Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Authentifizierung MAC-BASED mit Procurve und 8-Port-Switch

Frage Netzwerke Netzwerkmanagement

Mitglied: RalphT

RalphT (Level 1) - Jetzt verbinden

12.09.2012 um 11:27 Uhr, 4582 Aufrufe, 6 Kommentare

Hallo,

ich bereibe hier Procurve-Switche 2620 mit einer MAC-BASED Authentifizierung.
Als RADIUS-Server dient hier ein Windows-Server.
Alle Computer sind mit ihren MAC-Adressen zusätzlich in der Active-Directory.

Hier Scenario 1:

Ich klemme einen Rechner, der in der AD nicht mit seiner MAC-Adresse bekannt ist
direkt an den Port vom Procurve Switch.
Der Rechner wird nicht authentifiziert.

Jetzt wird dieser Rechner in der AD mit seiner MAC-Adresse bekannt gemacht.
Anschließend vom Rechner das Netzwerkabel einmal raus- und wieder reingesteckt.
Jetzt wird der Rechner authentifiziert.

Jetzt kann man nach belieben in der AD den Rechner aktivieren und deaktivieren.
Sobald man am Rechner das Netzwerkabel zieht und wieder hineinsteckt, wird sofort
der richtige Zustand hergestellt.

Dieses Verhalten ist richtig.


Jetzt wird das Ganze wiederholt, aber mit einen Unterschied: Der Rechner ist nicht
direkt mit dem Switch Procurve verbunden, sondern üner einen 8-Port-Switch mit dem
Procurve verbunden.
Auch hier das gleiche Spiel:

Erst ist der Rechner in der AD nicht bekannt. Der Rechner wird auch nicht authentifiziert.
Soweit ist dieses Verhalten noch richtig.

Jetzt wird der Rechner in der AD eingetragen. Anschließend am Rechner Kabel rein und raus
Der Rechner wird immer noch nicht authentifiziert. Dieses Verhalten ist falsch.

Jetzt gibt es nur eine Methode, damit dieser Rechner auch authentifiziert wird: Man muss
das Kabel vom 8-Port-Switch, welches zum Procurve geht, herausziehen und wieder einstecken.

Erst jetzt wird der Rechner authentifiziert.

Meine Frage:

Ist dieses Verhalten normal oder habe ich am Procurve etwas nicht richtig konfiguriert?

Übrigens habe ich am Procurve für jeden Port ADDR-LIMIT auf 32 gesetzt. Daran kanns nicht liegen.
Mitglied: 108012
12.09.2012 um 15:02 Uhr
Tach RalphT,

kann es denn vielleicht damit zusammen hängen, das der Procurve Switch einen Adresse Speicher für die MAC Adressen hat und erst nach dem an -und ab stöpseln des 8 Port Switches die MAC Adresse wieder aus dem Speicher genommen oder wieder neu eingelesen werden?

Ich will mir ja nicht Deinen Zorn zuziehen, aber lass doch einfach den "dummen" 8 Post Switch weg.

OT/
Ist dieses Verhalten normal oder habe ich am Procurve etwas nicht richtig konfiguriert?
OT

Wieso denn am Procurve, da lief doch alles bestens oder etwa nicht?
Der andere "Schweine" 8 Port Switch ist doch irgendwie glasklar der schuldige.
Denn wenn Du das wie oben in Deinem Text beschrieben machst, funktioniert doch alles einwandfrei,
nur an der Stelle wo der 8 Port Switch ins Spiel kommt tritt der Fehler auf.

Gruß
Dobby
Bitte warten ..
Mitglied: RalphT
13.09.2012 um 11:28 Uhr
Hallo Dobby,

ok, der 8-Port-switch ist jetzt einfach der Schuldige, aber diese Dinger werden leider benötigt. Es sind zu wenige LAN-Steckdosen in manchen Büros vorhanden. Da komm ich leider nicht herum. Ich könnte diese durch andere Switche, die RADIUS beherrschen austauschen. Fällt auch aus, wegen der Kosten.

