Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- spb_auth [2017/02/10 14:47] – michael
+++ spb_auth [2024/06/09 10:29] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
 ====== Authentifizierung in Kombination mit SPB ======
-Access Guardian 2.0 ist seit AOS 8.3.1 für alle OmniSwitch 6860(E), 6865, 6900, 9900 und 10K Komponenten verfügbar und ermöglicht eine Kombination von Nutzer- bzw. Geräte-Authentifizierung und der Nutzung von SPB-Services im Netzwerk. Dies ermöglicht einen sicheren Zugang zu gekapselten Diensten (Netzwerk-Container) im Kontext von Mandantenfähigen Netzen.
+Access Guardian 2.0 ist seit AOS 8.3.1 für alle OmniSwitch 6860(E), 6865, 6900 und 10K Komponenten verfügbar und ermöglicht eine Kombination von Nutzer- bzw. Geräte-Authentifizierung und der Nutzung von SPB-Services im Netzwerk. Dies ermöglicht einen sicheren Zugang zu gekapselten Diensten (Netzwerk-Container) im Kontext von Mandantenfähigen Netzen.
-Dieser Artikel beschreibt zwei Setups mit SPB und Authentifizierung, welche sich in der Art des Managements der Komponenten unterscheiden. Im ersten Beispiel handelt es sich um Out-of-Band Management, welches den EMP-Port für Management-Traffic und die Radius-Kommunikation nutzt, beim zweiten Beispiel handelt es sich um In-Band Management. Die Konfiguration eines In-Band Managements im SPB-Kontext ist etwas umfangreicher und bedarf der Beachtung einiger Punkte, welche in einem separaten Artikel beschrieben sind.
+Dieser Artikel beschreibt ein Setup mit SPB und Authentifizierung in Kombination mit Out-of-Band Management, welches den EMP-Port für Management-Traffic und die Radius-Kommunikation nutzt.
+Die Konfiguration eines In-Band Managements im SPB-Kontext ist etwas umfangreicher und bedarf der Beachtung einiger Punkte, welche in einem separaten Artikel beschrieben werden.
+==== Beispiel-Topologie ====
+{{ ::spb-auth-netzplan.png?nolink |}}
 ==== Konfiguration des Management-Interfaces und des Radius-Servers ====
-=== Variante 1 - Out-Of-Band Management ===
+Bei diesem Beispiel wird der Switch über den EMP-Port verwaltet, welcher an ein separates Management-Netz außerhalb der SPB-Domäne angebunden ist.
-Bei dieser Variante wird der Switch über den EMP-Port verwaltet, welcher an ein separates Management-Netz außerhalb der SPB-Domäne angebunden ist.
 <code>
@@ Zeile 18: / Zeile 19: @@
 aaa radius-server "Rad1" host 192.168.40.10 key mysecret
 aaa device-authentication mac "Rad1"
+aaa device-authentication 802.1x "Rad1"
 </code>
-=== Variante 2 - In-Band Management ===
+==== Konfiguration der Authentifizierung und der UNPs ====
-Bei dieser Variante wird der Switch über ein IP-Interface innerhalb eines Management-VLANs verwaltet, welches parallel zu den BVLANs der SPB-Domäne über die Uplink-Ports transportiert wird.
+Diese Konfigurationsschritte sind für beide Varianten gültig, d.h. hier unterscheiden sich die Varianten nicht.
+Hierfür werden die entsprechenden Ports als UNP Ports des Typs "Access" definiert. Der Port-Typ "Access" ermöglicht die Erstellung von dynamischen Zugangspunkten (SAP) in die SPB-Domäne:
 <code>
-vlan 20 name "Management"
+unp port 1/1/1 port-type access
-ip interface "Management" address 192.168.20.1/24 vlan 20
-ip static-route 192.168.0.0/16 gateway 192.168.20.254
-aaa radius-server "Rad1" host 192.168.40.10 key mysecret
-aaa device-authentication mac "Rad1"
 </code>
-==== Konfiguration der Authentifizierung und der UNPs ====
+Auf diesen Ports wird dann je nach Anforderung MAC-Authentifizierung, 802.1x-Authentifizierung oder beides aktiviert:
+<code>
+unp port 1/1/1 802.1x-authentication
+unp port 1/1/1 mac-authentication
+</code>
-Diese Konfigurationsschritte sind für beide Varianten gültig, d.h. hier unterscheiden sich die Varianten nicht.
+Als letzter Schritt werden die Nutzerprofile für die Zuordnung zu den SPB-Diensten konfiguriert. Hierbei wird angegeben, dass das Profil dem Service SPB zugeordnet wird. Über die ISID wird die Trennung in unterschiedliche Container bzw. Mandanten erreicht. "Tag-Value 0" gibt an, dass der Traffic ohne VLAN-Tag an dem jeweiligen Port empfangen wird. Dadurch muss auch die VLAN-Translation aktiviert werden, damit der Traffic auch wieder ohne VLAN-Tag von dem jeweiligen Port gesendet wird.
