LINUX.ORG.RU
ФорумAdmin

Radius + NPS + MAB = dynamic vlan tagged

 , ,


0

1

Добрый день. Суть вопроса следующая, есть коммутаторы HP и Eltex. на них настроена авторизация по MAC-адресу (MAB) с помощью radius сервера от MS (NPS). Все работает и радует, так как отпадает надобность вручную перенастраивать каждый коммутатор при малейшем перестроении сети. Но вот руководство решило поставить IP-телефонию, а соответственно нужно на порты доступа подавать два vlan один тегированый (voice) а второй не тегированый (date), в атрибутах радиуса не могу найти нужный чтобы можно было передать на порт коммутатора, два vlan с указанием тег или не тег. Если нужны будут какие-то дополнительные данные готов предоставить. Заранее спасибо за помощь.


Ответ на: комментарий от anonymous

Благодарю за помощь, но по этому мануалу получается сделать только один vlan на порт и тот untegged.

IMP
() автор топика

RFC 2868: RADIUS Attributes for Tunnel Protocol Support и RFC 3580: IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines, не определяют атрибута, который указывал бы на то, что Vlan является тегированым.

В свою очередь RFC 4675: RADIUS Attributes for Virtual LAN and Priority Support, даёт развёрнутое пояснение:

As defined in [RFC3580], the VLAN assigned via tunnel attributes applies both to the ingress VLANID for untagged packets (known as the PVID) and the egress VLANID for untagged packets.

И определяет новый атрибут, который позволяет определить тегированый Vlan:

In contrast, the Egress-VLANID attribute configures only the egress VLANID for either tagged or untagged packets. The Egress-VLANID attribute MAY be included in the same RADIUS packet as [RFC3580] tunnel attributes; however, the Egress-VLANID attribute is not necessary if it is being used to configure the same untagged VLANID included in tunnel attributes. To configure an untagged VLAN for both ingress and egress, the tunnel attributes of [RFC3580] MUST be used.

Таким образом вам необходимо воспользоваться дополнительным атрибутом Egress-VLANID для указания на то, какой именно Vlan является тегированым. Так же должен отметить, что согласно [RFC2868] допускается передача более одного набора туннельных атрибутов в Access-Accept пакете, как и более одного Egress-VLANID атрибута согласно [RFC4675], но в случае последнего не обязательно для не тегированых Vlan.

ZANSWER
()
Последнее исправление: ZANSWER (всего исправлений: 2)
Ответ на: комментарий от ZANSWER

Спасибо за развернутый ответ, но в ходе дальнейших моих поисков решения проблемы столкнулся с тем что в реализации от MS NPS нет поддержки RFC4675. Поэтому сейчас разворачиваю freeradius на debian 9, по результатам отпишусь, может кому-нибудь пригодиться.

IMP
() автор топика
Ответ на: комментарий от IMP

А у вас какая версия Windows Server в наличие? Просто для понимания, как обстоят дела в целом, поскольку документация по поддерживаемым Radius атрибутам доступна только для Windows Sever 2008R2, для более новых нечего найти не удалось.

ZANSWER
()
Ответ на: комментарий от ZANSWER

Стоит Windows server 2016 standart. Если верить анлоязычному TechNet, то начинаея с 2008 R2, компания MS обещает добавить поддержку RFC6475 в будущем, но в 2012 ее не добавили, а 2016 в этом плане остался без изменений. По результатам тестирования freeradius отпишусь.

IMP
() автор топика
Ответ на: комментарий от IMP

Понятно, спасибо, у меня была надежда на Windows Server 2016.

ZANSWER
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin