Benutzer-Werkzeuge

Webseiten-Werkzeuge


spb_auth

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
spb_auth [2017/02/10 15:47]
michael
spb_auth [2017/02/13 12:11] (aktuell)
michael [Authentifizierung in Kombination mit SPB]
Zeile 1: Zeile 1:
 ====== Authentifizierung in Kombination mit SPB ====== ====== Authentifizierung in Kombination mit SPB ======
  
-Access Guardian 2.0 ist seit AOS 8.3.1 für alle OmniSwitch 6860(E), 6865, 6900, 9900 und 10K Komponenten verfügbar und ermöglicht eine Kombination von Nutzer- bzw. Geräte-Authentifizierung und der Nutzung von SPB-Services im Netzwerk. Dies ermöglicht einen sicheren Zugang zu gekapselten Diensten (Netzwerk-Container) im Kontext von Mandantenfähigen Netzen.+Access Guardian 2.0 ist seit AOS 8.3.1 für alle OmniSwitch 6860(E), 6865, 6900 und 10K Komponenten verfügbar und ermöglicht eine Kombination von Nutzer- bzw. Geräte-Authentifizierung und der Nutzung von SPB-Services im Netzwerk. Dies ermöglicht einen sicheren Zugang zu gekapselten Diensten (Netzwerk-Container) im Kontext von Mandantenfähigen Netzen.
  
-Dieser Artikel beschreibt ​zwei Setups ​mit SPB und Authentifizierung, welche sich in der Art des Managements der Komponenten unterscheiden. Im ersten Beispiel handelt es sich um Out-of-Band Management, welches den EMP-Port für Management-Traffic und die Radius-Kommunikation nutzt, beim zweiten Beispiel handelt es sich um In-Band Management. Die Konfiguration eines In-Band Managements im SPB-Kontext ist etwas umfangreicher und bedarf der Beachtung einiger Punkte, welche in einem separaten Artikel beschrieben ​sind.+Dieser Artikel beschreibt ​ein Setup mit SPB und Authentifizierung in Kombination mit Out-of-Band Management, welches den EMP-Port für Management-Traffic und die Radius-Kommunikation nutzt. 
 +Die Konfiguration eines In-Band Managements im SPB-Kontext ist etwas umfangreicher und bedarf der Beachtung einiger Punkte, welche in einem separaten Artikel beschrieben ​werden.
  
 +==== Beispiel-Topologie ====
  
 +{{ ::​spb-auth-netzplan.png?​nolink |}}
  
 ==== Konfiguration des Management-Interfaces und des Radius-Servers ==== ==== Konfiguration des Management-Interfaces und des Radius-Servers ====
  
-=== Variante 1 - Out-Of-Band Management === +Bei diesem Beispiel ​wird der Switch über den EMP-Port verwaltet, welcher an ein separates Management-Netz außerhalb der SPB-Domäne angebunden ist.
- +
-Bei dieser Variante ​wird der Switch über den EMP-Port verwaltet, welcher an ein separates Management-Netz außerhalb der SPB-Domäne angebunden ist.+
  
 <​code>​ <​code>​
Zeile 18: Zeile 19:
 aaa radius-server "​Rad1"​ host 192.168.40.10 key mysecret aaa radius-server "​Rad1"​ host 192.168.40.10 key mysecret
 aaa device-authentication mac "​Rad1"​ aaa device-authentication mac "​Rad1"​
 +aaa device-authentication 802.1x "​Rad1"​
 </​code>​ </​code>​
  
-=== Variante 2 - In-Band Management ​===+==== Konfiguration der Authentifizierung und der UNPs ====
  
-Bei dieser Variante wird der Switch über ein IP-Interface innerhalb eines Management-VLANs verwaltetwelches parallel zu den BVLANs der SPB-Domäne über die Uplink-Ports transportiert wird.+Diese Konfigurationsschritte sind für beide Varianten gültigd.h. hier unterscheiden sich die Varianten nicht.
  
