sorokin.a Posted July 6, 2022 Posted July 6, 2022 (edited) Добрый день. Настраиваю авторизацию на snr2985 , все работает , но смущает одно но: я не могу включить port-security что бы ограничить количество маков на интерфейсе. Interface Ethernet1/0/6 switchport access vlan 469 dot1x enable dot1x port-method portbased dot1x guest-vlan 158 (config-if-ethernet1/0/6)#switchport port-security Command rejected: Not eligible for secure port. Соответственно, если к порту подцепить неуправляемый свитч, и через него авторизоваться "хорошим" компом то все остальные, неавторизованные попадут в авторизованный влан автоматом. У aruba судя по инструкциям такое работает. Как быть? Edited July 6, 2022 by sorokin.a Вставить ник Quote
Evgeny Mirhasanov Posted July 6, 2022 Posted July 6, 2022 On 7/6/2022 at 2:05 PM, sorokin.a said: Соответственно, если к порту подцепить неуправляемый свитч, и через него авторизоваться "хорошим" компом то все остальные, неавторизованные попадут в авторизованный влан автоматом. Можете вот этот момент объяснить с unmangement свитчем? Это как они попадут автоматом в авторизованный вилан? Вставить ник Quote
jffulcrum Posted July 6, 2022 Posted July 6, 2022 Вопрос, на самом деле, умеет ли свитч в multiple 802.1x authentications. Если да, то каждый клиент аутентифицируется сам, неважно, есть ли еще что-то между ним и аутентификатором. Если нет, то все зависит от реализации прошивки, может как разрешать всех с порта после первой же аутентификации, так и отбрасывать тоже всех, справедливо определяя, что нижестоящая сеть не поддерживает аутентификацию. Вставить ник Quote
sorokin.a Posted July 6, 2022 Author Posted July 6, 2022 В 06.07.2022 в 13:17, Evgeny Mirhasanov сказал: Можете вот этот момент объяснить с unmangement свитчем? Это как они попадут автоматом в авторизованный вилан? Все просто. Берем с указанными выше настройками порт. #show dot1x interface ethernet 1/0/6 802.1X is enabled on port Ethernet1/0/6 Authentication Method:Port based Configured Access Vlan 469, Guest Vlan 158, Current Vlan 158 втыкаем в него свитч, желательно неуправляемый, что бы даже маков лишних не было. В него втыкаем в него компьютер, который НЕ может авторизоваться(2й мак свитча, не обращайте внимания) #show dot1x interface ethernet 1/0/6 802.1X is enabled on port Ethernet1/0/6 Authentication Method:Port based Configured Access Vlan 469, Guest Vlan 158, Current Vlan 158 #sh mac-address-table interface ethernet 1/0/6 Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 158 38-f3-ab-86-c9-ca DYNAMIC Hardware Ethernet1/0/6 158 3c-57-31-d7-d8-30 DYNAMIC Hardware Ethernet1/0/6 теперь подключаем в порт комп, которые авторизуется в домене. #show dot1x interface ethernet 1/0/6 802.1X is enabled on port Ethernet1/0/6 Authentication Method:Port based Configured Access Vlan 469, Guest Vlan 158, Current Vlan 469 Status Authorized Port-control Auto Supplicant 40-b0-76-a1-b6-a1 VLAN id 469 Authenticator State Machine State Authenticated Backend State Machine State Idle Reauthentication State Machine State Stop #sh mac-address-table interface ethernet 1/0/6 Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 469 38-f3-ab-86-c9-ca DYNAMIC Hardware Ethernet1/0/6 469 3c-57-31-d7-d8-30 DYNAMIC Hardware Ethernet1/0/6 469 40-b0-76-a1-b6-a1 DYNAMIC Hardware Ethernet1/0/6 Т.е. все остальные оказались в закрытом для них vlan'e Вставить ник Quote
Evgeny Mirhasanov Posted July 7, 2022 Posted July 7, 2022 @sorokin.a Добрый день. Да, действительно такая ситуация возникает, мы проаналиpируем ее. Выглядит, на данный момент, как баг. Предлагаю проверить такую же схему, но с использованием mac-based DOT1X: Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1;25;100 untag switchport hybrid native vlan 100 dot1x enable dot1x port-method macbased dot1x macbased guest-vlan 100 dot1x max-user macbased 5 Должно отработать корректно. Вставить ник Quote
sorokin.a Posted July 7, 2022 Author Posted July 7, 2022 @Evgeny Mirhasanov К сожалению задача авторизации по членствам в доменных группах, mac-based не подходит. Если с port-based будет найдено какое-то решение - будет замечательно. Вставить ник Quote
Evgeny Mirhasanov Posted July 7, 2022 Posted July 7, 2022 @sorokin.a Так ведь там также используется login/password с методом DOT1X. Вы попроовали на стенде? Вставить ник Quote
