[802.1x] Niet compatible met WoL en PXE? - Netwerken

maandag 16 juni 2008 14:04

Acties:

Topicstarter

Hey tweakers,

bij mij op werk (universiteit) willen ze graag 802.1x implementeren, en hebben mij gevraagd dit te onderzoeken en te testen. Nou was dat niet zo moeilijk, maar een van de voorwaarden van de implementatie is dat Wake on Lan en Preboot eXecution Environment ook eronder werken. Sinds je nog niet bent geauthenticeerd als de pc uit staat of wilt gaan booten, is dat een probleem.

Nou heb ik me suf gezocht/gegoogled naar oplossingen, en ik dacht dat ik wat had gevonden. In een document van Cisco las ik over unidirectional en bidirectional states van poorten. Helaas bleek dit niet te werken met WoL. Over PXE heb ik gelezen dat er een ip helper address moet worden gezet, maar het is voor mij niet duidelijk of dit door 802.1x heenkomt. Een oplossing die ik las was dat de timeout van de 802.1x requests lager zou moeten zijn dan die van de PXE server.

Ik kom er niet uit, dus alle hulp is welkom.

Dartillus

P.S
We gebruiken Cisco Catalyst 3550 Switches.

maandag 16 juni 2008 17:10

Acties:

Verwijderd

Dartillius,

had je deze pdf al gelezen ?
http://www.cisco.com/appl...tion_09186a0080259020.pdf
mvg,
Bert

maandag 16 juni 2008 17:13

Acties:

Verwijderd

eigenlijk gaat het om deze regels uit die pdf :

Q.Does 802.1x work when Wake on LAN (WoL) is used to turn on computers remotely or to install applications and patches?
A.Cisco IBNS supports WoL functionality through the 802.1x with Wake On LAN feature, which lets you perform automated tasks, such as overnight software upgrades or system backups.
The 802.1x specification supports WoL with the definition of unidirectional controlled ports, which can be configured to only allow outbound frames to be transmitted in the pre-authenticated state. You can send a WoL magic packet to a host connected to a unidirectional controlled port in the sleep standby (S2) state to wake it to a normal operational state.
If the supplicant on the workstation is configured to automatically authenticate when prompted, it can then authenticate to the switch port. If the authentication is successful, the switch applies any policies received from the RADIUS server and puts the port into a normal forwarding state.

Q.Will 802.1x work if I use Preboot Execution Environment (PXE) to boot images?
A.For PXE, 802.1x needs to happen when the initial PXE DHCPDISCOVER packets are processed. Intel has already addressed this through the use of their Extensible Firmware Interface (EFI); specifically with EFI network boot clients.

maandag 16 juni 2008 17:30

Acties:

TrailBlazer

Karnemelk FTW

Als het Cisco switches zijn kan je guest-vlans maken. Als de client geen dot1x paketten stuurt komt de machine in het guest vlan terecht. Vervolgens wordt je PXE image geladen via dit vlan. Als de client geboot is gaat die dot1x sturen en bij een goede authenticatie komt die alsnog in het normale access vlan. Je kan het natuurlijk nog netter maken door een vlan toe te laten wijzen door de radius server

Dit klinkt mij als de oplossing voor je probleem met je PXE boot.
Dit is de link met alle configguide voor de 3550. Dit werkt vaak een stuk beter dan die gare search van Cisco
http://www.cisco.com/en/U...ration/guide/3550SCG.html

config van je poort zal dan wel zoiets worden

code:

int FastEthernet0/1
switchport mode access 
!VLAN WHEN AUTHENTICATED
switchport access vlan 200
dot1x port-control auto 
!VLAN FOR BOOT
dot1x guest-vlan 100 
!ALLOW WOL
 dot1x control-direction in

[ Voor 35% gewijzigd door TrailBlazer op 16-06-2008 17:38 ]

Reageer