====== Unterschiede zwischen Release 6 und Release 8.1.1 bei Access Guardian ======

===== Access Guardian 2.0 =====

Bei dem überarbeiteten und erweiterten Access Guardian 2.0 gibt es eine neue Komponente, der so genannte "Edge-Port". In AOS 7 werden Access und Bridge Ports auf den OS6900 und OS10K unterstützt. AOS 8 unterstützt den Edge-Port auf dem OS6860 welcher Authentifizierung und Klassifizierung ermöglicht. In diesem Zuge wird die Nomenklatur des User Network Profiles (UNP) in UNP Edge Profile erweitert. Weiterhin wurden Edge-Templates hinzugefügt um generelle Authentifizierungseinstellungen und das Portverhalten über ein Template den Ports zuzuweisen. Dabei werden unterschiedliche Authentifizierungsverfahren auf Ports oder LAGs unterstützt:
  - 802.1x (höchste Priorität)
  - MAC-basierte Authentifizierung
  - Keine Authentifzierung, nur Klassifizierung anhand der hinterlegten Regeln

Zuordnung von verschiedenen Regeln wie VLANs oder QoS/ACLs über die UNP Edge Profiles:
  - UNP vom Radius zurückgeliefert
  - UNP Klassifizierungsregeln
  - "Pass Alternate" und "default UNP"
  - Block

<WRAP center round important 60%>
Die Implementierung und Konfiguration wurde mit AOS 8.3.1 im Vergleich zu AOS 8.1.1 und AOS 8.2.1 erweitert bzw. teilweise verändert. Eine Übersicht der Konfiguration mit AOS Versionen 8.3.1 und größer ist unter [[aos831_access_guardian|Unterschiede zwischen Release 6 und Release 8.3.1 bei Access Guardian]] verfügbar.
</WRAP>

Folgende Grafik zeigt den schematischen Ablauf einer Authentifizierung und Klassifizierung mit Access Guardian 2.0:

{{:access-guardian20.jpg?nolink|}}

===== Vergleich der Access Guardian Konfiguration =====

Anhand einer einfachen Access Guardian-Regel wird im Folgenden beschrieben, wie Access Guardian auf den OS6860/E eingerichtet wird.

**Release 6:**

  - Anlegen des Radius-Servers<code>aaa radius-server "radius name" host <ip-adress> key <shared secret></code>
  - Zuweisung des Radius-Servers für 802.1x- und MAC-Authentifizierung<code>aaa authentication 802.1x "radius name" 
aaa authentication mac "radius name"</code>
  - Port auf mobile umstellen<code>vlan port mobile <slot/port></code>
  - 802.1x auf dem Port aktivieren<code>vlan port <slot/port> 802.1x enable</code>
  - Anpassen der Supplicant-Policy für die 802.1x Regeln<code>802.1x <slot/port> supplicant policy authentication pass group-mobility default-vlan fail block</code>
  - Anpassen der Non-Supplicant Policy für die MAC Regeln<code>802.1x <slot/port> non-supplicant policy authentication pass group-mobility default-vlan fail block</code>

**Release 8:**

  - Anlegen des Radius-Servers<code>aaa radius-server "radius name" host <ip-adress> key <shared secret></code>
  - Zuweisung des Radius-Servers für 802.1x- und MAC-Authentifizierung<code>aaa device-authentication 802.1x "radius name"
aaa device-authentication mac "radius name"</code>
  - Konfiguration eines UNP-Ports, auf welchem authentifiziert werden soll<code>unp port <u/s/p></code>

__Variante mit Edge-Templates__

  - Anlegen des Edge-Templates<code>unp edge-template <template name></code>
  - Aktivieren von 802.1x und MAC Authentifizierung für das Template<code>unp edge-template <template name> 802.1x-authentication enable
unp edge-template <template name> mac-authentication enable</code>
  - Klassifizierung für das Template einschalten<code>unp edge-template <template name> classification enable</code>
  - Zuweisung des Edge-Templates auf Ports<code>unp port <u/s/p> edge-template <template name></code>

__Variante ohne Edge-Templates__

  - Aktivieren von 802.1x und MAC Authentifizierung auf den Ports<code>unp port <u/s/p> 802.1x-authentication enable
unp port <u/s/p> mac-authentication enable</code>
  - Klassifizierung für das Template einschalten<code>unp port <u/s/p> classification enable</code>

<WRAP center round info 60%>
Da in Release 8 keine direkte Referenz auf VLANs innerhalb der Access Guardian Policies möglich ist, muss dies über UNP Edge Profiles vorgenommen werden.
</WRAP>

===== Beispiel einer Access Guardian Konfiguration =====

Folgendes Beispiel soll den Umgang mit den VLANs innerhalb von UNP Edge Profiles verdeutlichen:

**Release 6:**

<code>
vlan 10 name voice
vlan 20 name corporate
vlan 20 port default 1/1
vlan 10 mac range 00:80:9f:00:00:00 00:80:9f:ff:ff:ff
vlan port mobile 1/1
vlan port 1/1 802.1x enable
aaa radius-server rad1 host 192.168.1.1 key "hiereinensicherenkeynutzen"
aaa authentication 802.1x rad1
aaa authentication mac rad1
802.1x 1/1 supplicant policy authentication pass group-mobility default-vlan fail block
802.1x 1/1 non-supplicant policy authentication pass group-mobility default-vlan fail block
</code>

**Release 8:**

<code>
vlan 10 name voice
vlan 20 name corporate
aaa radius-server rad1 host 192.168.1.1 key "hiereinensicherenkeynutzen"
aaa device-authentication 802.1x rad1
aaa device-authentication mac rad1
unp edge-profile voice
unp vlan-mapping edge-profile voice vlan 10
unp edge-profile corporate
unp vlan-mapping edge-profile corporate vlan 20
unp classification mac-address-range 00:80:9f:00:00:00 00:80:9f:ff:ff:ff edge-profile voice
unp edge-template auth-temp
unp edge-template auth-temp 802.1x-authentication enable
unp edge-template auth-temp 802.1x-authentication pass-alternate edge-profile corporate
unp edge-template auth-temp mac-authentication enable
unp edge-template auth-temp mac-authentication pass-alternate edge-profile corporate
unp edge-template auth-temp classification enable
unp port 1/1/1 edge-template auth-temp
</code>

===== Weitere Informationen =====
Dieser Artikel dient primär als Übersicht und Einführung zu den Funktionen von Access Guardian 2.0 in AOS Release 8. Weiterführende Informationen und Details zu den einzelnen Funktionen sind in den jeweiligen Network Configuration Guides enthalten, welche in der Sektion [[start#dokumentation_empfohlene_aos_software_version_visio_stencils|Dokumentation]] auf der Dokuwiki-Startseite verlinkt sind.