Jetzt nochmal zum Problem zurück: Ich habe gestern noch etwas probiert. Das Problem an dieser Sache scheint zu sein, dass bei einem Trenen des Rechners vom 8-Port-Switch der Procurve anscheinend nichts mit bekommt und daher keine erneute Prüfung durchführt.
Es gibt den Parameter im Procurve der heißt: aaa port-access mac-based 1-24 reauth-period 60. Das heißt für mich alle Ports von 1-24 werden alle 60 Sekunden erneut geprüft. Das habe ich dann getestet.
Es funktioniert leider nur in einer Richtung, bzw. in einem Fall:

Wird ein Rechner in der AD z.B. deaktiviert, dann wird tatsächlich nach max. 60 Sek. dieser Rechner auch gesperrt.
Umgekehrt geht das leider nicht.
Heißt also, wenn ein Rechner gesperrt war und wird zwischenzeitlich wieder in der AD freigegeben. Da kann man warten bis zur Ewigkeit.

Dann hilft auf der Konsole im Telnet nur noch ein Befehl: aaa port-access mac-based 4 reauthenticate

Dann wird alles auf Port 4 sofort nochmal überprüft. Dann funktioniert das auch.

Aber das kann nicht die Lösung sein. Warum funktioniert der Befehl aaa port-access mac-based 1-24 reauth-period 60 nicht richtig?
Bitte warten ..
Mitglied: 108012
13.09.2012, aktualisiert um 14:57 Uhr
Zitat von RalphT:
Hallo Dobby,
Hallo RalphT,

....Fällt auch aus, wegen der Kosten.
Netgear GS110T für 105 € plus Versand! 8 GB Lan Ports + 2 SFP mini GBIC

Ich wüsste jetzt auch nur drei Wege die Du ausprobieren kannst!

Saubere Lösung
1. Neue Dosen setzten, Leitungen ziehen, zusätzliche Patchfelder kaufen und das Ganze ordentlich machen!

Try out Lösung --> (Ohne Gewähr)
2. Du besorgst Dir kleine s.g. Smart Switche die VLAN Support mit bringen und setzt auf dem Switch im Rack ein VLAN auf und auf dem Smart Switch auch eins (Trunk) und da kommen dann die Klienten rein!
Die auth. macht dann der Switch mit der Unterstützung im Rack!

50 - 50 Lösung
3. Du kaufst die GS110T Smart Switche und hast einen Funktionsumpfang der sonst so nicht zu bekommen ist, ich habe hier zu Hause zwei davon, den GS110T & GS110TP ich bin zufrieden! (Alle Ports belegt!)
Die sind Lüfterlos und stören keinen, ich wollte erst die CISCO Smart Switch Serie nehmen, aber.......
und 105 € sind nun wirklich nicht zu viel, bei der Ausstattung.

Es gibt schon seid einer Weile SmartSwitche.

Lösung 2
Netgaer GS105E - 5 GB LAN Ports mit VLAN
Netgear GS108E - 8 GB LAN Ports mit VLAN
Netgear GS116E - 16 GB LAN Ports mit VLAN
Netgear JGS524E - 24 GB LAN Ports mit VLAN