sorokin.a Posted July 7, 2022 Author Posted July 7, 2022 В 07.07.2022 в 09:54, Evgeny Mirhasanov сказал: @sorokin.a Так ведь там также используется login/password с методом DOT1X. Вы попроовали на стенде? @Evgeny Mirhasanov Вы предлагаете проверить работоспособность этой схемы или использовать вместо групповой авторизации? Если второе, то оно не подойдет по многим причинам. Вставить ник Quote
Evgeny Mirhasanov Posted July 8, 2022 Posted July 8, 2022 @sorokin.a Давайте рассмотрим пример с macbased? 1) Имеем такие настройки порта на SW1: SW1#sh run int e1/0/3 ! Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1;25;100 untag switchport hybrid native vlan 100 ip access-group 1 in dot1x enable dot1x port-method macbased dot1x macbased guest-vlan 100 dot1x max-user macbased 5 ! 2) Подключаем к этому порту другой коммутатор (SW2) без каких-либо настроек и проверяем, в каком VLAN он окажется: SW1#sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 38-63-bb-71-d3-00 DYNAMIC Hardware Ethernet1/0/24 1 f8-f0-82-72-10-07 STATIC System CPU 100 00-03-0f-91-b6-60 DYNAMIC Hardware Ethernet1/0/3 3) Т.к. SW2 не отдает никакие учетные данные, то оказывается в гостевом VLAN 100. Далее в SW2 подключаем ПК (PC1) без настроек DOT1X и проверяем, в каком VLAN он окажется: SW1#sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 38-63-bb-71-d3-00 DYNAMIC Hardware Ethernet1/0/24 1 f8-f0-82-72-10-07 STATIC System CPU 100 00-03-0f-91-b6-60 DYNAMIC Hardware Ethernet1/0/3 100 64-31-50-8e-4b-85 DYNAMIC Hardware Ethernet1/0/3 4) Теперь у нас уже два устройства в гостевом VLAN 100, т.к. никто из них не отправил правильные учетные данные по DOT1X. И вот тут ключевой момент. Подключаем к SW2 еще один ПК (PC2), который отдает корректную учетную запись по DOT1X и проверяем таблицу MAC-адресов: SW1#%Jan 01 00:50:55:543 2006 Dot1x: user dot login successfully sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 38-63-bb-71-d3-00 DYNAMIC Hardware Ethernet1/0/24 1 f8-f0-82-72-10-07 STATIC System CPU 25 fc-3f-db-5e-c0-cc STATIC App Ethernet1/0/3 100 00-03-0f-91-b6-60 DYNAMIC Hardware Ethernet1/0/3 100 64-31-50-8e-4b-85 DYNAMIC Hardware Ethernet1/0/3 Как видите, такой ситуации, как с port-based не произошло. За портом с DOT1X три устройства. Те, что не аутентифицировались сидят в гостевом VLAN, устройство с аутентификацией попало в тот VLAN, который был настроен на RADIUS сервере. Вставить ник Quote
sorokin.a Posted July 8, 2022 Author Posted July 8, 2022 @Evgeny Mirhasanov Отлично, судя по тому, что на mac based это работает, есть шанс того починят и на port based есть? Я не могу использовать авторизацию по маку, потому что на одной железке могут загружаться разные ОС, и должны попадать в разные vlan'ы Вставить ник Quote
Evgeny Mirhasanov Posted July 8, 2022 Posted July 8, 2022 @sorokin.a Нет, таково поведение portbased и это прямо написано в документации. А условный VmWare не умеет подменять MAC-адреса своих виртуалок? Вставить ник Quote
sorokin.a Posted July 8, 2022 Author Posted July 8, 2022 В 08.07.2022 в 12:29, Evgeny Mirhasanov сказал: @sorokin.a Нет, таково поведение portbased и это прямо написано в документации. ... @Evgeny Mirhasanov Очень жаль, видимо придется искать железки с multiple 802.1x authentications . Спасибо за консультацию. Вставить ник Quote
Evgeny Mirhasanov Posted July 8, 2022 Posted July 8, 2022 @sorokin.a Quote The IEEE 802.1X Multiple Authentication feature provides a means of authenticating multiple hosts on a single port. With both 802.1X and non-802.1X devices, multiple hosts can be authenticated using different methods. Each host is individually authenticated before it can gain access to the network resources. Правильно ли я понимаю, что сочетание на одном порту методов аутентификации DOT1X и MAB решило бы проблему? Вставить ник Quote
sorokin.a Posted July 8, 2022 Author Posted July 8, 2022 Проблему бы решило ограничение количества маков на порту. Один порт - один мак. И каждый проходит процедуру авторизации. Но путем проверки сертификата в ОС, а не создание базы маков, ее распределение по группам, вланам и т.д. Хотелось бы чего то простого, типа dot1x max-user 1 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.