Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vlan Mac basierend bei Procurve Switches

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Defector

Defector (Level 1) - Jetzt verbinden

14.02.2007, aktualisiert 03.04.2007, 11576 Aufrufe, 10 Kommentare

Ich bin Neuling bei Vlans und hätte dabei einige Fragen

Ich habe einen Procurve 2524 Switch und habe derzeit keinen Plan wie ich ein Mac-Addressen basierendes Vlan aufbaue.
Muss ich dabei Listen oder Datenbanken auf den Switch übertragen oder kann ich alles im CLI Arbeitsbereich einstellen und vor allen wie
würde mich freuen wenn mir wer Weiterhelfen könnte
Mitglied: aqui
14.02.2007 um 22:12 Uhr
Nein das muss man nicht und das wäre ja auch ein etwas krankes Konzept.
Was man macht ist die MAC Adressen auf einem Radius Server wie z.B. MS IAS oder Freeradius zu hinderlegen. Mit der MAC Adresse übergibst du dann als Radius Parameter das VLAN in das dieser Client soll.
Von der Funktion ist das recht einfach. Der Switch sieht sich das allererste Packet an das vom Client an den geblockten Switchport kommt. Dann erzeugt er einen Radius Request um die MAC Adresse zu authentifizieren. Der Radius antwortet und gibt gleich das VLAN mit zu der diese MAC Adresse gehört und der Switch ordnet dann dynamisch dieses VLAN zu und übernimmt die Adresse in seine CAM Tabelle.
Wenn die MAC Adresse unbekannt ist gibt es 2 Möglichkeiten:
1.) Der Switch lässt den Zugriff nicht zu und blockt den Port !
2.) Der Switch schickt dieses Endgerät in eine gesichertes "Quarantäne VLAN".

Eine Freeradius Konfig sieht z.B. so aus:

000c0e812e33 Service-Type == Framed-User, User-Password == "000c0e812e33"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 7 (-> Das ist die VLAN ID die übergeben wird !)
Bitte warten ..
Mitglied: Defector
15.02.2007 um 09:28 Uhr
Was muss ich dabei auf den switch konfigurieren das er zuerst am Radius Server nachfragt
Ich habe nämlich keine zugehörige konfiguration entdecken können
Bitte warten ..
Mitglied: aqui
17.02.2007 um 02:00 Uhr
Du brauchst dafür die aktuellste Firmware F05.55. In den Release Notes dazu:
ftp://ftp.hp.com/pub/networking/software/2300-2500-RelNotes--f0555-599 ...
steht auf Seite 101 genau wie es geht.

Das ist eine generelle Radius Konfiguration die für alle Security Abfragen gilt !
Scheinbar supportet die 25er Serie aber keine MAC based VLANs, das machen nur andere Modelle (siehe Feature Liste bei HP).
Der 2524 macht so nach den release Notes der Firmware nur eine 802.1x Port Authentifizierung !
Ggf. gibt es aber einen aktuelleren FW Fix von HP der das Manko behebt. Ggf. bei der Hotline nachfragen.
Bitte warten ..
Mitglied: Defector
20.02.2007 um 12:51 Uhr
Ich habe aber auch noch 2626er und einen 5300xl im netz kann ich mit denen Mac basierende VLANs machen
Bitte warten ..
Mitglied: aqui
21.02.2007 um 13:14 Uhr
Dafür solltest du auf der HP Seite einmal die Release Notes zu den letzten Firmware Images dieser beiden Systeme lesen. Oder...kurz die Hotline bei HP anrufen ! Die sollten das wissen...
Bitte warten ..
Mitglied: RWieser1
02.04.2007 um 16:12 Uhr
Hallo Miteinander,

ich bin auch schon einige Zeit damit am probieren,
aber scheinbar zu blöd um es richtig hinzukriegen.

Habe einen Procurve 2824 mit aktueller Firmware und
den Microsoft IAS als Radius Server.