 +Hierfür werden die entsprechenden Ports als UNP Ports des Typs "​Access"​ definiert. Der Port-Typ "​Access"​ ermöglicht die Erstellung von dynamischen Zugangspunkten (SAP) in die SPB-Domäne:​
 <​code>​ <​code>​
-vlan 20 name "​Management"​ +unp port 1/1/1 port-type access
-ip interface "​Management"​ address 192.168.20.1/24 vlan 20 +
-ip static-route 192.168.0.0/16 gateway 192.168.20.254 +
-aaa radius-server "​Rad1"​ host 192.168.40.10 key mysecret +
-aaa device-authentication mac "​Rad1"​+
 </​code>​ </​code>​
  
-==== Konfiguration der Authentifizierung ​und der UNPs ====+Auf diesen Ports wird dann je nach Anforderung MAC-Authentifizierung, 802.1x-Authentifizierung oder beides aktiviert:​ 
 +<​code>​ 
 +unp port 1/1/1 802.1x-authentication 
 +unp port 1/1/1 mac-authentication 
 +</​code>​
  
-Diese Konfigurationsschritte sind für beide Varianten gültigd.hhier unterscheiden sich die Varianten nicht.+Als letzter Schritt werden die Nutzerprofile ​für die Zuordnung zu den SPB-Diensten konfiguriert. Hierbei wird angegebendass das Profil dem Service SPB zugeordnet wirdÜber die ISID wird die Trennung in unterschiedliche Container bzwMandanten erreicht. "​Tag-Value 0" gibt an, dass der Traffic ohne VLAN-Tag an dem jeweiligen Port empfangen wird. Dadurch muss auch die VLAN-Translation aktiviert werden, damit der Traffic auch wieder ohne VLAN-Tag von dem jeweiligen Port gesendet wird. 
 +<​code>​ 
 +unp profile "​Drucker"​  
 +unp profile "​Drucker"​ map service-type spb tag-value 0 isid 10100 bvlan 4003 vlan-xlation  
 +unp profile "​Telefon"​  
 +unp profile "​Telefon"​ map service-type spb tag-value 0 isid 10110 bvlan 4004 vlan-xlation  
 +</​code>​
  
-Hierfür werden die entsprechenden Ports als UNP Ports des Typs "​Access"​ definiert. Dies gibt an, dass diese Ports Zugangsports für SPB-Services sind. 
  
 +==== Überprüfung der korrekten Funktionsweise ====
 +
 +Nach dem Anschließen eines Gerätes an einen entsprechend konfigurierten UNP-Port wird dieser vom Radius-Server authentifiziert und über das UNP Profile einem SPB-Service zugeordnet. In diesem Beispiel handelt es sich um eine MAC-Authentifizierung,​ das Ergebnis einer 802.1x Authentifizierung stellt sich nahezu identisch dar.
 +
 +Überprüfung der erfolgreichen Authentifizierung:​
 <​code>​ <​code>​
-unp port 1/1/1 port-type access+-> show uno user port 1/1/1 
 +                                               ​User ​                                                                          
 +Port    Username ​            Mac address ​      ​IP ​             Vlan Profile ​                         Type         ​Status ​     
 +-------+--------------------+-----------------+---------------+----+--------------------------------+------------+----------- 
 +1/1/1   ​aa:​bb:​cc:​dd:​ee:​ff ​   aa:​bb:​cc:​dd:​ee:​ff 192.168.100.1 ​  ​1 ​   Drucker ​                         Access ​      ​Active ​      
 +  
 +Total users : 1
 </​code>​ </​code>​
  
 +Überprüfung der Authentifizierungs-Details:​
 <​code>​ <​code>​
-unp port 1/1/1 mac-authentication+-> show unp user details ​port 1/1/1 
 +Port: 1/1/1 
 +    MAC-Address:​ aa:​bb:​cc:​dd:​ee:​ff 
 +      SAP                             = -, 
 +      Service ID                      = 32770, 
 +      VNID                            = 10100 ( 0.39.245),​ 
 +      ISID                            = 10100, 
 +      Access Timestamp ​               = 02/10/2017 10:27:46, 
 +      User Name                       = aa:​bb:​cc:​dd:​ee:​ff,​ 
 +      IP-Address ​                     = 192.168.100.1,​ 
 +      Vlan                            = 1, 
 +      Authentication Type             = Mac, 
 +      Authentication Status ​          = Authenticated,​ 
 +      Authentication Failure Reason ​  = -, 
 +      Authentication Retry Count      = 0, 
 +      Authentication Server IP Used   = 192.168.40.10,​ 
 +      Authentication Server Used      = Rad1, 
 +      Server Reply-Message ​           = -, 
 +      Profile ​                        = Drucker, 
 +      Profile Source ​                 = Auth - Pass - Server UNP, 
 +      Profile From Auth Server ​       = Drucker, 
 +      Session Timeout ​                = 0, 
 +      Classification Profile Rule     = -, 
 +      Role                            = -, 
 +      Role Source ​                    = -, 
 +      User Role Rule                  = -, 
 +      Restricted Access ​              = No, 
 +      Location Policy Status ​         = -, 
 +      Time Policy Status ​             = -, 
 +      QMR Status ​                     = -, 
 +      Redirect Url                    = -, 
 +      SIP Call Type                   = Not in a call, 
 +      SIP Media Type                  = None, 
 +      Applications ​                   = None 
 +  
 +Total users : 1 
 +</​code>​ 
 + 
 +Überprüfung des dynamisch angelegten Zugangspunktes (SAP) zu der SPB-Domäne
 <​code>​ <​code>​
 +-> show service access port 1/1/1 sap
 +Legend: * denotes a dynamic object
 +                                                                  Vlan
 +Identifier ​            ​Adm ​ Oper Stats T:P  ServiceId ​  ​Isid/​Vnid Xlation Sap Description
 +----------------------+----+----+-----+----+-----------+---------+-------+--------------------------------
 +sap:​1/​1/​1:​0* ​          ​Up ​  ​Up ​   Y    Y:x  32770* ​     10100       ​Y ​    ​Dynamic SAP for UNP            ​
 + 
 +Total SAPs: 1
 +</​code>​
  
