Benutzer-Werkzeuge

Webseiten-Werkzeuge


spb_auth

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Letzte Überarbeitung Beide Seiten der Revision
spb_auth [2017/02/10 15:47]
michael
spb_auth [2017/02/10 16:48]
michael
Zeile 3: Zeile 3:
 Access Guardian 2.0 ist seit AOS 8.3.1 für alle OmniSwitch 6860(E), 6865, 6900, 9900 und 10K Komponenten verfügbar und ermöglicht eine Kombination von Nutzer- bzw. Geräte-Authentifizierung und der Nutzung von SPB-Services im Netzwerk. Dies ermöglicht einen sicheren Zugang zu gekapselten Diensten (Netzwerk-Container) im Kontext von Mandantenfähigen Netzen. Access Guardian 2.0 ist seit AOS 8.3.1 für alle OmniSwitch 6860(E), 6865, 6900, 9900 und 10K Komponenten verfügbar und ermöglicht eine Kombination von Nutzer- bzw. Geräte-Authentifizierung und der Nutzung von SPB-Services im Netzwerk. Dies ermöglicht einen sicheren Zugang zu gekapselten Diensten (Netzwerk-Container) im Kontext von Mandantenfähigen Netzen.
  
-Dieser Artikel beschreibt ​zwei Setups ​mit SPB und Authentifizierung, welche sich in der Art des Managements der Komponenten unterscheiden. Im ersten Beispiel handelt es sich um Out-of-Band Management, welches den EMP-Port für Management-Traffic und die Radius-Kommunikation nutzt, beim zweiten Beispiel handelt es sich um In-Band Management. Die Konfiguration eines In-Band Managements im SPB-Kontext ist etwas umfangreicher und bedarf der Beachtung einiger Punkte, welche in einem separaten Artikel beschrieben ​sind.+Dieser Artikel beschreibt ​ein Setup mit SPB und Authentifizierung in Kombination mit Out-of-Band Management, welches den EMP-Port für Management-Traffic und die Radius-Kommunikation nutzt. 
 +Die Konfiguration eines In-Band Managements im SPB-Kontext ist etwas umfangreicher und bedarf der Beachtung einiger Punkte, welche in einem separaten Artikel beschrieben ​werden.
  
 +==== Beispiel-Topologie ====
  
 +{{ ::​spb-auth-netzplan.png?​nolink |}}
  
 ==== Konfiguration des Management-Interfaces und des Radius-Servers ==== ==== Konfiguration des Management-Interfaces und des Radius-Servers ====
  
-=== Variante 1 - Out-Of-Band Management === +Bei diesem Beispiel ​wird der Switch über den EMP-Port verwaltet, welcher an ein separates Management-Netz außerhalb der SPB-Domäne angebunden ist.
- +
-Bei dieser Variante ​wird der Switch über den EMP-Port verwaltet, welcher an ein separates Management-Netz außerhalb der SPB-Domäne angebunden ist.+
  
 <​code>​ <​code>​
Zeile 18: Zeile 19:
 aaa radius-server "​Rad1"​ host 192.168.40.10 key mysecret aaa radius-server "​Rad1"​ host 192.168.40.10 key mysecret
 aaa device-authentication mac "​Rad1"​ aaa device-authentication mac "​Rad1"​
 +aaa device-authentication 802.1x "​Rad1"​
 </​code>​ </​code>​
  
-=== Variante 2 - In-Band Management ​===+==== Konfiguration der Authentifizierung und der UNPs ====
  
-Bei dieser Variante wird der Switch über ein IP-Interface innerhalb eines Management-VLANs verwaltetwelches parallel zu den BVLANs der SPB-Domäne über die Uplink-Ports transportiert wird.+Diese Konfigurationsschritte sind für beide Varianten gültigd.h. hier unterscheiden sich die Varianten nicht.
  
