107117
Jun 15, 2012
4039
5
0
Portbasierte VLAN-Zuordnung von Clients
Hallo,
ich habe eine RADIUS-Testumgebung, die aus einem Windows 2008 Server als RADIUS-Server, einem 802.1X-fähigen Switch (DLink DGS-1248T) und einem Windows 7-Client besteht.
Die normale 802.1X-Authentifizierung zum RADIUS-Server hat super funktioniert. Jetzt möchte ich die Netzwerkrichtlinie auf dem RADIUS-Server so verändern, dass der RADIUS-Server bestimmt, zu welchem VLAN der Switch den Client zuordnen soll.
Mein Problem ist, dass der RADIUS-Server keine Antwort zurückgibt, auf welches VLAN der Client untergeordnet werden soll. In der Netzwerkrichtlinie für autorisierte Clients habe ich diese Attribute konfiguriert: Tunnel-Medium-Type, Tunnel-Pvt-Group-ID und Tunnel-Type. Trotzdem funktioniert die VLAN-Zuordnung nicht.
Woran könnte es liegen? Liegt es an dem Switch, dass er diese Technologie nicht unterstützt?
LG
ich habe eine RADIUS-Testumgebung, die aus einem Windows 2008 Server als RADIUS-Server, einem 802.1X-fähigen Switch (DLink DGS-1248T) und einem Windows 7-Client besteht.
Die normale 802.1X-Authentifizierung zum RADIUS-Server hat super funktioniert. Jetzt möchte ich die Netzwerkrichtlinie auf dem RADIUS-Server so verändern, dass der RADIUS-Server bestimmt, zu welchem VLAN der Switch den Client zuordnen soll.
Mein Problem ist, dass der RADIUS-Server keine Antwort zurückgibt, auf welches VLAN der Client untergeordnet werden soll. In der Netzwerkrichtlinie für autorisierte Clients habe ich diese Attribute konfiguriert: Tunnel-Medium-Type, Tunnel-Pvt-Group-ID und Tunnel-Type. Trotzdem funktioniert die VLAN-Zuordnung nicht.
Woran könnte es liegen? Liegt es an dem Switch, dass er diese Technologie nicht unterstützt?
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 186568
Url: https://administrator.de/contentid/186568
Printed on: April 24, 2024 at 06:04 o'clock
5 Comments
Latest comment
Dieses Tutorial beschreibt dir genau wie es geht:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Dein Switch muss dieses Feature der dynamischen VLAN Zuordnung bei 802.1x Port Authentisierung explizit unterstützen !
Das datenblatt des Switches sagt dir das genau !
Leider ist bei vielen Billigheimern, zu denen D-Link ja leider gehört, die dynamische VLAN Zuwesiung aus Kostengründen nicht implementiert sondern nur lediglich die Port Authentisiereung.
Wie bereits gesagt, ein Blick ins Datenblatt des Switches sollte das im Handumdrehen klären.
Was ausserdem hilft ist ein Sniffer Trace (Wireshark) des Authentisierungsvorgangs. Hier kannst du ganz deutlich sehen ob der Radius Server das geforderte VLAN zum Client bzw. Port an den Switch schickt !
Wenn der Switch das dann nicht umsetzt, dann ist entweder die Konfiguration falsch oder der Switch supportet die dynamische VLAN Zuweisung nicht !
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Dein Switch muss dieses Feature der dynamischen VLAN Zuordnung bei 802.1x Port Authentisierung explizit unterstützen !
Das datenblatt des Switches sagt dir das genau !
Leider ist bei vielen Billigheimern, zu denen D-Link ja leider gehört, die dynamische VLAN Zuwesiung aus Kostengründen nicht implementiert sondern nur lediglich die Port Authentisiereung.
Wie bereits gesagt, ein Blick ins Datenblatt des Switches sollte das im Handumdrehen klären.
Was ausserdem hilft ist ein Sniffer Trace (Wireshark) des Authentisierungsvorgangs. Hier kannst du ganz deutlich sehen ob der Radius Server das geforderte VLAN zum Client bzw. Port an den Switch schickt !
Wenn der Switch das dann nicht umsetzt, dann ist entweder die Konfiguration falsch oder der Switch supportet die dynamische VLAN Zuweisung nicht !
Hallo,
vielen Dank für die Antwort.
Ich habe mir das Datenblatt angeschaut: ftp://ftp10.dlink.com/pdfs/products/DGS-1248T/DGS-1248T_ds.pdf
Dort steht, dass der Switch die Funktionen "IEEE 802.1Q VLAN Tagging" und "Asymmetric VLANs" unterstützt, aber keine dynamische VLAN-Zuordnung.
Also nehme ich an, dass er diese Funktion nicht unterstützt. Wie gesagt, es war ja nur eine Testumgebung. Die Port-Authentisierung hat einwandfrei funktioniert. Schön wäre es aber, wenn es mit diesem Switch auch möglich wäre, das Netzwerk vor unbefugten Zugriff zu schützen.
Ich werde trotzdem mal mit Wireshark prüfen, ob der RADIUS-Server das geforderte VLAN geschickt hat.
Was sollte eigentlich an der Konfiguration falsch sein? Ich habe die benötigten RADIUS-Attribute angegeben. Wenn der autorisierte Client an einem 802.1X-aktivierten Port von VLAN 1 angeschlossen ist und z. B. zu VLAN 2 zugeordnet werden soll, dann ist die 2 der Wert für die Tunnel-Pvt-Group-ID, oder?
LG
vielen Dank für die Antwort.
Ich habe mir das Datenblatt angeschaut: ftp://ftp10.dlink.com/pdfs/products/DGS-1248T/DGS-1248T_ds.pdf
Dort steht, dass der Switch die Funktionen "IEEE 802.1Q VLAN Tagging" und "Asymmetric VLANs" unterstützt, aber keine dynamische VLAN-Zuordnung.
Also nehme ich an, dass er diese Funktion nicht unterstützt. Wie gesagt, es war ja nur eine Testumgebung. Die Port-Authentisierung hat einwandfrei funktioniert. Schön wäre es aber, wenn es mit diesem Switch auch möglich wäre, das Netzwerk vor unbefugten Zugriff zu schützen.
Ich werde trotzdem mal mit Wireshark prüfen, ob der RADIUS-Server das geforderte VLAN geschickt hat.
Was sollte eigentlich an der Konfiguration falsch sein? Ich habe die benötigten RADIUS-Attribute angegeben. Wenn der autorisierte Client an einem 802.1X-aktivierten Port von VLAN 1 angeschlossen ist und z. B. zu VLAN 2 zugeordnet werden soll, dann ist die 2 der Wert für die Tunnel-Pvt-Group-ID, oder?
LG
Ja, das ist richtig ! Das bezog sich auch mehr auf die Switch Konfiguration. Ggf. solltest du nochmals bei der D-Link Hotline anrufen und das ganz genau klären ob das dynamische VLAN Zuordnen mit .1x supportet ist. Vermutlich wohl nicht... So wie es aussieht supporten das nur die D-Link Switches der 3xxx Serie !
Andere preiswerte VLAN Web Smart Switches supporten das aber schon. (Cisco SG-300 , HP, usw.) Hier lohnt also definitiv immer ein Blick ins Datenblatt !!
Was du allerdings mit der Aussage "Schön wäre es aber, wenn es mit diesem Switch auch möglich wäre, das Netzwerk vor unbefugten Zugriff zu schützen." meinst oder uns sagen willst ist vollkommen unklar !?
Die dynamische VLAN Zuweisung hat doch rein gar nichts mit der Netzwerk Sicherheit zu tun via .1x ??
Sowie du .1x aktivierst auf deinen Ports hast du doch ganz genau DAS erreicht, nämlich dein Netzwerk vor unbefugten Zugriff zu schützen.
Dabei ist es doch völlig Latte erstmal ob du die VLAN Zuweisung statisch oder dynamisch machst auf dem Switch !
Die Sicherheit vor unauthorisiertem Zugriff ist mit .1x immer gegeben !! Genau DAS leistet doch auch den 1224T Websmart Switch ! Wo liegt da also dein Problem ??
Kann das sein das du da was grundlegend missverstanden hast zur .1x Technik ??
Andere preiswerte VLAN Web Smart Switches supporten das aber schon. (Cisco SG-300 , HP, usw.) Hier lohnt also definitiv immer ein Blick ins Datenblatt !!
Was du allerdings mit der Aussage "Schön wäre es aber, wenn es mit diesem Switch auch möglich wäre, das Netzwerk vor unbefugten Zugriff zu schützen." meinst oder uns sagen willst ist vollkommen unklar !?
