DHCP-Neuverhandlung nach 802.1X

Wünsche und Vorschläge zur Verbesserung der LANCOM Produkte

Moderator: Lancom-Systems Moderatoren

Antworten
SunSeb
Beiträge: 205
Registriert: 09 Dez 2004, 10:32
Wohnort: Bonn

DHCP-Neuverhandlung nach 802.1X

Beitrag von SunSeb »

Hallo,

ich hätte einen Feature-Wunsch bzgl. der hier
lancom-wireless-aktuelle-accesspoints-f ... ml#p105760
geschilderten Problematik.

Mein Wunsch wäre folgendes Verhalten eines AccessPoints als DHCP-Client. Sobald eine konfigurierte 802.1X Authentifizierung erfolgreich durchlaufen wurde, sollte der AccessPoint erneut versuchen, über DHCP eine Adresse zu bekommen. Je nach Switchkonfiguration und Typ, befindet man sich erst danach im richtigen VLAN bzw. Netz. Dadurch verhindert man eine Zuweisung einer Adresse aus einem temporären anderen VLAN bzw. auch einen möglichen Timeout der DHCP-Verhandlung.

Vielen Dank,
Sebastian
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: DHCP-Neuverhandlung nach 802.1X

Beitrag von alf29 »

Moin,

Den Thread hatte ich gelesen und das Problem in diesem Ansatz sehe ich darin, daß man dafür die Mitarbeit von zwei Entwicklern braucht - nämlich dem, der den 1X-Supplicant macht und dem, der im IP-Stack dafür eine neue Schnittstelle schaffen und pflegen muß. Solche Abhängigkeiten verschiedener Module im LCOS untereinander machen auf Dauer Ärger und wir versuchen eigentlich, sie seit Jahren zurückzudrängen.

Meine erste Idee dafür war, mit einem Schalter einfach jeglichen ausgehenden (Nutz-)Traffic zu sperren, so lange die 1X-Verhandlung nicht durchgelaufen ist. Das entspricht grob dem 1X-Modell von einem "controlled Port", der erst geöffnet wird, wenn die Verhandlung durch ist. Der DHCP-Client im LCOS hat AFAIK keinen Timeout, bei dessen Erreichen er auf eine 169er-Adresse oder ähnliches zurückfallen würde.

Die eleganteste Lösung wäre, höheren Layern einfach einen Link-Down vorzugaukeln, solange die 1X-Verhandung durch ist. Dann muß im IP ebenfalls nichts geändert werden, das ist für mich aber mit größerem Aufwand verbunden.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
SunSeb
Beiträge: 205
Registriert: 09 Dez 2004, 10:32
Wohnort: Bonn

Re: DHCP-Neuverhandlung nach 802.1X

Beitrag von SunSeb »

Hallo,

@alf29:

Vielen Dank für die ausführliche Darstellung und die Hintergrundinformation.

Schönen Tag und Gruß,
Sebastian
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: DHCP-Neuverhandlung nach 802.1X

Beitrag von alf29 »

Moin,

Ich habe eine Einstellmöglichkeit für LCOS 10.50 vorgesehen. Die 1X-Supplicant-Tabelle bekommt eine neue Spalte "Port-Control". Im Default (Force-Auth.) ist das Verhalten wie bisher, stellt man auf "Auto" um, wird ausgehender Traffic (und damit auch der vom DHCP-Client im LCOS) unterdrückt, so lange die 1X-Verhandlung nicht durchgelaufen ist.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
SunSeb
Beiträge: 205
Registriert: 09 Dez 2004, 10:32
Wohnort: Bonn

Re: DHCP-Neuverhandlung nach 802.1X

Beitrag von SunSeb »

Hallo alf29,

super - vielen herzlichen Dank! Das hört sich sehr vielversprechend an. :D

Später allen noch ein schönes Wochenende,
Sebastian
Antworten