 +Hierfür werden die entsprechenden Ports als UNP Ports des Typs "​Access"​ definiert. Der Port-Typ "​Access"​ ermöglicht die Erstellung von dynamischen Zugangspunkten (SAP) in die SPB-Domäne:​
 <​code>​ <​code>​
-vlan 20 name "​Management"​ +unp port 1/1/1 port-type access
-ip interface "​Management"​ address 192.168.20.1/24 vlan 20 +
-ip static-route 192.168.0.0/16 gateway 192.168.20.254 +
-aaa radius-server "​Rad1"​ host 192.168.40.10 key mysecret +
-aaa device-authentication mac "​Rad1"​+
 </​code>​ </​code>​
  
-==== Konfiguration der Authentifizierung ​und der UNPs ====+Auf diesen Ports wird dann je nach Anforderung MAC-Authentifizierung, 802.1x-Authentifizierung oder beides aktiviert:​ 
 +<​code>​ 
 +unp port 1/1/1 802.1x-authentication 
 +unp port 1/1/1 mac-authentication 
 +</​code>​
  
-Diese Konfigurationsschritte sind für beide Varianten gültigd.hhier unterscheiden sich die Varianten nicht.+Als letzter Schritt werden die Nutzerprofile ​für die Zuordnung zu den SPB-Diensten konfiguriert. Hierbei wird angegebendass das Profil dem Service SPB zugeordnet wirdÜber die ISID wird die Trennung in unterschiedliche Container bzwMandanten erreicht. "​Tag-Value 0" gibt an, dass der Traffic ohne VLAN-Tag an dem jeweiligen Port empfangen wird. Dadurch muss auch die VLAN-Translation aktiviert werden, damit der Traffic auch wieder ohne VLAN-Tag von dem jeweiligen Port gesendet wird. 
 +<​code>​ 
 +unp profile "​Drucker"​  
 +unp profile "​Drucker"​ map service-type spb tag-value 0 isid 10100 bvlan 4003 vlan-xlation  
 +unp profile "​Telefon"​  
 +unp profile "​Telefon"​ map service-type spb tag-value 0 isid 10110 bvlan 4004 vlan-xlation  
 +</​code>​
  
-Hierfür werden die entsprechenden Ports als UNP Ports des Typs "​Access"​ definiert. Dies gibt an, dass diese Ports Zugangsports für SPB-Services sind. 
  
 +==== Überprüfung der korrekten Funktionsweise ====
 +
 +Nach dem Anschließen eines Gerätes an einen entsprechend konfigurierten UNP-Port wird dieser vom Radius-Server authentifiziert und über das UNP Profile einem SPB-Service zugeordnet. In diesem Beispiel handelt es sich um eine MAC-Authentifizierung,​ das Ergebnis einer 802.1x Authentifizierung stellt sich nahezu identisch dar.
 +
 +Überprüfung der erfolgreichen Authentifizierung:​
 <​code>​ <​code>​
-unp port 1/1/1 port-type access+-> show uno user port 1/1/1 
 +                                               ​User ​                                                                          
 +Port    Username ​            Mac address ​      ​IP ​             Vlan Profile ​                         Type         ​Status ​     
 +-------+--------------------+-----------------+---------------+----+--------------------------------+------------+----------- 
 +1/1/1   ​aa:​bb:​cc:​dd:​ee:​ff ​   aa:​bb:​cc:​dd:​ee:​ff 192.168.100.1 ​  ​1 ​   Drucker ​                         Access ​      ​Active ​      
 +  
 +Total users : 1
 </​code>​ </​code>​
  
 +Überprüfung der Authentifizierungs-Details:​
 <​code>​ <​code>​
-unp port 1/1/1 mac-authentication+-> show unp user details ​port 1/1/1 
 +Port: 1/1/1 
 +    MAC-Address:​ aa:​bb:​cc:​dd:​ee:​ff 
 +      SAP                             = -, 
 +      Service ID                      = 32770, 
 +      VNID                            = 10100 ( 0.39.245),​ 
 +      ISID                            = 10100, 
 +      Access Timestamp ​               = 02/10/2017 10:27:46, 
 +      User Name                       = aa:​bb:​cc:​dd:​ee:​ff,​ 
 +      IP-Address ​                     = 192.168.100.1,​ 
 +      Vlan                            = 1, 
 +      Authentication Type             = Mac, 
 +      Authentication Status ​          = Authenticated,​ 
 +      Authentication Failure Reason ​  = -, 
 +      Authentication Retry Count      = 0, 
 +      Authentication Server IP Used   = 192.168.40.10,​ 
 +      Authentication Server Used      = Rad1, 
 +      Server Reply-Message ​           = -, 
 +      Profile ​                        = Drucker, 
 +      Profile Source ​                 = Auth - Pass - Server UNP, 
 +      Profile From Auth Server ​       = Drucker, 
 +      Session Timeout ​                = 0, 
 +      Classification Profile Rule     = -, 
 +      Role                            = -, 
 +      Role Source ​                    = -, 
 +      User Role Rule                  = -, 
 +      Restricted Access ​              = No, 
 +      Location Policy Status ​         = -, 
 +      Time Policy Status ​             = -, 
 +      QMR Status ​                     = -, 
 +      Redirect Url                    = -, 
 +      SIP Call Type                   = Not in a call, 
 +      SIP Media Type                  = None, 
 +      Applications ​                   = None 
 +  
 +Total users : 1 
 +</​code>​ 
 + 
 +Überprüfung des dynamisch angelegten Zugangspunktes (SAP) zu der SPB-Domäne
 <​code>​ <​code>​
 +-> show service access port 1/1/1 sap
 +Legend: * denotes a dynamic object
 +                                                                  Vlan
 +Identifier ​            ​Adm ​ Oper Stats T:P  ServiceId ​  ​Isid/​Vnid Xlation Sap Description
 +----------------------+----+----+-----+----+-----------+---------+-------+--------------------------------
 +sap:​1/​1/​1:​0* ​          ​Up ​  ​Up ​   Y    Y:x  32770* ​     10100       ​Y ​    ​Dynamic SAP for UNP            ​
 + 
 +Total SAPs: 1
 +</​code>​
  
