Benutzer-Werkzeuge

Webseiten-Werkzeuge


spb_auth

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung
Vorhergehende Überarbeitung
spb_auth [2017/02/10 14:30] – angelegt michaelspb_auth [2017/02/13 11:11] (aktuell) – [Authentifizierung in Kombination mit SPB] michael
Zeile 1: Zeile 1:
 ====== Authentifizierung in Kombination mit SPB ====== ====== Authentifizierung in Kombination mit SPB ======
  
-Access Guardian 2.0 ist seit AOS 8.3.1 für alle OmniSwitch 6860(E), 6865, 6900, 9900 und 10K Komponenten verfügbar und ermöglicht eine Kombination von Nutzer- bzw. Geräte-Authentifizierung und der Nutzung von SPB-Services im Netzwerk. Dies ermöglicht einen sicheren Zugang zu gekapselten Diensten (Netzwerk-Container) im Kontext von Mandantenfähigen Netzen.+Access Guardian 2.0 ist seit AOS 8.3.1 für alle OmniSwitch 6860(E), 6865, 6900 und 10K Komponenten verfügbar und ermöglicht eine Kombination von Nutzer- bzw. Geräte-Authentifizierung und der Nutzung von SPB-Services im Netzwerk. Dies ermöglicht einen sicheren Zugang zu gekapselten Diensten (Netzwerk-Container) im Kontext von Mandantenfähigen Netzen.
  
-Dieser Artikel beschreibt zwei Setups mit SPB und Authentifizierung, welche sich in der Art des Managements der Komponenten unterscheiden. Im ersten Beispiel handelt es sich um Out-of-Band Management, welches den EMP-Port für Management-Traffic und die Radius-Kommunikation nutzt, beim zweiten Beispiel handelt es sich um In-Band Management. Die Konfiguration eines In-Band Managements im SPB-Kontext ist etwas umfangreicher und bedarf der Beachtung einiger Punkte, welche in einem separaten Artikel beschrieben sind.+Dieser Artikel beschreibt ein Setup mit SPB und Authentifizierung in Kombination mit Out-of-Band Management, welches den EMP-Port für Management-Traffic und die Radius-Kommunikation nutzt. 
 +Die Konfiguration eines In-Band Managements im SPB-Kontext ist etwas umfangreicher und bedarf der Beachtung einiger Punkte, welche in einem separaten Artikel beschrieben werden.
  
