IEEE802.1X vs. DHCP

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
SunSeb
Beiträge: 205
Registriert: 09 Dez 2004, 10:32
Wohnort: Bonn

IEEE802.1X vs. DHCP

Beitrag von SunSeb »

Liebe Spezialisten,

ich wollte mal Meinungen zu folgender Problematik hören:

Oft wird ein Access Point an einem Switchport über 802.1X authentifiziert, um den Zugriff auf geschützte Bereiche zu regeln. Manchmal ist auf dem gleichen Switchport die Möglichkeit konfiguriert, unauthentifizierte Clients Zugang zu einem Gast VLAN zu geben.

Wenn der AP nun eingesteckt wird, passiert folgendes: die 802.1X Authentifizierung ist noch nicht abgeschlossen und der AP sendet einen DHCP request nun über das unauthentifizierte Gast-VLAN. Er bekommt aus diesem Netz eine IP zugewiesen. Danach ist auch die Authentifizierung abgeschlossen und der Switch legt den Port auf ein anderes VLAN / Netz. Nun verhandelt der AP aber keine neue Adresse über DHCP und hat nun eine "falsche" Adresse im authentifizierten Netz - DHCP war schneller als 802.1X.

Man könnte
a) dem AP eine feste IP geben (unflexibel)
b) den Zugang zum Gast-VLAN durch einen delay verzögern, bis die Authentifizierung abgeschlossen ist (unelegant)
c) ...

Gibt es eine Möglichkeit das DHCP auf die Zeit nach abgeschlossener Authentifizierung zu verschieben bzw. dann *neu* auszuhandeln?

Hier interessieren mich weitere Tips zu Konfigurationsmöglichkeiten.

LG,
Sebastian
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: IEEE802.1X vs. DHCP

Beitrag von GrandDixence »

Die Mietdauer (lease time) der vom DHCP-Server ausgeliehenen IP-Adresse auf wenige Minuten reduzieren.
Dann muss der DHCP-Client zwingend bereits nach wenigen Minuten eine neue IP-Adresse beim DHCP-Server ausleihen.
So agieren EuroDOCSIS-Kabelmodeme beim Aufstarten.
SunSeb
Beiträge: 205
Registriert: 09 Dez 2004, 10:32
Wohnort: Bonn

Re: IEEE802.1X vs. DHCP

Beitrag von SunSeb »

Vielen Dank für die Antwort. Diese Möglichkeit hatte ich noch nicht in Betracht gezogen und werde sie mal ausprobieren.

Eigentlich sollte eine DHCP-(Neu)verhandlung stattfinden, wenn eine 802.1X Anmeldung erfolgreich war. Denn erst dann befindet sich der AccessPoint / Client im "richtigen" Netz.

Ich werde das mal als Feature-Wunsch anmerken...

Vielen Dank,
Sebastian
Antworten