sorokin.a Posted July 6, 2022 (edited) Добрый день. Настраиваю авторизацию на snr2985 , все работает , но смущает одно но: я не могу включить port-security что бы ограничить количество маков на интерфейсе. Interface Ethernet1/0/6 switchport access vlan 469 dot1x enable dot1x port-method portbased dot1x guest-vlan 158 (config-if-ethernet1/0/6)#switchport port-security Command rejected: Not eligible for secure port. Соответственно, если к порту подцепить неуправляемый свитч, и через него авторизоваться "хорошим" компом то все остальные, неавторизованные попадут в авторизованный влан автоматом. У aruba судя по инструкциям такое работает. Как быть? Edited July 6, 2022 by sorokin.a Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Evgeny Mirhasanov Posted July 6, 2022 On 7/6/2022 at 2:05 PM, sorokin.a said: Соответственно, если к порту подцепить неуправляемый свитч, и через него авторизоваться "хорошим" компом то все остальные, неавторизованные попадут в авторизованный влан автоматом. Можете вот этот момент объяснить с unmangement свитчем? Это как они попадут автоматом в авторизованный вилан? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted July 6, 2022 Вопрос, на самом деле, умеет ли свитч в multiple 802.1x authentications. Если да, то каждый клиент аутентифицируется сам, неважно, есть ли еще что-то между ним и аутентификатором. Если нет, то все зависит от реализации прошивки, может как разрешать всех с порта после первой же аутентификации, так и отбрасывать тоже всех, справедливо определяя, что нижестоящая сеть не поддерживает аутентификацию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sorokin.a Posted July 6, 2022 В 06.07.2022 в 13:17, Evgeny Mirhasanov сказал: Можете вот этот момент объяснить с unmangement свитчем? Это как они попадут автоматом в авторизованный вилан? Все просто. Берем с указанными выше настройками порт. #show dot1x interface ethernet 1/0/6 802.1X is enabled on port Ethernet1/0/6 Authentication Method:Port based Configured Access Vlan 469, Guest Vlan 158, Current Vlan 158 втыкаем в него свитч, желательно неуправляемый, что бы даже маков лишних не было. В него втыкаем в него компьютер, который НЕ может авторизоваться(2й мак свитча, не обращайте внимания) #show dot1x interface ethernet 1/0/6 802.1X is enabled on port Ethernet1/0/6 Authentication Method:Port based Configured Access Vlan 469, Guest Vlan 158, Current Vlan 158 #sh mac-address-table interface ethernet 1/0/6 Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 158 38-f3-ab-86-c9-ca DYNAMIC Hardware Ethernet1/0/6 158 3c-57-31-d7-d8-30 DYNAMIC Hardware Ethernet1/0/6 теперь подключаем в порт комп, которые авторизуется в домене. #show dot1x interface ethernet 1/0/6 802.1X is enabled on port Ethernet1/0/6 Authentication Method:Port based Configured Access Vlan 469, Guest Vlan 158, Current Vlan 469 Status Authorized Port-control Auto Supplicant 40-b0-76-a1-b6-a1 VLAN id 469 Authenticator State Machine State Authenticated Backend State Machine State Idle Reauthentication State Machine State Stop #sh mac-address-table interface ethernet 1/0/6 Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 469 38-f3-ab-86-c9-ca DYNAMIC Hardware Ethernet1/0/6 469 3c-57-31-d7-d8-30 DYNAMIC Hardware Ethernet1/0/6 469 40-b0-76-a1-b6-a1 DYNAMIC Hardware Ethernet1/0/6 Т.е. все остальные оказались в закрытом для них vlan'e Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Evgeny Mirhasanov Posted July 7, 2022 @sorokin.a Добрый день. Да, действительно такая ситуация возникает, мы проаналиpируем ее. Выглядит, на данный момент, как баг. Предлагаю проверить такую же схему, но с использованием mac-based DOT1X: Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1;25;100 untag switchport hybrid native vlan 100 dot1x enable dot1x port-method macbased dot1x macbased guest-vlan 100 dot1x max-user macbased 5 Должно отработать корректно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sorokin.a Posted July 7, 2022 @Evgeny Mirhasanov К сожалению задача авторизации по членствам в доменных группах, mac-based не подходит. Если с port-based будет найдено какое-то решение - будет замечательно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Evgeny Mirhasanov Posted July 7, 2022 @sorokin.a Так ведь там также используется login/password с методом DOT1X. Вы попроовали на стенде? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sorokin.a Posted July 7, 2022 В 07.07.2022 в 09:54, Evgeny Mirhasanov сказал: @sorokin.a Так ведь там также используется login/password с методом DOT1X. Вы попроовали на стенде? @Evgeny Mirhasanov Вы предлагаете проверить работоспособность этой схемы или использовать вместо групповой авторизации? Если второе, то оно не подойдет по многим причинам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Evgeny Mirhasanov Posted July 8, 2022 @sorokin.a Давайте рассмотрим пример с macbased? 1) Имеем такие настройки порта на SW1: SW1#sh run int e1/0/3 ! Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1;25;100 untag switchport hybrid native vlan 100 ip access-group 1 in dot1x enable dot1x port-method macbased dot1x macbased guest-vlan 100 dot1x max-user macbased 5 ! 2) Подключаем к этому порту другой коммутатор (SW2) без каких-либо настроек и проверяем, в каком VLAN он окажется: SW1#sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 38-63-bb-71-d3-00 DYNAMIC Hardware Ethernet1/0/24 1 f8-f0-82-72-10-07 STATIC System CPU 100 00-03-0f-91-b6-60 DYNAMIC Hardware Ethernet1/0/3 3) Т.к. SW2 не отдает никакие учетные данные, то оказывается в гостевом VLAN 100. Далее в SW2 подключаем ПК (PC1) без настроек DOT1X и проверяем, в каком VLAN он окажется: SW1#sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 38-63-bb-71-d3-00 DYNAMIC Hardware Ethernet1/0/24 1 f8-f0-82-72-10-07 STATIC System CPU 100 00-03-0f-91-b6-60 DYNAMIC Hardware Ethernet1/0/3 100 64-31-50-8e-4b-85 DYNAMIC Hardware Ethernet1/0/3 4) Теперь у нас уже два устройства в гостевом VLAN 100, т.к. никто из них не отправил правильные учетные данные по DOT1X. И вот тут ключевой момент. Подключаем к SW2 еще один ПК (PC2), который отдает корректную учетную запись по DOT1X и проверяем таблицу MAC-адресов: SW1#%Jan 01 00:50:55:543 2006 Dot1x: user dot login successfully sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 38-63-bb-71-d3-00 DYNAMIC Hardware Ethernet1/0/24 1 f8-f0-82-72-10-07 STATIC System CPU 25 fc-3f-db-5e-c0-cc STATIC App Ethernet1/0/3 100 00-03-0f-91-b6-60 DYNAMIC Hardware Ethernet1/0/3 100 64-31-50-8e-4b-85 DYNAMIC Hardware Ethernet1/0/3 Как видите, такой ситуации, как с port-based не произошло. За портом с DOT1X три устройства. Те, что не аутентифицировались сидят в гостевом VLAN, устройство с аутентификацией попало в тот VLAN, который был настроен на RADIUS сервере. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sorokin.a Posted July 8, 2022 @Evgeny Mirhasanov Отлично, судя по тому, что на mac based это работает, есть шанс того починят и на port based есть? Я не могу использовать авторизацию по маку, потому что на одной железке могут загружаться разные ОС, и должны попадать в разные vlan'ы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Evgeny Mirhasanov Posted July 8, 2022 @sorokin.a Нет, таково поведение portbased и это прямо написано в документации. А условный VmWare не умеет подменять MAC-адреса своих виртуалок? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sorokin.a Posted July 8, 2022 В 08.07.2022 в 12:29, Evgeny Mirhasanov сказал: @sorokin.a Нет, таково поведение portbased и это прямо написано в документации. ... @Evgeny Mirhasanov Очень жаль, видимо придется искать железки с multiple 802.1x authentications . Спасибо за консультацию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Evgeny Mirhasanov Posted July 8, 2022 @sorokin.a Quote The IEEE 802.1X Multiple Authentication feature provides a means of authenticating multiple hosts on a single port. With both 802.1X and non-802.1X devices, multiple hosts can be authenticated using different methods. Each host is individually authenticated before it can gain access to the network resources. Правильно ли я понимаю, что сочетание на одном порту методов аутентификации DOT1X и MAB решило бы проблему? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sorokin.a Posted July 8, 2022 Проблему бы решило ограничение количества маков на порту. Один порт - один мак. И каждый проходит процедуру авторизации. Но путем проверки сертификата в ОС, а не создание базы маков, ее распределение по группам, вланам и т.д. Хотелось бы чего то простого, типа dot1x max-user 1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