 +==== Beispiel-Topologie ====
  
 +{{ ::spb-auth-netzplan.png?nolink |}}
 +
 +==== Konfiguration des Management-Interfaces und des Radius-Servers ====
 +
 +Bei diesem Beispiel wird der Switch über den EMP-Port verwaltet, welcher an ein separates Management-Netz außerhalb der SPB-Domäne angebunden ist.
 +
 +<code>
 +ip interface emp address 192.168.20.1/24
 +ip static-route 192.168.0.0/16 gateway 192.168.20.254
 +aaa radius-server "Rad1" host 192.168.40.10 key mysecret
 +aaa device-authentication mac "Rad1"
 +aaa device-authentication 802.1x "Rad1"
 +</code>
 +
 +==== Konfiguration der Authentifizierung und der UNPs ====
 +
 +Diese Konfigurationsschritte sind für beide Varianten gültig, d.h. hier unterscheiden sich die Varianten nicht.
 +
 +Hierfür werden die entsprechenden Ports als UNP Ports des Typs "Access" definiert. Der Port-Typ "Access" ermöglicht die Erstellung von dynamischen Zugangspunkten (SAP) in die SPB-Domäne:
 +<code>
 +unp port 1/1/1 port-type access
 +</code>
 +
 +Auf diesen Ports wird dann je nach Anforderung MAC-Authentifizierung, 802.1x-Authentifizierung oder beides aktiviert:
 +<code>
 +unp port 1/1/1 802.1x-authentication
 +unp port 1/1/1 mac-authentication
 +</code>
 +
 +Als letzter Schritt werden die Nutzerprofile für die Zuordnung zu den SPB-Diensten konfiguriert. Hierbei wird angegeben, dass das Profil dem Service SPB zugeordnet wird. Über die ISID wird die Trennung in unterschiedliche Container bzw. Mandanten erreicht. "Tag-Value 0" gibt an, dass der Traffic ohne VLAN-Tag an dem jeweiligen Port empfangen wird. Dadurch muss auch die VLAN-Translation aktiviert werden, damit der Traffic auch wieder ohne VLAN-Tag von dem jeweiligen Port gesendet wird.
 +<code>
 +unp profile "Drucker" 
 +unp profile "Drucker" map service-type spb tag-value 0 isid 10100 bvlan 4003 vlan-xlation 
 +unp profile "Telefon" 
 +unp profile "Telefon" map service-type spb tag-value 0 isid 10110 bvlan 4004 vlan-xlation 
 +</code>
 +
 +
 +==== Überprüfung der korrekten Funktionsweise ====
 +
 +Nach dem Anschließen eines Gerätes an einen entsprechend konfigurierten UNP-Port wird dieser vom Radius-Server authentifiziert und über das UNP Profile einem SPB-Service zugeordnet. In diesem Beispiel handelt es sich um eine MAC-Authentifizierung, das Ergebnis einer 802.1x Authentifizierung stellt sich nahezu identisch dar.
 +
 +Überprüfung der erfolgreichen Authentifizierung:
 +<code>
 +-> show uno user port 1/1/1
 +                                               User                                                                          
 +Port    Username             Mac address       IP              Vlan Profile                          Type         Status     
 +-------+--------------------+-----------------+---------------+----+--------------------------------+------------+-----------
 +1/1/1   aa:bb:cc:dd:ee:ff    aa:bb:cc:dd:ee:ff 192.168.100.1      Drucker                          Access       Active      
 + 
 +Total users : 1
 +</code>
 +
 +Überprüfung der Authentifizierungs-Details:
 +<code>
 +-> show unp user details port 1/1/1
 +Port: 1/1/1
 +    MAC-Address: aa:bb:cc:dd:ee:ff
 +      SAP                             = -,
 +      Service ID                      = 32770,
 +      VNID                            = 10100 ( 0.39.245),
 +      ISID                            = 10100,
 +      Access Timestamp                = 02/10/2017 10:27:46,
 +      User Name                       = aa:bb:cc:dd:ee:ff,
 +      IP-Address                      = 192.168.100.1,
 +      Vlan                            = 1,
 +      Authentication Type             = Mac,
 +      Authentication Status           = Authenticated,
 +      Authentication Failure Reason   = -,
 +      Authentication Retry Count      = 0,
 +      Authentication Server IP Used   = 192.168.40.10,
 +      Authentication Server Used      = Rad1,
 +      Server Reply-Message            = -,
 +      Profile                         = Drucker,
 +      Profile Source                  = Auth - Pass - Server UNP,
 +      Profile From Auth Server        = Drucker,
 +      Session Timeout                 = 0,
 +      Classification Profile Rule     = -,
 +      Role                            = -,
 +      Role Source                     = -,
 +      User Role Rule                  = -,
 +      Restricted Access               = No,
 +      Location Policy Status          = -,
 +      Time Policy Status              = -,
 +      QMR Status                      = -,
 +      Redirect Url                    = -,
 +      SIP Call Type                   = Not in a call,
 +      SIP Media Type                  = None,
 +      Applications                    = None
 + 
 +Total users : 1
 +</code>
 +
 +Überprüfung des dynamisch angelegten Zugangspunktes (SAP) zu der SPB-Domäne
 +<code>
 +-> show service access port 1/1/1 sap
 +Legend: * denotes a dynamic object
 +                                                                  Vlan
 +Identifier             Adm  Oper Stats T:P  ServiceId   Isid/Vnid Xlation Sap Description
 +----------------------+----+----+-----+----+-----------+---------+-------+--------------------------------
 +sap:1/1/1:0*           Up   Up    Y    Y:x  32770*      10100           Dynamic SAP for UNP            
