[sorokin.a]

Добрый день.
Настраиваю авторизацию на snr2985 , все работает , но смущает одно но: я не могу включить port-security что бы ограничить количество маков на интерфейсе.
 

Interface Ethernet1/0/6
 switchport access vlan 469
 dot1x enable
 dot1x port-method portbased
 dot1x guest-vlan 158



(config-if-ethernet1/0/6)#switchport port-security 
Command rejected: Not eligible for secure port.

Соответственно, если к порту подцепить неуправляемый свитч, и через него авторизоваться "хорошим" компом то все остальные, неавторизованные попадут в авторизованный влан автоматом.
У aruba судя по инструкциям такое работает. Как быть?

Изменено 6 июля, 2022 пользователем sorokin.a

[Evgeny Mirhasanov]

On 7/6/2022 at 2:05 PM, sorokin.a said:

Соответственно, если к порту подцепить неуправляемый свитч, и через него авторизоваться "хорошим" компом то все остальные, неавторизованные попадут в авторизованный влан автоматом.

 

Можете вот этот момент объяснить с unmangement свитчем? Это как они попадут автоматом в авторизованный вилан?

[jffulcrum]

Вопрос, на самом деле, умеет ли свитч в multiple 802.1x authentications. Если да, то каждый клиент аутентифицируется сам, неважно, есть ли еще что-то между ним и аутентификатором. Если нет, то все зависит от реализации прошивки, может как разрешать всех с порта после первой же аутентификации, так и отбрасывать тоже всех, справедливо определяя, что нижестоящая сеть не поддерживает аутентификацию.

[sorokin.a]

В 06.07.2022 в 13:17, Evgeny Mirhasanov сказал:

Можете вот этот момент объяснить с unmangement свитчем? Это как они попадут автоматом в авторизованный вилан?

Все просто. Берем с указанными выше настройками порт.

#show dot1x interface ethernet 1/0/6

802.1X is enabled on port Ethernet1/0/6
Authentication Method:Port based
Configured Access Vlan 469, Guest Vlan 158, Current Vlan 158

втыкаем в него свитч, желательно неуправляемый, что бы даже маков лишних не было.
В него втыкаем в него компьютер, который НЕ может авторизоваться(2й мак свитча, не обращайте внимания)

#show dot1x interface ethernet 1/0/6
802.1X is enabled on port Ethernet1/0/6
Authentication Method:Port based
Configured Access Vlan 469, Guest Vlan 158, Current Vlan 158
#sh mac-address-table interface ethernet 1/0/6
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
158  38-f3-ab-86-c9-ca           DYNAMIC Hardware Ethernet1/0/6
158  3c-57-31-d7-d8-30           DYNAMIC Hardware Ethernet1/0/6

теперь подключаем в порт комп, которые авторизуется в домене.
 

#show dot1x interface ethernet 1/0/6          

802.1X is enabled on port Ethernet1/0/6
Authentication Method:Port based
Configured Access Vlan 469, Guest Vlan 158, Current Vlan 469
  Status        Authorized
Port-control        Auto
  Supplicant        40-b0-76-a1-b6-a1

VLAN id 469
Authenticator State Machine
  State         Authenticated

Backend State Machine
  State         Idle

Reauthentication State Machine
  State         Stop

#sh mac-address-table interface ethernet 1/0/6
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
469  38-f3-ab-86-c9-ca           DYNAMIC Hardware Ethernet1/0/6
469  3c-57-31-d7-d8-30           DYNAMIC Hardware Ethernet1/0/6
469  40-b0-76-a1-b6-a1           DYNAMIC Hardware Ethernet1/0/6

Т.е. все остальные оказались в закрытом для них vlan'e

[Evgeny Mirhasanov]

@sorokin.a Добрый день. Да, действительно такая ситуация возникает, мы проаналиpируем ее. Выглядит, на данный момент, как баг. Предлагаю проверить такую же схему, но с использованием mac-based DOT1X:

 

Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1;25;100 untag
 switchport hybrid native vlan 100
 dot1x enable
 dot1x port-method macbased
 dot1x macbased guest-vlan 100
 dot1x max-user macbased 5

Должно отработать корректно.

[sorokin.a]

@Evgeny Mirhasanov К сожалению задача авторизации по членствам в доменных группах, mac-based не подходит. Если с port-based будет найдено какое-то решение - будет замечательно. 

[Evgeny Mirhasanov]

@sorokin.a Так ведь там также используется login/password с методом DOT1X. Вы попроовали на стенде?

[sorokin.a]

В 07.07.2022 в 09:54, Evgeny Mirhasanov сказал:

@sorokin.a Так ведь там также используется login/password с методом DOT1X. Вы попроовали на стенде?

@Evgeny Mirhasanov Вы предлагаете проверить работоспособность этой схемы или использовать вместо групповой авторизации?
Если второе, то оно не подойдет по многим причинам.

[Evgeny Mirhasanov]

@sorokin.a Давайте рассмотрим пример с macbased?

1) Имеем такие настройки порта на SW1:

SW1#sh run int e1/0/3
!
Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1;25;100 untag
 switchport hybrid native vlan 100
 ip access-group 1 in
 dot1x enable
 dot1x port-method macbased
 dot1x macbased guest-vlan 100
 dot1x max-user macbased 5
!

2) Подключаем к этому порту другой коммутатор (SW2) без каких-либо настроек и проверяем, в каком VLAN он окажется:

SW1#sh mac-address-table
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1    38-63-bb-71-d3-00           DYNAMIC Hardware Ethernet1/0/24
1    f8-f0-82-72-10-07           STATIC  System   CPU
100  00-03-0f-91-b6-60           DYNAMIC Hardware Ethernet1/0/3

3) Т.к. SW2 не отдает никакие учетные данные, то оказывается в гостевом VLAN 100. Далее в SW2 подключаем ПК (PC1) без настроек DOT1X и проверяем, в каком VLAN он окажется:

SW1#sh mac-address-table
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1    38-63-bb-71-d3-00           DYNAMIC Hardware Ethernet1/0/24
1    f8-f0-82-72-10-07           STATIC  System   CPU
100  00-03-0f-91-b6-60           DYNAMIC Hardware Ethernet1/0/3
100  64-31-50-8e-4b-85           DYNAMIC Hardware Ethernet1/0/3

4) Теперь у нас уже два устройства в гостевом VLAN 100, т.к. никто из них не отправил правильные учетные данные по DOT1X. И вот тут ключевой момент. Подключаем к SW2 еще один ПК (PC2), который отдает корректную учетную запись по DOT1X и проверяем таблицу MAC-адресов:

SW1#%Jan 01 00:50:55:543 2006 Dot1x: user dot login successfully
sh mac-address-table
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1    38-63-bb-71-d3-00           DYNAMIC Hardware Ethernet1/0/24
1    f8-f0-82-72-10-07           STATIC  System   CPU
25   fc-3f-db-5e-c0-cc           STATIC  App      Ethernet1/0/3
100  00-03-0f-91-b6-60           DYNAMIC Hardware Ethernet1/0/3
100  64-31-50-8e-4b-85           DYNAMIC Hardware Ethernet1/0/3

Как видите, такой ситуации, как с port-based не произошло. За портом с DOT1X три устройства. Те, что не аутентифицировались сидят в гостевом VLAN, устройство с аутентификацией попало в тот VLAN, который был настроен на RADIUS сервере.

[sorokin.a]

@Evgeny Mirhasanov Отлично, судя по тому, что на mac based это работает, есть шанс того починят и на port based есть?
Я не могу использовать авторизацию по маку, потому что на одной железке могут загружаться разные ОС, и должны попадать в разные vlan'ы 

[Evgeny Mirhasanov]

@sorokin.a Нет, таково поведение portbased и это прямо написано в документации. А условный VmWare не умеет подменять MAC-адреса своих виртуалок?

[sorokin.a]

В 08.07.2022 в 12:29, Evgeny Mirhasanov сказал:

@sorokin.a Нет, таково поведение portbased и это прямо написано в документации. ...

 

@Evgeny Mirhasanov Очень жаль, видимо придется искать железки с  multiple 802.1x authentications .  Спасибо за консультацию.

[Evgeny Mirhasanov]

@sorokin.a
 

Quote

The IEEE 802.1X Multiple Authentication feature provides a means of authenticating multiple hosts on a single port. With both 802.1X and non-802.1X devices, multiple hosts can be authenticated using different methods. Each host is individually authenticated before it can gain access to the network resources.

Правильно ли я понимаю, что сочетание на одном порту методов аутентификации DOT1X и MAB решило бы проблему?

[sorokin.a]

Проблему бы решило ограничение количества маков на порту. Один порт - один мак. И каждый проходит процедуру авторизации. Но путем проверки сертификата в ОС, а не создание базы маков, ее распределение по группам, вланам и т.д.
Хотелось бы чего то простого, типа dot1x max-user 1