+<code>
+unp profile "Drucker"
+unp profile "Drucker" map service-type spb tag-value 0 isid 10100 bvlan 4003 vlan-xlation
+unp profile "Telefon"
+unp profile "Telefon" map service-type spb tag-value 0 isid 10110 bvlan 4004 vlan-xlation
+</code>
-Hierfür werden die entsprechenden Ports als UNP Ports des Typs "Access" definiert. Dies gibt an, dass diese Ports Zugangsports für SPB-Services sind.
+==== Überprüfung der korrekten Funktionsweise ====
+Nach dem Anschließen eines Gerätes an einen entsprechend konfigurierten UNP-Port wird dieser vom Radius-Server authentifiziert und über das UNP Profile einem SPB-Service zugeordnet. In diesem Beispiel handelt es sich um eine MAC-Authentifizierung, das Ergebnis einer 802.1x Authentifizierung stellt sich nahezu identisch dar.
+Überprüfung der erfolgreichen Authentifizierung:
 <code>
-unp port 1/1/1 port-type access
+-> show uno user port 1/1/1
+                                               User
+Port    Username             Mac address       IP              Vlan Profile                          Type         Status
+-------+--------------------+-----------------+---------------+----+--------------------------------+------------+-----------
+/1/1   aa:bb:cc:dd:ee:ff    aa:bb:cc:dd:ee:ff 192.168.100.1   1    Drucker                          Access       Active
+Total users : 1
 </code>
+Überprüfung der Authentifizierungs-Details:
 <code>
-unp port 1/1/1 mac-authentication
+-> show unp user details port 1/1/1
+Port: 1/1/1
+    MAC-Address: aa:bb:cc:dd:ee:ff
+      SAP                             = -,
+      Service ID                      = 32770,
+      VNID                            = 10100 ( 0.39.245),
+      ISID                            = 10100,
+      Access Timestamp                = 02/10/2017 10:27:46,
+      User Name                       = aa:bb:cc:dd:ee:ff,
+      IP-Address                      = 192.168.100.1,
+      Vlan                            = 1,
+      Authentication Type             = Mac,
+      Authentication Status           = Authenticated,
+      Authentication Failure Reason   = -,
+      Authentication Retry Count      = 0,
+      Authentication Server IP Used   = 192.168.40.10,
+      Authentication Server Used      = Rad1,
+      Server Reply-Message            = -,
+      Profile                         = Drucker,
+      Profile Source                  = Auth - Pass - Server UNP,
+      Profile From Auth Server        = Drucker,
+      Session Timeout                 = 0,
+      Classification Profile Rule     = -,
+      Role                            = -,
+      Role Source                     = -,
+      User Role Rule                  = -,
+      Restricted Access               = No,
+      Location Policy Status          = -,
+      Time Policy Status              = -,
+      QMR Status                      = -,
+      Redirect Url                    = -,
+      SIP Call Type                   = Not in a call,
+      SIP Media Type                  = None,
+      Applications                    = None
+Total users : 1
+</code>
+Überprüfung des dynamisch angelegten Zugangspunktes (SAP) zu der SPB-Domäne
 <code>
+-> show service access port 1/1/1 sap
+Legend: * denotes a dynamic object
+                                                                  Vlan
+Identifier             Adm  Oper Stats T:P  ServiceId   Isid/Vnid Xlation Sap Description
+----------------------+----+----+-----+----+-----------+---------+-------+--------------------------------
+sap:1/1/1:0*           Up   Up    Y    Y:x  32770*      10100       Y     Dynamic SAP for UNP
+Total SAPs: 1
+</code>
+Überprüfung des MAC-Learnings und der Zuordnung zu einem SPB-Service:
 <code>
-unp profile "Drucker" map service-type spb tag-value 0 isid 10100 bvlan 4003 vlan-xlation
+-> show mac-learning port 1/1/1
-unp profile "Telefon" map service-type spb tag-value 0 isid 10110 bvlan 4004 vlan-xlation
+Legend: Mac Address: * = address not valid,
+        Mac Address: & = duplicate static address,
+   Domain    Vlan/SrvcId[ISId/vnId]     Mac Address           Type          Operation          Interface
+------------+----------------------+-------------------+------------------+-------------+-------------------------
+       SPB              32770:10100   aa:bb:cc:dd:ee:ff            dynamic    servicing                 sap:1/1/1
+Total number of Valid MAC addresses above = 1
 </code>
+==== Resultierende vcboot.cfg ====
+In diesem Beispiel wurde die Auto-Fabric Funktion für das Erstellen einer SPB-Domäne genutzt. Daraus resultiert die automatische Konfiguration einer LACP-Linkagg auf dem Uplink und der SPB-Domäne.
