Bei dem überarbeiteten und erweiterten Access Guardian 2.0 gibt es eine neue Komponente, der so genannte „UNP-Port“. Weiterhin wurden Port-Templates hinzugefügt um generelle Authentifizierungseinstellungen und das Portverhalten über ein Template den Ports zuzuweisen. Dabei werden unterschiedliche Authentifizierungsverfahren auf Ports oder LAGs unterstützt:
Zuordnung von verschiedenen Regeln wie VLANs oder QoS/ACLs über die UNP Edge Profiles:
Die Implementierung und Konfiguration wurde mit AOS 8.3.1 im Vergleich zu AOS 8.1.1 und AOS 8.2.1 erweitert bzw. teilweise verändert. Eine Übersicht der Konfiguration mit AOS Versionen kleiner 8.3.1 ist unter Unterschiede zwischen Release 6 und Release 8.1.1 bei Access Guardian verfügbar.
Anhand einer einfachen Access Guardian-Regel wird im Folgenden beschrieben, wie Access Guardian auf den OS6860/E eingerichtet wird.
Release 6:
aaa radius-server "radius name" host <ip-adress> key <shared secret>
aaa authentication 802.1x "radius name" aaa authentication mac "radius name"
vlan port mobile <slot/port>
vlan port <slot/port> 802.1x enable
802.1x <slot/port> supplicant policy authentication pass group-mobility default-vlan fail block
802.1x <slot/port> non-supplicant policy authentication pass group-mobility default-vlan fail block
Release 8:
aaa radius-server "radius name" host <ip-adress> key <shared secret>
aaa device-authentication 802.1x "radius name" aaa device-authentication mac "radius name"
unp port <u/s/p> port-type bridge
Ab AOS Release 8.3.1 können auch Profile mit SPB-Services bei der Authentifizierung verwendet werden. Dies ist im Artikel Authentifizierung in Kombination mit SPB beschrieben.
Variante mit Edge-Templates
unp port-template <template name>
unp port-template <template name> 802.1x-authentication unp port-template <template name> mac-authentication
unp port-template <template name> classification
unp port <u/s/p> port-type bridge
unp port <u/s/p> port-template <template name>
Variante ohne Edge-Templates
unp port <u/s/p> 802.1x-authentication unp port <u/s/p> mac-authentication
unp port <u/s/p> classification
Da in Release 8 keine direkte Referenz auf VLANs innerhalb der Access Guardian Policies möglich ist, muss dies über UNP Profiles vorgenommen werden.
Folgendes Beispiel soll den Umgang mit den VLANs innerhalb von UNP Edge Profiles verdeutlichen:
Release 6:
vlan 10 name voice vlan 20 name corporate vlan 20 port default 1/1 vlan 10 mac range 00:80:9f:00:00:00 00:80:9f:ff:ff:ff vlan port mobile 1/1 vlan port 1/1 802.1x enable aaa radius-server rad1 host 192.168.1.1 key "hiereinensicherenkeynutzen" aaa authentication 802.1x rad1 aaa authentication mac rad1 802.1x 1/1 supplicant policy authentication pass group-mobility default-vlan fail block 802.1x 1/1 non-supplicant policy authentication pass group-mobility default-vlan fail block
Release 8:
vlan 10 name voice vlan 20 name corporate aaa radius-server rad1 host 192.168.1.1 key "hiereinensicherenkeynutzen" aaa device-authentication 802.1x rad1 aaa device-authentication mac rad1 unp profile voice unp profile voice map vlan 10 unp profile corporate unp profile corporate map vlan 20 unp classification mac-range 00:80:9f:00:00:00 00:80:9f:ff:ff:ff profile1 voice unp port-template auth-temp unp port-template auth-temp 802.1x-authentication unp port-template auth-temp 802.1x-authentication pass-alternate corporate unp port-template auth-temp mac-authentication unp port-template auth-temp mac-authentication pass-alternate corporate unp port-template auth-temp classification unp port 1/1/1 port-type bridge unp port 1/1/1 edge-template auth-temp
Dieser Artikel dient primär als Übersicht und Einführung zu den Funktionen von Access Guardian 2.0 in AOS Release 8.3.1. Weiterführende Informationen und Details zu den einzelnen Funktionen sind in den jeweiligen Network Configuration Guides enthalten, welche in der Sektion Dokumentation auf der Dokuwiki-Startseite verlinkt sind.