Verständnisfrage - 802.1x Switche kaskardieren - wie Ports einstellen?
Guten Abend euch Allen,
Folgendes Szenario:
Hintereinander hängen drei Switche (über 3 Stockwerke), an jedem Switch hängen Endgeräte (Clients und Drucker), am 1. Switch auch (RADIUS-)Server und zwei Access Points (OpenWRT).
Ich möchte jetzt NAC mit 802.1x realisieren, bevorzugt mit Benutzernamen/Passwort-Authentifizierung gegen FreeRadius. Einen 802.1x-fähigen Switch von LevelOne habe ich, die zwei anderen muss ich noch beschaffen. Bisher tendiere ich zu den neuen SF 300- oder SG 300-Geräten von Cisco.
Allerdings stehe ich jetzt vor dem ersten Problem: muss ich die Ports zwischen den Switches pauschal freigeben oder wandert ein EAPol-Frame ungehindert vom 3. Switch zum 1. Switch und schaltet auf dem Rückweg die Ports auf allen drei Switches frei?
Vielen Dank für eure Erfahrung
Folgendes Szenario:
Hintereinander hängen drei Switche (über 3 Stockwerke), an jedem Switch hängen Endgeräte (Clients und Drucker), am 1. Switch auch (RADIUS-)Server und zwei Access Points (OpenWRT).
Ich möchte jetzt NAC mit 802.1x realisieren, bevorzugt mit Benutzernamen/Passwort-Authentifizierung gegen FreeRadius. Einen 802.1x-fähigen Switch von LevelOne habe ich, die zwei anderen muss ich noch beschaffen. Bisher tendiere ich zu den neuen SF 300- oder SG 300-Geräten von Cisco.
Allerdings stehe ich jetzt vor dem ersten Problem: muss ich die Ports zwischen den Switches pauschal freigeben oder wandert ein EAPol-Frame ungehindert vom 3. Switch zum 1. Switch und schaltet auf dem Rückweg die Ports auf allen drei Switches frei?
Vielen Dank für eure Erfahrung
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 174885
Url: https://administrator.de/contentid/174885
Ausgedruckt am: 28.03.2024 um 22:03 Uhr
3 Kommentare
Neuester Kommentar
Wenn du mit den Ports zwischen den Switches die Uplink Ports meinst die die Switches untereinander verbinden dann machst du auf diesen (und nur auf diesen Ports) kein .1x. Diese Ports werden in den tagged Mode gesetzt um alle VLANs transparent zu übertragen wie Kollege dog schon richtig bemerkt hat.
.1x aktivierst du nur auf den Access Ports wo die Endgeräte dran sind.
EAPoL Pakete laufen so oder so nicht über die Switch Infrastruktur, das ist Unsinn ! Die werden nur zw. Client und dem Switchport wo er angeschlossen ist ausgetauscht. Wenn, dann laufen Radius Pakete über die Switches und das ist dann wieder simples TCP bzw. UDP.
Alles weitere sagt dir dieses Tutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
.1x aktivierst du nur auf den Access Ports wo die Endgeräte dran sind.
EAPoL Pakete laufen so oder so nicht über die Switch Infrastruktur, das ist Unsinn ! Die werden nur zw. Client und dem Switchport wo er angeschlossen ist ausgetauscht. Wenn, dann laufen Radius Pakete über die Switches und das ist dann wieder simples TCP bzw. UDP.
Alles weitere sagt dir dieses Tutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch