Benutzer-Werkzeuge

Webseiten-Werkzeuge


aos831_access_guardian

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

aos831_access_guardian [2017/02/13 15:15] (aktuell)
michael angelegt
Zeile 1: Zeile 1:
 +====== Unterschiede zwischen Release 6 und Release 8.3.1 bei Access Guardian ======
  
 +===== Access Guardian 2.0 =====
 +
 +Bei dem überarbeiteten und erweiterten Access Guardian 2.0 gibt es eine neue Komponente, der so genannte "​UNP-Port"​. Weiterhin wurden Port-Templates hinzugefügt um generelle Authentifizierungseinstellungen und das Portverhalten über ein Template den Ports zuzuweisen. Dabei werden unterschiedliche Authentifizierungsverfahren auf Ports oder LAGs unterstützt:​
 +  - 802.1x (höchste Priorität)
 +  - MAC-basierte Authentifizierung
 +  - Keine Authentifzierung,​ nur Klassifizierung anhand der hinterlegten Regeln
 +
 +Zuordnung von verschiedenen Regeln wie VLANs oder QoS/ACLs über die UNP Edge Profiles:
 +  - UNP vom Radius zurückgeliefert
 +  - UNP Klassifizierungsregeln
 +  - "Pass Alternate"​ und "​Default UNP"
 +  - Block
 +
 +<WRAP center round important 60%>
 +Die Implementierung und Konfiguration wurde mit AOS 8.3.1 im Vergleich zu AOS 8.1.1 und AOS 8.2.1 erweitert bzw. teilweise verändert. Eine Übersicht der Konfiguration mit AOS Versionen kleiner 8.3.1 ist unter [[os6860_access_guardian|Unterschiede zwischen Release 6 und Release 8.1.1 bei Access Guardian]] verfügbar.
 +</​WRAP>​
 +
 +===== Vergleich der Access Guardian Konfiguration =====
 +
 +Anhand einer einfachen Access Guardian-Regel wird im Folgenden beschrieben,​ wie Access Guardian auf den OS6860/E eingerichtet wird.
 +
 +**Release 6:**
 +
 +  - Anlegen des Radius-Servers<​code>​aaa radius-server "​radius name" host <​ip-adress>​ key <shared secret></​code>​
 +  - Zuweisung des Radius-Servers für 802.1x- und MAC-Authentifizierung<​code>​aaa authentication 802.1x "​radius name" ​
 +aaa authentication mac "​radius name"</​code>​
 +  - Port auf mobile umstellen<​code>​vlan port mobile <​slot/​port></​code>​
 +  - 802.1x auf dem Port aktivieren<​code>​vlan port <​slot/​port>​ 802.1x enable</​code>​
 +  - Anpassen der Supplicant-Policy für die 802.1x Regeln<​code>​802.1x <​slot/​port>​ supplicant policy authentication pass group-mobility default-vlan fail block</​code>​
 +  - Anpassen der Non-Supplicant Policy für die MAC Regeln<​code>​802.1x <​slot/​port>​ non-supplicant policy authentication pass group-mobility default-vlan fail block</​code>​
 +
 +**Release 8:**
 +
 +  - Anlegen des Radius-Servers<​code>​aaa radius-server "​radius name" host <​ip-adress>​ key <shared secret></​code>​
 +  - Zuweisung des Radius-Servers für 802.1x- und MAC-Authentifizierung<​code>​aaa device-authentication 802.1x "​radius name"
 +aaa device-authentication mac "​radius name"</​code>​
 +  - Konfiguration eines UNP-Ports, auf welchem authentifiziert werden soll<​code>​unp port <​u/​s/​p>​ port-type bridge</​code>​
 +
 +<WRAP center round info 60%>
 +Ab AOS Release 8.3.1 können auch Profile mit SPB-Services bei der Authentifizierung verwendet werden. Dies ist im Artikel [[spb_auth|Authentifizierung in Kombination mit SPB]] beschrieben.
 +</​WRAP>​
 +
 +__Variante mit Edge-Templates__
 +
 +  - Anlegen des Edge-Templates<​code>​unp port-template <​template name></​code>​
 +  - Aktivieren von 802.1x und MAC Authentifizierung für das Template<​code>​unp port-template <​template name> 802.1x-authentication
 +unp port-template <​template name> mac-authentication</​code>​
 +  - Klassifizierung für das Template einschalten<​code>​unp port-template <​template name> classification</​code>​
 +  - Konfiguration eines UNP-Ports, auf welchem authentifiziert werden soll<​code>​unp port <​u/​s/​p>​ port-type bridge</​code>​
 +  - Zuweisung des Edge-Templates auf Ports<​code>​unp port <​u/​s/​p>​ port-template <​template name></​code>​
 +
 +__Variante ohne Edge-Templates__
 +
 +  - Aktivieren von 802.1x und MAC Authentifizierung auf den Ports<​code>​unp port <​u/​s/​p>​ 802.1x-authentication
 +unp port <​u/​s/​p>​ mac-authentication</​code>​
 +  - Klassifizierung für das Template einschalten<​code>​unp port <​u/​s/​p>​ classification</​code>​
 +
 +<WRAP center round info 60%>
 +Da in Release 8 keine direkte Referenz auf VLANs innerhalb der Access Guardian Policies möglich ist, muss dies über UNP Profiles vorgenommen werden.
 +</​WRAP>​
 +
 +===== Beispiel einer Access Guardian Konfiguration =====
 +
 +Folgendes Beispiel soll den Umgang mit den VLANs innerhalb von UNP Edge Profiles verdeutlichen:​
 +
 +**Release 6:**
 +
 +<​code>​
 +vlan 10 name voice
 +vlan 20 name corporate
 +vlan 20 port default 1/1
 +vlan 10 mac range 00:​80:​9f:​00:​00:​00 00:​80:​9f:​ff:​ff:​ff
 +vlan port mobile 1/1
 +vlan port 1/1 802.1x enable
 +aaa radius-server rad1 host 192.168.1.1 key "​hiereinensicherenkeynutzen"​
 +aaa authentication 802.1x rad1
 +aaa authentication mac rad1
 +802.1x 1/1 supplicant policy authentication pass group-mobility default-vlan fail block
 +802.1x 1/1 non-supplicant policy authentication pass group-mobility default-vlan fail block
 +</​code>​
 +
 +**Release 8:**
 +
 +<​code>​
 +vlan 10 name voice
 +vlan 20 name corporate
 +aaa radius-server rad1 host 192.168.1.1 key "​hiereinensicherenkeynutzen"​
 +aaa device-authentication 802.1x rad1
 +aaa device-authentication mac rad1
 +unp profile voice
 +unp profile voice map vlan 10
 +unp profile corporate
 +unp profile corporate map vlan 20
 +unp classification mac-range 00:​80:​9f:​00:​00:​00 00:​80:​9f:​ff:​ff:​ff profile1 voice
 +unp port-template auth-temp
 +unp port-template auth-temp 802.1x-authentication
 +unp port-template auth-temp 802.1x-authentication pass-alternate corporate
 +unp port-template auth-temp mac-authentication
 +unp port-template auth-temp mac-authentication pass-alternate corporate
 +unp port-template auth-temp classification
 +unp port 1/1/1 port-type bridge
 +unp port 1/1/1 edge-template auth-temp
 +</​code>​
 +
 +===== Weitere Informationen =====
 +Dieser Artikel dient primär als Übersicht und Einführung zu den Funktionen von Access Guardian 2.0 in AOS Release 8.3.1. Weiterführende Informationen und Details zu den einzelnen Funktionen sind in den jeweiligen Network Configuration Guides enthalten, welche in der Sektion [[start#​dokumentation_empfohlene_aos_software_version_visio_stencils|Dokumentation]] auf der Dokuwiki-Startseite verlinkt sind.
aos831_access_guardian.txt · Zuletzt geändert: 2017/02/13 15:15 von michael