Benutzer-Werkzeuge

Webseiten-Werkzeuge


aos831_access_guardian

Unterschiede zwischen Release 6 und Release 8.3.1 bei Access Guardian

Access Guardian 2.0

Bei dem überarbeiteten und erweiterten Access Guardian 2.0 gibt es eine neue Komponente, der so genannte „UNP-Port“. Weiterhin wurden Port-Templates hinzugefügt um generelle Authentifizierungseinstellungen und das Portverhalten über ein Template den Ports zuzuweisen. Dabei werden unterschiedliche Authentifizierungsverfahren auf Ports oder LAGs unterstützt:

  1. 802.1x (höchste Priorität)
  2. MAC-basierte Authentifizierung
  3. Keine Authentifzierung, nur Klassifizierung anhand der hinterlegten Regeln

Zuordnung von verschiedenen Regeln wie VLANs oder QoS/ACLs über die UNP Edge Profiles:

  1. UNP vom Radius zurückgeliefert
  2. UNP Klassifizierungsregeln
  3. „Pass Alternate“ und „Default UNP“
  4. Block

Die Implementierung und Konfiguration wurde mit AOS 8.3.1 im Vergleich zu AOS 8.1.1 und AOS 8.2.1 erweitert bzw. teilweise verändert. Eine Übersicht der Konfiguration mit AOS Versionen kleiner 8.3.1 ist unter Unterschiede zwischen Release 6 und Release 8.1.1 bei Access Guardian verfügbar.

Vergleich der Access Guardian Konfiguration

Anhand einer einfachen Access Guardian-Regel wird im Folgenden beschrieben, wie Access Guardian auf den OS6860/E eingerichtet wird.

Release 6:

  1. Anlegen des Radius-Servers
    aaa radius-server "radius name" host <ip-adress> key <shared secret>
  2. Zuweisung des Radius-Servers für 802.1x- und MAC-Authentifizierung
    aaa authentication 802.1x "radius name" 
    aaa authentication mac "radius name"
  3. Port auf mobile umstellen
    vlan port mobile <slot/port>
  4. 802.1x auf dem Port aktivieren
    vlan port <slot/port> 802.1x enable
  5. Anpassen der Supplicant-Policy für die 802.1x Regeln
    802.1x <slot/port> supplicant policy authentication pass group-mobility default-vlan fail block
  6. Anpassen der Non-Supplicant Policy für die MAC Regeln
    802.1x <slot/port> non-supplicant policy authentication pass group-mobility default-vlan fail block

Release 8:

  1. Anlegen des Radius-Servers
    aaa radius-server "radius name" host <ip-adress> key <shared secret>
  2. Zuweisung des Radius-Servers für 802.1x- und MAC-Authentifizierung
    aaa device-authentication 802.1x "radius name"
    aaa device-authentication mac "radius name"
  3. Konfiguration eines UNP-Ports, auf welchem authentifiziert werden soll
    unp port <u/s/p> port-type bridge

Ab AOS Release 8.3.1 können auch Profile mit SPB-Services bei der Authentifizierung verwendet werden. Dies ist im Artikel Authentifizierung in Kombination mit SPB beschrieben.

Variante mit Edge-Templates

  1. Anlegen des Edge-Templates
    unp port-template <template name>
  2. Aktivieren von 802.1x und MAC Authentifizierung für das Template
    unp port-template <template name> 802.1x-authentication
    unp port-template <template name> mac-authentication
  3. Klassifizierung für das Template einschalten
    unp port-template <template name> classification
  4. Konfiguration eines UNP-Ports, auf welchem authentifiziert werden soll
    unp port <u/s/p> port-type bridge
  5. Zuweisung des Edge-Templates auf Ports
    unp port <u/s/p> port-template <template name>

Variante ohne Edge-Templates

  1. Aktivieren von 802.1x und MAC Authentifizierung auf den Ports
    unp port <u/s/p> 802.1x-authentication
    unp port <u/s/p> mac-authentication
  2. Klassifizierung für das Template einschalten
    unp port <u/s/p> classification

Da in Release 8 keine direkte Referenz auf VLANs innerhalb der Access Guardian Policies möglich ist, muss dies über UNP Profiles vorgenommen werden.

Beispiel einer Access Guardian Konfiguration

Folgendes Beispiel soll den Umgang mit den VLANs innerhalb von UNP Edge Profiles verdeutlichen:

Release 6:

vlan 10 name voice
vlan 20 name corporate
vlan 20 port default 1/1
vlan 10 mac range 00:80:9f:00:00:00 00:80:9f:ff:ff:ff
vlan port mobile 1/1
vlan port 1/1 802.1x enable
aaa radius-server rad1 host 192.168.1.1 key "hiereinensicherenkeynutzen"
aaa authentication 802.1x rad1
aaa authentication mac rad1
802.1x 1/1 supplicant policy authentication pass group-mobility default-vlan fail block
802.1x 1/1 non-supplicant policy authentication pass group-mobility default-vlan fail block

Release 8:

vlan 10 name voice
vlan 20 name corporate
aaa radius-server rad1 host 192.168.1.1 key "hiereinensicherenkeynutzen"
aaa device-authentication 802.1x rad1
aaa device-authentication mac rad1
unp profile voice
unp profile voice map vlan 10
unp profile corporate
unp profile corporate map vlan 20
unp classification mac-range 00:80:9f:00:00:00 00:80:9f:ff:ff:ff profile1 voice
unp port-template auth-temp
unp port-template auth-temp 802.1x-authentication
unp port-template auth-temp 802.1x-authentication pass-alternate corporate
unp port-template auth-temp mac-authentication
unp port-template auth-temp mac-authentication pass-alternate corporate
unp port-template auth-temp classification
unp port 1/1/1 port-type bridge
unp port 1/1/1 edge-template auth-temp

Weitere Informationen

Dieser Artikel dient primär als Übersicht und Einführung zu den Funktionen von Access Guardian 2.0 in AOS Release 8.3.1. Weiterführende Informationen und Details zu den einzelnen Funktionen sind in den jeweiligen Network Configuration Guides enthalten, welche in der Sektion Dokumentation auf der Dokuwiki-Startseite verlinkt sind.

aos831_access_guardian.txt · Zuletzt geändert: 2017/02/13 15:15 von michael