+<code>
+! Chassis:
+system name "Access"
+! Configuration:
+configuration error-file-limit 2
+! Capability Manager:
+hash-control extended
+! Multi-Chassis:
+! Virtual Flow Control:
+! LFP:
+! Interface:
+! Port_Manager:
+! Link Aggregate:
+linkagg lacp agg 127 size 16 hash tunnel-protocol admin-state enable
+linkagg lacp agg 127 name "Created by Auto-Fabric on Thu Feb 10 10:17:16 2017"
+linkagg lacp agg 127 actor admin-key 65535
+linkagg lacp port 1/1/49 actor admin-key 65535
+! VLAN:
+vlan 1 admin-state enable
+spb bvlan 4000-4015 admin-state enable
+spb bvlan 4000-4015 name "AutoFabric 02/10/2017 10:17:35"
+mac-learning vlan 4000-4015 disable
+! PVLAN:
+! Spanning Tree:
+spantree vlan 1 admin-state enable
+spantree vlan 4000 admin-state disable
+spantree vlan 4001 admin-state disable
+spantree vlan 4002 admin-state disable
+spantree vlan 4003 admin-state disable
+spantree vlan 4004 admin-state disable
+spantree vlan 4005 admin-state disable
+spantree vlan 4006 admin-state disable
+spantree vlan 4007 admin-state disable
+spantree vlan 4008 admin-state disable
+spantree vlan 4009 admin-state disable
+spantree vlan 4010 admin-state disable
+spantree vlan 4011 admin-state disable
+spantree vlan 4012 admin-state disable
+spantree vlan 4013 admin-state disable
+spantree vlan 4014 admin-state disable
+spantree vlan 4015 admin-state disable
+! DA-UNP:
+unp profile "Drucker"
+unp profile "Telefon"
+unp profile "Drucker" map service-type spb tag-value 0 isid 10100 bvlan 4003 multicast-mode headend vlan-xlation
+unp profile "Telefon" map service-type spb tag-value 0 isid 10110 bvlan 4004 multicast-mode headend vlan-xlation
+unp port 1/1/1 port-type access
+unp port 1/1/1 classification trust-tag dynamic-service spb
+unp port 1/1/1 admin-state enable
+unp port 1/1/1 802.1x-authentication
+unp port 1/1/1 mac-authentication
+! Bridging:
+! Port Mirroring:
+! Port Mapping:
+! IP:
+ip interface dhcp-client vlan 1 ifindex 1
+ip interface dhcp-client option-60 OmniSwitch-OS6860E-P48
+! IPv6:
+! IPSec:
+! IPMS:
+! AAA:
+aaa radius-server "Rad1" host 192.168.40.10 hash-key de135b695ea03a0b retransmit 3 timeout 2 auth-port 1812 act-port 1813 vrf-name default
+aaa authentication console "local"
+aaa device-authentication mac "Rad1"
+aaa device-authentication 802.1x "Rad1"
+aaa tacacs command-authorization disable
+! NTP:
+! QOS:
+! Policy Manager:
+! VLAN Stacking:
+! ERP:
+! MVRP:
+! LLDP:
+! UDLD:
+! Server Load Balance:
+! High Availability Vlan:
+! Session Manager:
+session cli timeout 60
+session prompt default "Access->"
+! Web:
+! Trap Manager:
+! Health Monitor:
+! System Service:
+! SNMP:
+! BFD:
+! IP Route Manager:
+ip static-route 192.168.0.0/16 gateway 192.168.20.254 metric 1
+! VRRP:
+ip load vrrp
+! UDP Relay:
+! RIP:
+! OSPF:
+! IP Multicast:
+! DVMRP:
+! IPMR:
+! RIPng:
+! OSPF3:
+! BGP:
+! ISIS:
+! Netsec:
+! Module:
+! LAN Power:
+! RDP:
+! DHL:
+! Ethernet-OAM:
+! SAA:
+! SPB-ISIS:
+spb isis bvlan 4000 ect-id 1
+spb isis bvlan 4001 ect-id 2
+spb isis bvlan 4002 ect-id 3
+spb isis bvlan 4003 ect-id 4
+spb isis bvlan 4004 ect-id 5
+spb isis bvlan 4005 ect-id 6
+spb isis bvlan 4006 ect-id 7
+spb isis bvlan 4007 ect-id 8
+spb isis bvlan 4008 ect-id 9
+spb isis bvlan 4009 ect-id 10
+spb isis bvlan 4010 ect-id 11
+spb isis bvlan 4011 ect-id 12
+spb isis bvlan 4012 ect-id 13
+spb isis bvlan 4013 ect-id 14
+spb isis bvlan 4014 ect-id 15
+spb isis bvlan 4015 ect-id 16
+spb isis control-bvlan 4000
+spb isis interface linkagg 127
+spb isis admin-state enable
+! SVCMGR:
+! LDP:
+! EVB:
+! APP-FINGERPRINT:
+! FCOE:
+! QMR:
+! OPENFLOW:
+! Dynamic auto-fabric:
+auto-fabric admin-state enable
+auto-fabric protocols mvrp admin-state disable
+! SIP Snooping:
+! DHCP Server:
+! DHCPv6 Relay:
+! DHCPv6 Server:
+! DHCP Message Service:
+! DHCP Active Lease Service:
+! Virtual Chassis Split Protection:
+! DHCP Snooping:
+! APP-MONITORING:
+! Loopback Detection:
+! VM-SNOOPING:
+! PPPOE-IA:
+</code>