Lösung 3
Netgaer GS110T - 8 GB LAN Ports mit VLAN + 2 FSP mini GBIC + Radius & TACAS+
Netgear GS110TP - 8 GB LAN Ports mit VLAN + 2 FSP mini GBIC + PoE + Radius & TACAS+
Bitte warten ..
Mitglied: aqui
13.09.2012, aktualisiert um 13:40 Uhr
Das Verhalten ist nicht falsch sondern logisch ! Man muss nur mal etwas nachdenken...
Die Mac Adresse des PCs ist in der Mac Forwarding Database vom 8 Port Switch gespeichert und kommt jetzt auch am Uplink Port der ProCurve Gurke an.
Nun startet die Authentisierung und der Rechner kommt ins Netzwerk. Switch intern kommt diese Mac in die Mac Forwarding Database des ProCurves, was ja auch richtig ist, denn er lernt diese ja über den Uplink Port.
Wenn du nun den PC am 8 Port Switch abklemmst wird seine Mac in dessen Mac Forwarding Database gelöscht, weil der Link down ist !
Niemals aber im ProCurve, denn der Uplink zum 8 Port Switch ist ja noch aktiv.
Der procurve hat also gar keine Chance mitzubekommen das die Mac am 8 Port Switch nicht mehr aktiv ist, denn für ihn kennt er sie ja noch über den Uplink Port.
Hier tuckt dann nun der Mac Aging Timer im ProCurve ! "Sieht" er diese Mac nicht mehr für eine gewisse Zeit wird sie aus der Mac Forwarding Database gelöscht, aber eben nach einer Zeit nicht sofort, weil der Link ja physsich aktiv ist.
Fazit: Der ProCurve macht was er soll und funktioniert standardkonform nur DU hast das vermutlich übersehen...oder weisst nicht wirklich wie ein LAN Switch funktioniert...?!
Also Mac Aging Gedächtnisminute (oder die Timoeout Zeit die die ProCurve Gurke dafür im Default konfiguriert hat ?!) beachten und dann nochmal testen...dann klappt das auch !
Bitte warten ..
Mitglied: RalphT
17.09.2012 um 10:44 Uhr
Nachdem ich jetzt mal etwas getestet habe, konnte ich wohl den Fehler ausmachen:

Laut Handbuch liegt der Parameter "mac-age-time bei 300 und der Parameter reauth-period auch bei 300. Danach hätte es eigentlich nach 5 Minuten klappen müssen. Lief aber nicht.

Dann habe ich den Parameter reauth-period auf den Wert 180 gesetzt. Und siehe da: Jetzt läuft es. Dieser Paramteter ist standardmäßig nicht auf 300, sondern auf 0. Das bedeutet, dass diese Funktion abgeschaltet ist.

Jetzt ist alles ok.
Bitte warten ..
Mitglied: aqui
17.09.2012 um 10:47 Uhr
Eben.... HP ProCurve Gurken...was soll man da auch erwarten ?!

Wenn's das denn war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
HP ProCurve Switch Port uptime
Frage von RafikiLAN, WAN, Wireless2 Kommentare

Hallo Bei einem HP ProCurve 2920 Switch möchte ich gerne wissen wie lange ein Interface bzw. Port schon ungenutzt ...

Switche und Hubs
Kaufberatung: min. 8 Port Switch
gelöst Frage von CanowerSwitche und Hubs11 Kommentare

Hallo! Da ich mein Heimnetzwerk im Moment aufrüste suche ich dafür mindesten 2 8xPort Switches. Das Netzwerk gliedert sich ...

Switche und Hubs
8 port Gbit switch gesucht
gelöst Frage von dxellasSwitche und Hubs13 Kommentare

Hallo zusammen, Meine Kenntnisse bezüglich switches bewegen sich leider auf sehr geringem Niveau. Bisher hatte ich keinen, brauche nun ...

Netzwerkmanagement
ProCurve Mac-auth based + vlan im NPS 2021 R2
Frage von BulliiNetzwerkmanagement2 Kommentare

Hallo, ich hatte schon mal eine laufende Konfiguration im Labor , leider klappt es derzeit irgendwie nicht mehr. Ich ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 104 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell16 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

Hardware
Fujitsu Workstation mit K80 und Quadro P5000, Fehlermeldung: Connect Power Adapter
Frage von MachelloHardware7 Kommentare

Hallo Zusammen, ich benötige euren Rat da ich ratlos bin. Folgende Konfiguration im Büro: Fujitsu Workstation Celcius R940 Power ...