 +Überprüfung des MAC-Learnings und der Zuordnung zu einem SPB-Service:​
 <​code>​ <​code>​
-unp profile "​Drucker"​ map service-type spb tag-value 0 isid 10100 bvlan 4003 vlan-xlation ​ +-> show mac-learning port 1/1/1 
-unp profile "​Telefon"​ map service-type spb tag-value 0 isid 10110 bvlan 4004 vlan-xlation ​+Legend: Mac Address: * = address not valid, 
 +  
 +        Mac Address: & = duplicate static address, 
 +  
 +   ​Domain ​   Vlan/​SrvcId[ISId/​vnId] ​    Mac Address ​          ​Type ​         Operation ​         Interface 
 +------------+----------------------+-------------------+------------------+-------------+------------------------- 
 +       ​SPB ​             32770:​10100 ​  ​aa:​bb:​cc:​dd:​ee:​ff ​           dynamic ​   servicing ​                ​sap:​1/​1/​1 
 +  
 +Total number of Valid MAC addresses above = 1
 </​code>​ </​code>​
  
 +==== Resultierende vcboot.cfg ====
  
 +In diesem Beispiel wurde die Auto-Fabric Funktion für das Erstellen einer SPB-Domäne genutzt. Daraus resultiert die automatische Konfiguration einer LACP-Linkagg auf dem Uplink und der SPB-Domäne.
 +<​code>​
 +! Chassis:
 +system name "​Access"​
  
 +! Configuration:​
 +configuration error-file-limit 2
 +
 +! Capability Manager:
 +hash-control extended
 +
 +! Multi-Chassis:​
 +! Virtual Flow Control:
 +! LFP: 
 +! Interface:
 +! Port_Manager: ​
 +! Link Aggregate:
 +linkagg lacp agg 127 size 16 hash tunnel-protocol admin-state enable ​
 +linkagg lacp agg 127 name "​Created by Auto-Fabric on Thu Feb 10 10:17:16 2017"
 +linkagg lacp agg 127 actor admin-key 65535
 +linkagg lacp port 1/1/49 actor admin-key 65535
 +
 +! VLAN:
 +vlan 1 admin-state enable
 +spb bvlan 4000-4015 admin-state enable
 +spb bvlan 4000-4015 name "​AutoFabric 02/10/2017 10:​17:​35"​
 +mac-learning vlan 4000-4015 disable
 +
 +! PVLAN:
 +! Spanning Tree:
 +spantree vlan 1 admin-state enable ​
 +spantree vlan 4000 admin-state disable ​
 +spantree vlan 4001 admin-state disable ​
 +spantree vlan 4002 admin-state disable ​
 +spantree vlan 4003 admin-state disable ​
 +spantree vlan 4004 admin-state disable ​
 +spantree vlan 4005 admin-state disable ​
 +spantree vlan 4006 admin-state disable ​
 +spantree vlan 4007 admin-state disable ​
 +spantree vlan 4008 admin-state disable ​
 +spantree vlan 4009 admin-state disable ​
 +spantree vlan 4010 admin-state disable ​
 +spantree vlan 4011 admin-state disable ​
 +spantree vlan 4012 admin-state disable ​
 +spantree vlan 4013 admin-state disable ​
 +spantree vlan 4014 admin-state disable ​
 +spantree vlan 4015 admin-state disable ​
 +
 +! DA-UNP:
 +unp profile "​Drucker" ​
 +unp profile "​Telefon" ​
 +unp profile "​Drucker"​ map service-type spb tag-value 0 isid 10100 bvlan 4003 multicast-mode headend vlan-xlation ​
 +unp profile "​Telefon"​ map service-type spb tag-value 0 isid 10110 bvlan 4004 multicast-mode headend vlan-xlation ​
 +unp port 1/1/1 port-type access
 +unp port 1/1/1 classification trust-tag dynamic-service spb
 +unp port 1/1/1 admin-state enable
 +unp port 1/1/1 802.1x-authentication
 +unp port 1/1/1 mac-authentication
 +
 +! Bridging:
 +! Port Mirroring:
 +! Port Mapping:
 +! IP:
 +ip interface dhcp-client vlan 1 ifindex 1
 +ip interface dhcp-client option-60 OmniSwitch-OS6860E-P48
 +
 +! IPv6:
 +! IPSec:
 +! IPMS:
 +! AAA:
 +aaa radius-server "​Rad1"​ host 192.168.40.10 hash-key de135b695ea03a0b retransmit 3 timeout 2 auth-port 1812 act-port 1813 vrf-name default ​
 +aaa authentication console "​local" ​
 +
 +aaa device-authentication mac "​Rad1" ​
 +aaa device-authentication 802.1x "​Rad1" ​
 +aaa tacacs command-authorization disable
 +
 +! NTP:
 +! QOS:
 +! Policy Manager:
 +! VLAN Stacking:
 +! ERP:
 +! MVRP:
 +! LLDP:
 +! UDLD:
 +! Server Load Balance:
 +! High Availability Vlan:
 +! Session Manager:
 +session cli timeout 60
 +session prompt default "​Access->"​
 +
 +! Web:
 +! Trap Manager:
 +! Health Monitor:
 +! System Service:
 +! SNMP:
 +! BFD:
 +! IP Route Manager:
 +ip static-route 192.168.0.0/​16 gateway 192.168.20.254 metric 1 
 +
 +! VRRP:
 +ip load vrrp
 +
 +! UDP Relay:
 +! RIP:
 +! OSPF:
 +! IP Multicast:
 +! DVMRP:
 +! IPMR:
 +! RIPng:
 +! OSPF3:
 +! BGP:
 +! ISIS:
 +! Netsec:
 +! Module:
 +! LAN Power:
 +! RDP:
 +! DHL:
 +! Ethernet-OAM:​
 +! SAA:
 +! SPB-ISIS:
 +spb isis bvlan 4000 ect-id 1
 +spb isis bvlan 4001 ect-id 2
 +spb isis bvlan 4002 ect-id 3
 +spb isis bvlan 4003 ect-id 4
 +spb isis bvlan 4004 ect-id 5
 +spb isis bvlan 4005 ect-id 6
 +spb isis bvlan 4006 ect-id 7
 +spb isis bvlan 4007 ect-id 8
 +spb isis bvlan 4008 ect-id 9
 +spb isis bvlan 4009 ect-id 10
 +spb isis bvlan 4010 ect-id 11
 +spb isis bvlan 4011 ect-id 12
 +spb isis bvlan 4012 ect-id 13
 +spb isis bvlan 4013 ect-id 14
 +spb isis bvlan 4014 ect-id 15
 +spb isis bvlan 4015 ect-id 16
 +spb isis control-bvlan 4000
 +spb isis interface linkagg 127
 +spb isis admin-state enable
 +
 +! SVCMGR:
 +! LDP:
 +! EVB:
 +! APP-FINGERPRINT:​
 +! FCOE:
 +! QMR: 
 +! OPENFLOW:
 +! Dynamic auto-fabric:​
 +auto-fabric admin-state enable
 +auto-fabric protocols mvrp admin-state disable ​
 +
 +! SIP Snooping:
 +! DHCP Server:
 +! DHCPv6 Relay:
 +! DHCPv6 Server:
 +! DHCP Message Service:
 +! DHCP Active Lease Service:
 +! Virtual Chassis Split Protection:
 +! DHCP Snooping:
 +! APP-MONITORING:​
 +! Loopback Detection:
 +! VM-SNOOPING:​
 +! PPPOE-IA:
 +</​code>​
spb_auth.1486738023.txt.gz · Zuletzt geändert: 2017/02/10 15:47 von michael