Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

mehrere VLANs mit Freeradius dynamisch zuweisen

Frage Netzwerke LAN, WAN, Wireless

Mitglied: metroo

metroo (Level 1) - Jetzt verbinden

13.02.2008, aktualisiert 15.02.2008, 8397 Aufrufe, 4 Kommentare

Hallo,

ich versuche derzeit per Freeradius mehrere VLANs zur Auswahl an einen Cisco Switch zu übergeben. Dies hatte auch funktioniert. Der Switch arbeitete die VLANs der Reihe nach ab und wies das erste VLAN zu, was auch auf dem Switch bekannt war.


Seit auf die neueste IOS upgegraded wurde:
Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-IPBASEK9-M), Version 12.2(40)SG, RELEASE SOFTWARE (fc2)

funktioniert das nicht mehr. Der Switch arbeitet die Daten vom Radius nicht mehr von oben nach unten ab sondern nimmt immer nur die letzte Zeile. ( Admin und netz_1 sind als VLANS angelegt)

Die Übergabe vom Radius:

Feb 13 12:01:50 MET: RADIUS: Tunnel-Medium-Type [65] 6 00:ALL_802 [6]
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 12 01:"Admin"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 16 02:"netz_1"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 17 03:"netz_2"



Ist der VLAN Name nicht vorhanden wird eine Fehlermeldung generiert.

Feb 13 12:37:57 MET: %DOT1X_SWITCH-5-ERR_RADIUS_VLAN_NOT_FOUND: Attempt to assign non-existent VLAN netz_2 to dot1x port FastEthernet0/3


Gibt es eine Möglichkeit dem Switch zu sagen, die VLANs in Reihenfolge durchzuarbeiten und bei nicht vorhandenem VLAN das nächstangebotene zu konfigurieren ?

Ich bin mir ziemlich sicher, das bei der Software-Version Version 12.2(35) mehrere VLANs mitgegeben werden konnten, sofern keines bekannt war wurde dann das vorkonfigurierte VLAN am Switchport aktiv.

Über Hilfe bin ich sehr dankbar.

metroo
Mitglied: aqui
15.02.2008 um 12:37 Uhr
Leider schreibst du nicht auf Basis welcher Daten du die VLANs zuweist. Das kann ja entweder mit einem Usernamen und Passwort oder auf Basis der MAC Adresse geschehen.
Eine FreeRadius Konfig dafür sieht so aus:

01.
02.
# Mac Adresse 
03.
04.
00aa39fc9005 Service-Type == Framed-User, User-Password == "00aa39fc9005" 
05.
    Tunnel-Type = 13, 
06.
    Tunnel-Medium-Type = 6, 
07.
    Tunnel-Private-Group-Id = <vlanname oder ID>      
08.
09.
# Hier mit Username und Passwort 
10.
11.
user    Auth-Type == EAP,    User-Password == "test" 
12.
    Tunnel-Type = 13, 
13.
    Tunnel-Medium-Type = 6, 
14.
    Tunnel-Private-Group-ID = <vlanname oder ID> 
15.
#
Wenn du den FreeRadius mit -xxyz oder -X startest erhälst du einen detailierten Debug Output meistens.
Bitte warten ..
Mitglied: metroo
15.02.2008 um 13:00 Uhr
Hallo aqui,

danke für Deine Antwort.
in der Radiusconfig benutze ich beides, mac based und Zertifikat wie du angibst.
jedoch kann man mit:

user Auth-Type == EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-ID == <Admin>,
Tunnel-Private-Group-ID == <netz_1>,
Tunnel-Private-Group-ID == <netz_2>

vom Radius Server mehrere VLANS zur auswahl an den Switch übergeben. Nur leider wird anscheinend seit der neuen Software nur noch die letzte Zeile vom Switch verstanden oder aber die vorherigen private-Group-IDs mit dem jeweilig nächsten Wert überschrieben.

Was auch interessant wäre: Priorisierung

user Auth-Type == EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-ID:1 == <Admin>,
Tunnel-Private-Group-ID:2 == <netz_1>,
Tunnel-Private-Group-ID:3 == <netz_2>

Den Tunnel-Private-Group-ID's einen Wert mitgeben, dies kommt ja auch beim Switch an:

Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 5 01:"Admin"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 6 02:"netz_1"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 6 03:"netz_2"

Nur scheint das der Switch nicht zu verstehen.

Um kurz zu erläutern was meine Intension ist:

In meiner Netzwerkstruktur ist es notwendig Clients auch dynamisch ein Entwicklernetz zuzuweisen, jedoch wenn dies nicht vorhanden ist, das Standard-Client-VLAN zuzuweisen.
genau dafür bräuchte ich diese Features, welche Freeradius mitliefert, aber der Switch anscheinend nicht mehr versteht.

Viele Grüße
Bitte warten ..
Mitglied: aqui
15.02.2008 um 15:12 Uhr
Was soll das für einen Sinn haben dem Client mehrere VLANs zur Auswahl zu geben. Cisco kann nur Port basierende VLANs der Client kann also immer nur in einem VLAN drin. Zusätzliche VLANs sind also unsinnig m.E.

Bedenke das in der Freeradius Syntax noch Kommas hinter alle Zeilen kommen mit Ausnahme der letzten Zeile.
Die Fallback Funktion auf ein default VLAN wenn das dynamische nicht vorhanden ist oder der Client nicht authentisiert werden kann sollte eigentlich im Switch selber konfiguriert werden.
Bitte warten ..
Mitglied: metroo
15.02.2008 um 16:22 Uhr
Ja, die Kommas hatte ich in meinem Post vergessen, habe den Beitrag editiert der Form halber.

Das der Switch nur ein VLAN pro port zuweisen kann ist mir klar. Mehrere VLANS machen in dem Moment Sinn, wo ein Anwender an verschiedenen Standorten arbeitet und zu verschiedenen VLANS Zugriff braucht. Je nachdem an welchem Standort er sich gerade befindet.

Also zB.
Der Anwender soll Prio 1 sein Entwicklernetz zugewiesen bekommen.
Natürlich liegt das Entwicklernetz nur an seinem Hauptstandort auf.
Jetzt muss der Anwender für ein Projekt an einen anderen Standort der Firma, dort gibt es kein Entwicklernetz.
Prio2 wäre dann das Standard-Netz.Was nun als zweite Möglichkeit zur Verfügung steht.Dieses weist ihm dann der Radius+Switch zu.

Dies soll keine direkte Fallback Lösung sein. Fallback ist ja nur dann wenn die Authentisierung fehlschlägt.

Schönes Wochenende
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Netzwerkgrundlagen
Sinnvolle Segmentierung des Netzwerks in mehrere VLANs (11)

Frage von j.hart zum Thema Netzwerkgrundlagen ...

Netzwerke
gelöst Zugriff auf Server von verschiedenen VLANs aus (7)

Frage von Kroeger02 zum Thema Netzwerke ...

LAN, WAN, Wireless
Mehrere Hardware Firewalls (10)

Frage von cerberus90 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...