 + 
 +Total SAPs: 1
 +</code>
 +
 +Überprüfung des MAC-Learnings und der Zuordnung zu einem SPB-Service:
 +<code>
 +-> show mac-learning port 1/1/1
 +Legend: Mac Address: * = address not valid,
 + 
 +        Mac Address: & = duplicate static address,
 + 
 +   Domain    Vlan/SrvcId[ISId/vnId]     Mac Address           Type          Operation          Interface
 +------------+----------------------+-------------------+------------------+-------------+-------------------------
 +       SPB              32770:10100   aa:bb:cc:dd:ee:ff            dynamic    servicing                 sap:1/1/1
 + 
 +Total number of Valid MAC addresses above = 1
 +</code>
 +
 +==== Resultierende vcboot.cfg ====
 +
 +In diesem Beispiel wurde die Auto-Fabric Funktion für das Erstellen einer SPB-Domäne genutzt. Daraus resultiert die automatische Konfiguration einer LACP-Linkagg auf dem Uplink und der SPB-Domäne.
 +<code>
 +! Chassis:
 +system name "Access"
 +
 +! Configuration:
 +configuration error-file-limit 2
 +
 +! Capability Manager:
 +hash-control extended
 +
 +! Multi-Chassis:
 +! Virtual Flow Control:
 +! LFP: 
 +! Interface:
 +! Port_Manager: 
 +! Link Aggregate:
 +linkagg lacp agg 127 size 16 hash tunnel-protocol admin-state enable 
 +linkagg lacp agg 127 name "Created by Auto-Fabric on Thu Feb 10 10:17:16 2017"
 +linkagg lacp agg 127 actor admin-key 65535
 +linkagg lacp port 1/1/49 actor admin-key 65535
 +
 +! VLAN:
 +vlan 1 admin-state enable
 +spb bvlan 4000-4015 admin-state enable
 +spb bvlan 4000-4015 name "AutoFabric 02/10/2017 10:17:35"
 +mac-learning vlan 4000-4015 disable
 +
 +! PVLAN:
 +! Spanning Tree:
 +spantree vlan 1 admin-state enable 
 +spantree vlan 4000 admin-state disable 
 +spantree vlan 4001 admin-state disable 
 +spantree vlan 4002 admin-state disable 
 +spantree vlan 4003 admin-state disable 
 +spantree vlan 4004 admin-state disable 
 +spantree vlan 4005 admin-state disable 
 +spantree vlan 4006 admin-state disable 
 +spantree vlan 4007 admin-state disable 
 +spantree vlan 4008 admin-state disable 
 +spantree vlan 4009 admin-state disable 
 +spantree vlan 4010 admin-state disable 
 +spantree vlan 4011 admin-state disable 
 +spantree vlan 4012 admin-state disable 
 +spantree vlan 4013 admin-state disable 
 +spantree vlan 4014 admin-state disable 
 +spantree vlan 4015 admin-state disable 
 +
 +! DA-UNP:
 +unp profile "Drucker" 
 +unp profile "Telefon" 
 +unp profile "Drucker" map service-type spb tag-value 0 isid 10100 bvlan 4003 multicast-mode headend vlan-xlation 
 +unp profile "Telefon" map service-type spb tag-value 0 isid 10110 bvlan 4004 multicast-mode headend vlan-xlation 
 +unp port 1/1/1 port-type access
 +unp port 1/1/1 classification trust-tag dynamic-service spb
 +unp port 1/1/1 admin-state enable
 +unp port 1/1/1 802.1x-authentication
 +unp port 1/1/1 mac-authentication
 +
 +! Bridging:
 +! Port Mirroring:
 +! Port Mapping:
 +! IP:
 +ip interface dhcp-client vlan 1 ifindex 1
 +ip interface dhcp-client option-60 OmniSwitch-OS6860E-P48
 +
 +! IPv6:
 +! IPSec:
 +! IPMS:
 +! AAA:
 +aaa radius-server "Rad1" host 192.168.40.10 hash-key de135b695ea03a0b retransmit 3 timeout 2 auth-port 1812 act-port 1813 vrf-name default 
 +aaa authentication console "local" 
 +
 +aaa device-authentication mac "Rad1" 
 +aaa device-authentication 802.1x "Rad1" 
 +aaa tacacs command-authorization disable
 +
 +! NTP:
 +! QOS:
 +! Policy Manager:
 +! VLAN Stacking:
 +! ERP:
 +! MVRP:
 +! LLDP:
 +! UDLD:
 +! Server Load Balance:
 +! High Availability Vlan:
 +! Session Manager:
 +session cli timeout 60
 +session prompt default "Access->"
 +
 +! Web:
 +! Trap Manager:
 +! Health Monitor:
 +! System Service:
 +! SNMP:
 +! BFD:
 +! IP Route Manager:
 +ip static-route 192.168.0.0/16 gateway 192.168.20.254 metric 1 
 +
 +! VRRP:
 +ip load vrrp
 +
 +! UDP Relay:
 +! RIP:
 +! OSPF:
 +! IP Multicast:
 +! DVMRP:
 +! IPMR:
 +! RIPng:
 +! OSPF3:
 +! BGP:
 +! ISIS:
 +! Netsec:
 +! Module:
 +! LAN Power:
 +! RDP:
 +! DHL:
 +! Ethernet-OAM:
 +! SAA:
 +! SPB-ISIS:
 +spb isis bvlan 4000 ect-id 1
 +spb isis bvlan 4001 ect-id 2
 +spb isis bvlan 4002 ect-id 3
 +spb isis bvlan 4003 ect-id 4
 +spb isis bvlan 4004 ect-id 5
 +spb isis bvlan 4005 ect-id 6
 +spb isis bvlan 4006 ect-id 7
 +spb isis bvlan 4007 ect-id 8
 +spb isis bvlan 4008 ect-id 9
 +spb isis bvlan 4009 ect-id 10
 +spb isis bvlan 4010 ect-id 11
 +spb isis bvlan 4011 ect-id 12
 +spb isis bvlan 4012 ect-id 13
 +spb isis bvlan 4013 ect-id 14
 +spb isis bvlan 4014 ect-id 15
 +spb isis bvlan 4015 ect-id 16
 +spb isis control-bvlan 4000
 +spb isis interface linkagg 127
 +spb isis admin-state enable
 +
 +! SVCMGR:
 +! LDP:
 +! EVB:
 +! APP-FINGERPRINT:
 +! FCOE:
 +! QMR: 
 +! OPENFLOW:
 +! Dynamic auto-fabric:
 +auto-fabric admin-state enable
 +auto-fabric protocols mvrp admin-state disable 
 +
 +! SIP Snooping:
 +! DHCP Server:
 +! DHCPv6 Relay:
 +! DHCPv6 Server:
 +! DHCP Message Service:
 +! DHCP Active Lease Service:
 +! Virtual Chassis Split Protection:
 +! DHCP Snooping:
 +! APP-MONITORING:
 +! Loopback Detection:
 +! VM-SNOOPING:
 +! PPPOE-IA:
 +</code>
spb_auth.1486737017.txt.gz · Zuletzt geändert: 2017/02/10 14:30 von michael

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki