Benutzer-Werkzeuge

Webseiten-Werkzeuge


spb_auth

Dies ist eine alte Version des Dokuments!


Authentifizierung in Kombination mit SPB

Access Guardian 2.0 ist seit AOS 8.3.1 für alle OmniSwitch 6860(E), 6865, 6900, 9900 und 10K Komponenten verfügbar und ermöglicht eine Kombination von Nutzer- bzw. Geräte-Authentifizierung und der Nutzung von SPB-Services im Netzwerk. Dies ermöglicht einen sicheren Zugang zu gekapselten Diensten (Netzwerk-Container) im Kontext von Mandantenfähigen Netzen.

Dieser Artikel beschreibt zwei Setups mit SPB und Authentifizierung, welche sich in der Art des Managements der Komponenten unterscheiden. Im ersten Beispiel handelt es sich um Out-of-Band Management, welches den EMP-Port für Management-Traffic und die Radius-Kommunikation nutzt, beim zweiten Beispiel handelt es sich um In-Band Management. Die Konfiguration eines In-Band Managements im SPB-Kontext ist etwas umfangreicher und bedarf der Beachtung einiger Punkte, welche in einem separaten Artikel beschrieben sind.

Konfiguration des Management-Interfaces und des Radius-Servers

Variante 1 - Out-Of-Band Management

Bei dieser Variante wird der Switch über den EMP-Port verwaltet, welcher an ein separates Management-Netz außerhalb der SPB-Domäne angebunden ist.

ip interface emp address 192.168.20.1/24
ip static-route 192.168.0.0/16 gateway 192.168.20.254
aaa radius-server "Rad1" host 192.168.40.10 key mysecret
aaa device-authentication mac "Rad1"

Variante 2 - In-Band Management

Bei dieser Variante wird der Switch über ein IP-Interface innerhalb eines Management-VLANs verwaltet, welches parallel zu den BVLANs der SPB-Domäne über die Uplink-Ports transportiert wird.

vlan 20 name "Management"
ip interface "Management" address 192.168.20.1/24 vlan 20
ip static-route 192.168.0.0/16 gateway 192.168.20.254
aaa radius-server "Rad1" host 192.168.40.10 key mysecret
aaa device-authentication mac "Rad1"

Konfiguration der Authentifizierung und der UNPs

Diese Konfigurationsschritte sind für beide Varianten gültig, d.h. hier unterscheiden sich die Varianten nicht.

Hierfür werden die entsprechenden Ports als UNP Ports des Typs „Access“ definiert. Dies gibt an, dass diese Ports Zugangsports für SPB-Services sind.

unp port 1/1/1 port-type access
unp port 1/1/1 mac-authentication
<code>

<code>
unp profile "Drucker" map service-type spb tag-value 0 isid 10100 bvlan 4003 vlan-xlation 
unp profile "Telefon" map service-type spb tag-value 0 isid 10110 bvlan 4004 vlan-xlation 
spb_auth.1486738023.txt.gz · Zuletzt geändert: 2017/02/10 15:47 von michael