 +Überprüfung des MAC-Learnings und der Zuordnung zu einem SPB-Service:​
 <​code>​ <​code>​
-unp profile "​Drucker"​ map service-type spb tag-value 0 isid 10100 bvlan 4003 vlan-xlation ​ +-> show mac-learning port 1/1/1 
-unp profile "​Telefon"​ map service-type spb tag-value 0 isid 10110 bvlan 4004 vlan-xlation ​+Legend: Mac Address: * = address not valid, 
 +  
 +        Mac Address: & = duplicate static address, 
 +  
 +   ​Domain ​   Vlan/​SrvcId[ISId/​vnId] ​    Mac Address ​          ​Type ​         Operation ​         Interface 
 +------------+----------------------+-------------------+------------------+-------------+------------------------- 
 +       ​SPB ​             32770:​10100 ​  ​aa:​bb:​cc:​dd:​ee:​ff ​           dynamic ​   servicing ​                ​sap:​1/​1/​1 
 +  
 +Total number of Valid MAC addresses above = 1
 </​code>​ </​code>​
  
 +==== Resultierende vcboot.cfg ====
  
 +In diesem Beispiel wurde die Auto-Fabric Funktion für das Erstellen einer SPB-Domäne genutzt. Daraus resultiert die automatische Konfiguration einer LACP-Linkagg auf dem Uplink und der SPB-Domäne.
 +<​code>​
 +! Chassis:
 +system name "​Access"​
  
 +! Configuration:​
 +configuration error-file-limit 2
 +
 +! Capability Manager:
 +hash-control extended
 +
 +! Multi-Chassis:​
 +! Virtual Flow Control:
 +! LFP: 
 +! Interface:
 +! Port_Manager: ​
 +! Link Aggregate:
 +linkagg lacp agg 127 size 16 hash tunnel-protocol admin-state enable ​
 +linkagg lacp agg 127 name "​Created by Auto-Fabric on Thu Feb 10 10:17:16 2017"
 +linkagg lacp agg 127 actor admin-key 65535
 +linkagg lacp port 1/1/49 actor admin-key 65535
 +
 +! VLAN:
 +vlan 1 admin-state enable
 +spb bvlan 4000-4015 admin-state enable
 +spb bvlan 4000-4015 name "​AutoFabric 02/10/2017 10:​17:​35"​
 +mac-learning vlan 4000-4015 disable
 +
 +! PVLAN:
 +! Spanning Tree:
 +spantree vlan 1 admin-state enable ​
 +spantree vlan 4000 admin-state disable ​
 +spantree vlan 4001 admin-state disable ​
 +spantree vlan 4002 admin-state disable ​
 +spantree vlan 4003 admin-state disable ​
 +spantree vlan 4004 admin-state disable ​
 +spantree vlan 4005 admin-state disable ​
 +spantree vlan 4006 admin-state disable ​
 +spantree vlan 4007 admin-state disable ​
 +spantree vlan 4008 admin-state disable ​
 +spantree vlan 4009 admin-state disable ​
 +spantree vlan 4010 admin-state disable ​
 +spantree vlan 4011 admin-state disable ​
 +spantree vlan 4012 admin-state disable ​
 +spantree vlan 4013 admin-state disable ​
 +spantree vlan 4014 admin-state disable ​
 +spantree vlan 4015 admin-state disable ​
 +
 +! DA-UNP:
 +unp profile "​Drucker" ​
 +unp profile "​Telefon" ​
 +unp profile "​Drucker"​ map service-type spb tag-value 0 isid 10100 bvlan 4003 multicast-mode headend vlan-xlation ​
 +unp profile "​Telefon"​ map service-type spb tag-value 0 isid 10110 bvlan 4004 multicast-mode headend vlan-xlation ​
 +unp port 1/1/1 port-type access
 +unp port 1/1/1 classification trust-tag dynamic-service spb
 +unp port 1/1/1 admin-state enable
 +unp port 1/1/1 802.1x-authentication
 +unp port 1/1/1 mac-authentication
 +
 +! Bridging:
 +! Port Mirroring:
 +! Port Mapping:
 +! IP:
 +ip interface dhcp-client vlan 1 ifindex 1
 +ip interface dhcp-client option-60 OmniSwitch-OS6860E-P48
 +
 +! IPv6:
 +! IPSec:
 +! IPMS:
 +! AAA:
 +aaa radius-server "​Rad1"​ host 192.168.40.10 hash-key de135b695ea03a0b retransmit 3 timeout 2 auth-port 1812 act-port 1813 vrf-name default ​
 +aaa authentication console "​local" ​
 +
 +aaa device-authentication mac "​Rad1" ​
 +aaa device-authentication 802.1x "​Rad1" ​
 +aaa tacacs command-authorization disable
 +
 +! NTP:
 +! QOS:
 +! Policy Manager:
 +! VLAN Stacking:
 +! ERP:
 +! MVRP:
 +! LLDP:
 +! UDLD:
 +! Server Load Balance:
 +! High Availability Vlan:
 +! Session Manager:
 +session cli timeout 60
 +session prompt default "​Access->"​
 +
 +! Web:
 +! Trap Manager:
 +! Health Monitor:
 +! System Service:
 +! SNMP:
 +! BFD:
 +! IP Route Manager:
 +ip static-route 192.168.0.0/​16 gateway 192.168.20.254 metric 1 
 +
 +! VRRP:
 +ip load vrrp
 +
 +! UDP Relay:
 +! RIP:
 +! OSPF:
 +! IP Multicast:
 +! DVMRP:
 +! IPMR:
 +! RIPng:
 +! OSPF3:
 +! BGP:
 +! ISIS:
 +! Netsec:
 +! Module:
 +! LAN Power:
 +! RDP:
 +! DHL:
 +! Ethernet-OAM:​
 +! SAA:
 +! SPB-ISIS:
 +spb isis bvlan 4000 ect-id 1
 +spb isis bvlan 4001 ect-id 2
 +spb isis bvlan 4002 ect-id 3
 +spb isis bvlan 4003 ect-id 4
 +spb isis bvlan 4004 ect-id 5
 +spb isis bvlan 4005 ect-id 6
 +spb isis bvlan 4006 ect-id 7
 +spb isis bvlan 4007 ect-id 8
 +spb isis bvlan 4008 ect-id 9
 +spb isis bvlan 4009 ect-id 10
 +spb isis bvlan 4010 ect-id 11
 +spb isis bvlan 4011 ect-id 12
 +spb isis bvlan 4012 ect-id 13
 +spb isis bvlan 4013 ect-id 14
 +spb isis bvlan 4014 ect-id 15
 +spb isis bvlan 4015 ect-id 16
 +spb isis control-bvlan 4000
 +spb isis interface linkagg 127
 +spb isis admin-state enable
 +
 +! SVCMGR:
 +! LDP:
 +! EVB:
 +! APP-FINGERPRINT:​
 +! FCOE:
 +! QMR: 
 +! OPENFLOW:
 +! Dynamic auto-fabric:​
 +auto-fabric admin-state enable
 +auto-fabric protocols mvrp admin-state disable ​
 +
 +! SIP Snooping:
 +! DHCP Server:
 +! DHCPv6 Relay:
 +! DHCPv6 Server:
 +! DHCP Message Service:
 +! DHCP Active Lease Service:
 +! Virtual Chassis Split Protection:
 +! DHCP Snooping:
 +! APP-MONITORING:​
 +! Loopback Detection:
 +! VM-SNOOPING:​
 +! PPPOE-IA:
 +</​code>​
spb_auth.txt · Zuletzt geändert: 2017/02/13 12:11 von michael