Die dynamische VLAN Zuweisung hat doch rein gar nichts mit der Netzwerk Sicherheit zu tun via .1x ??
Sowie du .1x aktivierst auf deinen Ports hast du doch ganz genau DAS erreicht, nämlich dein Netzwerk vor unbefugten Zugriff zu schützen.
Dabei ist es doch völlig Latte erstmal ob du die VLAN Zuweisung statisch oder dynamisch machst auf dem Switch !
Die Sicherheit vor unauthorisiertem Zugriff ist mit .1x immer gegeben !! Genau DAS leistet doch auch den 1224T Websmart Switch ! Wo liegt da also dein Problem ??
Kann das sein das du da was grundlegend missverstanden hast zur .1x Technik ??
Hallo,
sorry, da habe ich mich vielleicht blöde ausgedrückt. Es ist mir schon klar, dass man mit 802.1X das Netzwerk vor unbefugtem Zugriff schützen kann.
Mit der VLAN-Zuordnung habe ich anders gemeint. Nennen wir also mal ein Beispiel: es gibt VLAN 1 und VLAN 2. Alle autorisierte Clients sollen zu VLAN 1 zugeordnet werden, alle unautorisierte Clients zu VLAN 2 mit eingeschränktem Netzwerkzugriff. Oder der Switch soll festlegen, zu welchem VLAN ein bestimmter Client angehören soll, wie z. B. zu Marketing, Einkauf, Buchhaltung,...
Wie gesagt, ich teste alle möglichen Funktionen. Die 802.1X-Authentisierung hat super geklappt. Es wäre aber schön, wenn es möglich wäre, zusätzlich zu dieser 802.1X-Technologie die dynamische VLAN-Zuordnung einzufüren. Aber wenn das nicht geht, dann werd ich das lassen. War ja nur ein Versuch...
LG
sorry, da habe ich mich vielleicht blöde ausgedrückt. Es ist mir schon klar, dass man mit 802.1X das Netzwerk vor unbefugtem Zugriff schützen kann.
Mit der VLAN-Zuordnung habe ich anders gemeint. Nennen wir also mal ein Beispiel: es gibt VLAN 1 und VLAN 2. Alle autorisierte Clients sollen zu VLAN 1 zugeordnet werden, alle unautorisierte Clients zu VLAN 2 mit eingeschränktem Netzwerkzugriff. Oder der Switch soll festlegen, zu welchem VLAN ein bestimmter Client angehören soll, wie z. B. zu Marketing, Einkauf, Buchhaltung,...
Wie gesagt, ich teste alle möglichen Funktionen. Die 802.1X-Authentisierung hat super geklappt. Es wäre aber schön, wenn es möglich wäre, zusätzlich zu dieser 802.1X-Technologie die dynamische VLAN-Zuordnung einzufüren. Aber wenn das nicht geht, dann werd ich das lassen. War ja nur ein Versuch...
LG
OK, dann ist das klar und wir sind wieder einer Meinung.
Die dynamische VLAN Zuordnung von authorisierten Clients und das "Einsperren" nicht authorisierter Clients in ein sog. "Gummizellen" VLAN ist eine Standardfunktion von Switches die das dynamische VLAN Zuordnen per .1x generell supporten.
Die können solche Funktionen die du oben beschreibst dann auch problemlos abbilden.
Sieht dann als Fazit so aus als ob du leider zu doll aufs Geld beim Billigheimer D-Link geschielt hast und zu schnell gekauft hast...leider ! Oder schlechte Beratung des Händlers.
Andere Web Smart Switches supporten das alles was du möchtest wie gesagt ohne Probleme bei der dynamischen Zuordnung von VLANs.
Die dynamische VLAN Zuordnung von authorisierten Clients und das "Einsperren" nicht authorisierter Clients in ein sog. "Gummizellen" VLAN ist eine Standardfunktion von Switches die das dynamische VLAN Zuordnen per .1x generell supporten.
Die können solche Funktionen die du oben beschreibst dann auch problemlos abbilden.
Sieht dann als Fazit so aus als ob du leider zu doll aufs Geld beim Billigheimer D-Link geschielt hast und zu schnell gekauft hast...leider ! Oder schlechte Beratung des Händlers.
Andere Web Smart Switches supporten das alles was du möchtest wie gesagt ohne Probleme bei der dynamischen Zuordnung von VLANs.