User und Kennwort sind die MAC des Clients (auf Switch Port 16).

Meine Procurve config schaut so aus:

aaa authentication port-access chap-radius
radius-server host 192.168.20.30 key radius
aaa port-access authenticator 16
aaa port-access authenticator active
aaa port-access mac-based 16
aaa port-access mac-based addr-format multi-dash
aaa port-access 16

Habe ich am Procurve etwas vergessen oder ist der IAS
mein Problem ?

Danke für Eure Hilfe !
Bitte warten ..
Mitglied: aqui
02.04.2007 um 16:57 Uhr
Was sagt denn dein IAS im Log wenn eine eingehende Authentifizierung vom Switch kommt ???
Sieht er diese Auth Packete überhaupt ??? Wenn nicht sendet der Switch gar nichts an ihn und das Problem liegt ganz woanders.
Am einfachsten schleifst du mal einen Sniffer in den Anschluss des IAS und checkst mal ob dort Radius Auth. Requests vom Switch ankommen... Das Log muss das aber auch anzeigen !
Bitte warten ..
Mitglied: RWieser1
02.04.2007 um 17:21 Uhr
Anbei die Meldung vom IAS

Benutzer "00-0f-b0-b8-81-87" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = /Trusted PC´s/mac_ds-nb-tkarrer
NAS-IP-Adresse = 192.168.20.254
NAS-Kennung = ds-hp2824
Clientanzeigename = HP-2824 Switch
Client-IP-Adresse = 192.168.20.254
Kennung der Anruferstation = 00-0f-b0-b8-81-87
NAS-Porttyp = Ethernet
NAS-Port = 16
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinienname = 802.1x MAC Auth.
Authentifizierungstyp = MD5-CHAP
EAP-Typ = <unbestimmt>

Also laut IAS ist scheinbar alles OK.
Auch im Switch bekomme ich keine weiterne Fehlermeldungen.
sh radius host - Auth auch OK !
aber das Port 16 bleibt Down ?

Ist die Procurve Konfig soweit OK ?
Bitte warten ..
Mitglied: aqui
03.04.2007 um 10:56 Uhr
Das ist in der Tat merkwürdig. Auf down dürfte der Port aber niemals gehen, denn dort hängt ja ein aktiver Link von dem zu authentifizierenden PC dran. Das wäre per se schonmal falsch ! Auch wenn der Benutzer nicht authentifiziert ist bleibt so ein Port immer physisch auf up !!!

Gibt es auf dem HP ein paar "show" Kommandos die den Authentifizierungsstatus anzeigen ? Hat der Switch einen "debug mode" in den du ihn schalten kannst um zu sehen was mit dem Port während der Authentifizierung passiert ???
GGf. ist das ein SW Bug in der HP Firmware. Was sagt denn die HP Hotline dazu oder eröffne einen Case mit HP. Die geben doch lebenslangen Support also sollte die Auskunft bzw. der Support ja nix kosten...
Bitte warten ..
Mitglied: RWieser1
03.04.2007 um 12:53 Uhr
Also der Link-Status des Port 16 ist UP.
Auch bei sh port-access mac-based ist Port 16 "Authenticated"

Aber bei sh port-access authenticator ist Port 16 "Closed"
und somit auch keine Kommunikation möglich.

Werde wohl den HP Support einschalten.
Danke
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Linux Netzwerk
Verständnisfrage: NIC Bonding über 2 HP Procurve Switches (5)

Frage von g0drealm zum Thema Linux Netzwerk ...

LAN, WAN, Wireless
gelöst HP Procurve VLAN und Routing (3)

Frage von Fisch2005 zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
DHCP MAC Filter unter W2008R2 (2)

Frage von sabines zum Thema Windows Netzwerk ...

Mac OS X
Mac SMB Zugriffsproblem

Frage von Phill93 zum Thema Mac OS X ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...