Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Diverse Fragen zu NAC, IAS und HP ProCurve Switchen

Frage Netzwerke

Mitglied: PrivateSchneewittchen

PrivateSchneewittchen (Level 1) - Jetzt verbinden

06.05.2010 um 17:27 Uhr, 5161 Aufrufe, 2 Kommentare

Hallo zusammen,

ich arbeite mich gerade in das Thema NAC ein. Hierzu habe ich eine Laborumgebung aufgebaut.

Ziel ist Folgendes: Stöpselt sich ein User am Switch an und wird die Authentifizerung (EAPoL/RADIUS) erfolgreich durchgeführt,
kommt er in das VLAN 1. Schlägt die Authentifizerung fehl (oder handelt es sich um einen Gast), wird das VLAN 5 am Switch-Port
auf untagged gesetzt.

Aktuell sieht das Konstrukt so aus:

- 1 x Domain Controller mit IAS (Win 2k3 R2)
- 1 x HP ProCurve Switch (2610)
- 2 Clients (Windows Notebook, das EAP-Authentifizerung unterstütz und einen Client, der das nicht kann)

Switchkonfiguration:

aaa authentication port-access eap-radius authorized
radius-server host IPADRESSEMEINESSERVERS key GEHEIM
aaa port-access authenticator 24
aaa port-access authenticator 24 auth-vid 1
aaa port-access authenticator 24 unauth-vid 5
aaa port-access authenticator active

Funktioniert soweit alles wunderbar.

Jetzt habe ich dazu aber noch Fragen:

Ich würde gerne die VLAN's dynamisch in Abhängigkeit der Authentifizerung zuweisen. Hierzu habe ich auf dem IAS in der Richtline
folgendes hinzugefügt:

ec86efa154543fe7147c5bc2e19c7a9b - Klicke auf das Bild, um es zu vergrößern

Leider zeigt diese Einstellung überhaupt keine Wirkung. Bei erfolgreicher Authentifizerung lande ich immer wieder im VLAN 1.
Ansonsten im VLAN 5. Laut HP müsste aber die VLAN-Konfiguration am Switch durch die RADIUS-Vorgabe überschrieben werden.
Oder habe ich da was falsch verstanden?

Außerdem sollen zukünftig auch Geräte (VoIP-Telefone, Drucker, usw.) betrieben werden, die kein EAP sprechen können.
HP bietet als Alternative die MAC-Authentifizierung an. Würde soweit auch funktionieren. Leider muss ich dann in der AD Benutzer anlegen,
bei denen der Name und das Passwort der MAC-Adresse entspricht. Halte ich für nicht sicher. Außerdem verbietet das die Kennwortrichtline
(Domain-Policy). Was habe ich für Alternativen?

Wie geht ihr mit VoIP VLAN's um? Also an Ports, an denen im Prinzip zwei Clients hängen. Das VoIP-Telefon sollte einen getaggten Ethernetframe
erhalten. Der andere Client ist im ungetaggtem VLAN. Entweder im Gastnetzwerk oder eben im "normalen" LAN:

Danke schon mal!

Grüße
Mitglied: aqui
06.05.2010 um 20:21 Uhr
So sollte diese Einstellung sein:

5d6234e4ee9d8203fb29c163535cf87f - Klicke auf das Bild, um es zu vergrößern

Damit klappt es dann auch auf Anhieb.
Was meinst du mit VoIP VLANs. Was du beschreibst ist der allgemein übliche Umgang bzw. Konfigurations eines VoIP VLAN Ports... wo ist da jetzt die Frage ??
Es ist klar das der Voice Traffic immer getaggt sein muss, denn jeder Voice Hersteller aktiviert eine Layer 2 Priorisierung mit 802.1p. Da aber ein 802.1p Header immer Teil einen 802.1q Headers ist sind also Voice Pakete immer getagged um ein Layer 2 QoS mit den Voice daten im netz zu machen !
Ein am internen Telefon Switch angeschlossener PC ist untagged...logisch.
Der 802.1q Standard schreibt vor das das Default VLAN immer untagged an einem tagged Port übertragen wird. Jedem normalen Switch (wenn nicht gerade Billigheimer ala NetGear oder D-Link usw. sind) kannst du in der Konfig sagen in welches VLAN er den untagged Traffic an diesem Port forwarden soll.
Logischerweise geht das auch mit einer Port Authentifizierung via 802.1x wie du es machst. Und das sogar getrennt für das Telefon und den PC.
Beim Telefon dann Mac Adressbasierend wenn es keinen 802.1x Client haben sollte !
Noch einfacher ist es aber mit automatischen Voice VLANs zu arbeiten die dann per LLDP med Protokoll im Netz gesetzt werden.
So einfach ist das !!
Bitte warten ..
Mitglied: PrivateSchneewittchen
07.05.2010 um 10:58 Uhr
Servus!

Danke erstmal. Hab den Eintrag "Framed-Protocol" hinzugefügt. Leider hilft das auch nicht. Ich lande mit dem authentifizierten Client immer im "auth-vid". Also im VLAN 1.

Wie kann ich die MAC Adressbasierte Authentifizierung realisieren? Bisher kenne ich nur den Weg, dass man in der AD einen Benutzer anlegen muss, der als ID und Kennwort jeweils
die MAC-Adresse eingetragen hat. Halte ich wie gesagt für nicht sicher, da diese User automatische in der AD-Gruppe "Authentifizierte Benutzer" sind. Außerdem können MAC Adressen
ja relativ leicht herausgefunden und/oder geändert werden.

Grüße
Bitte warten ..
Ähnliche Inhalte
Ubuntu
VSFTPD und HP Procurve Switches
Frage von Arbeitstier207Ubuntu11 Kommentare

Hallo zusammen, ich habe ein Problem mit meinem frisch aufgesetzten VSFTPD unter Ubuntu 14.04.1 LTS. Wenn ich versuche, die ...

Switche und Hubs
Eine Frage über 801.x Anmeldung auf dem HP Procurve Switch
Frage von support666Switche und Hubs6 Kommentare

moin, ich habe eine Frage über 801.x Anmeldung auf dem HP Procurve Switch. Aufgabestellung ist einfach: Es ist ein ...

Switche und Hubs
HP-Procurve Switche generell
gelöst Frage von DocuSnap-DudeSwitche und Hubs3 Kommentare

Hallo, ich bin neu in einem unternehemn, welches HP Procurve-Layer2 Switche einsetzt. Wenn man aus der Cisco-Welt kommt ein ...

Netzwerkprotokolle
HP ProCurve Switche mit MSTP
Frage von romanwaNetzwerkprotokolle8 Kommentare

Hallo, zur Zeit laufen 8x HP ProCurve Switche, die untereinander mehrfach mit 10Gbit verkabelt sind. MSTP an. Die Switche ...

Neue Wissensbeiträge
Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 5 StundenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 5 StundenSicherheit6 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 6 StundenSicherheit5 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 6 StundenSicherheit12 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Heiß diskutierte Inhalte
Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1031 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell29 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen19 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...