
Niemals aber im ProCurve, denn der Uplink zum 8 Port Switch ist ja noch aktiv.
Der procurve hat also gar keine Chance mitzubekommen das die Mac am 8 Port Switch nicht mehr aktiv ist, denn für ihn kennt er sie ja noch über den Uplink Port.
Hier tuckt dann nun der Mac Aging Timer im ProCurve ! "Sieht" er diese Mac nicht mehr für eine gewisse Zeit wird sie aus der Mac Forwarding Database gelöscht, aber eben nach einer Zeit nicht sofort, weil der Link ja physsich aktiv ist.
Fazit: Der ProCurve macht was er soll und funktioniert standardkonform nur DU hast das vermutlich übersehen...oder weisst nicht wirklich wie ein LAN Switch funktioniert...?!
Also Mac Aging Gedächtnisminute (oder die Timoeout Zeit die die ProCurve Gurke dafür im Default konfiguriert hat ?!) beachten und dann nochmal testen...dann klappt das auch !
Bitte warten ..
Mitglied: RalphT
17.09.2012 um 10:44 Uhr
Nachdem ich jetzt mal etwas getestet habe, konnte ich wohl den Fehler ausmachen:

Laut Handbuch liegt der Parameter "mac-age-time bei 300 und der Parameter reauth-period auch bei 300. Danach hätte es eigentlich nach 5 Minuten klappen müssen. Lief aber nicht.

Dann habe ich den Parameter reauth-period auf den Wert 180 gesetzt. Und siehe da: Jetzt läuft es. Dieser Paramteter ist standardmäßig nicht auf 300, sondern auf 0. Das bedeutet, dass diese Funktion abgeschaltet ist.

Jetzt ist alles ok.
Bitte warten ..
Mitglied: aqui
17.09.2012 um 10:47 Uhr
Eben.... HP ProCurve Gurken...was soll man da auch erwarten ?!

Wenn's das denn war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Switche und Hubs
gelöst HP Procurve Switch 2650 J4899B Hängt, keine Verbindung möglich (7)

Frage von duke1212 zum Thema Switche und Hubs ...

Netzwerkmanagement
gelöst HPE 5412zl - J8706A ProCurve Switch 5400zl 24p Mini-GBIC Module (6)

Frage von Resolv zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...