Hallo,
ich hätte einen Feature-Wunsch bzgl. der hier
lancom-wireless-aktuelle-accesspoints-f ... ml#p105760
geschilderten Problematik.
Mein Wunsch wäre folgendes Verhalten eines AccessPoints als DHCP-Client. Sobald eine konfigurierte 802.1X Authentifizierung erfolgreich durchlaufen wurde, sollte der AccessPoint erneut versuchen, über DHCP eine Adresse zu bekommen. Je nach Switchkonfiguration und Typ, befindet man sich erst danach im richtigen VLAN bzw. Netz. Dadurch verhindert man eine Zuweisung einer Adresse aus einem temporären anderen VLAN bzw. auch einen möglichen Timeout der DHCP-Verhandlung.
Vielen Dank,
Sebastian
DHCP-Neuverhandlung nach 802.1X
Moderator: Lancom-Systems Moderatoren
Re: DHCP-Neuverhandlung nach 802.1X
Moin,
Den Thread hatte ich gelesen und das Problem in diesem Ansatz sehe ich darin, daß man dafür die Mitarbeit von zwei Entwicklern braucht - nämlich dem, der den 1X-Supplicant macht und dem, der im IP-Stack dafür eine neue Schnittstelle schaffen und pflegen muß. Solche Abhängigkeiten verschiedener Module im LCOS untereinander machen auf Dauer Ärger und wir versuchen eigentlich, sie seit Jahren zurückzudrängen.
Meine erste Idee dafür war, mit einem Schalter einfach jeglichen ausgehenden (Nutz-)Traffic zu sperren, so lange die 1X-Verhandlung nicht durchgelaufen ist. Das entspricht grob dem 1X-Modell von einem "controlled Port", der erst geöffnet wird, wenn die Verhandlung durch ist. Der DHCP-Client im LCOS hat AFAIK keinen Timeout, bei dessen Erreichen er auf eine 169er-Adresse oder ähnliches zurückfallen würde.
Die eleganteste Lösung wäre, höheren Layern einfach einen Link-Down vorzugaukeln, solange die 1X-Verhandung durch ist. Dann muß im IP ebenfalls nichts geändert werden, das ist für mich aber mit größerem Aufwand verbunden.
Viele Grüße
Alfred
Den Thread hatte ich gelesen und das Problem in diesem Ansatz sehe ich darin, daß man dafür die Mitarbeit von zwei Entwicklern braucht - nämlich dem, der den 1X-Supplicant macht und dem, der im IP-Stack dafür eine neue Schnittstelle schaffen und pflegen muß. Solche Abhängigkeiten verschiedener Module im LCOS untereinander machen auf Dauer Ärger und wir versuchen eigentlich, sie seit Jahren zurückzudrängen.
Meine erste Idee dafür war, mit einem Schalter einfach jeglichen ausgehenden (Nutz-)Traffic zu sperren, so lange die 1X-Verhandlung nicht durchgelaufen ist. Das entspricht grob dem 1X-Modell von einem "controlled Port", der erst geöffnet wird, wenn die Verhandlung durch ist. Der DHCP-Client im LCOS hat AFAIK keinen Timeout, bei dessen Erreichen er auf eine 169er-Adresse oder ähnliches zurückfallen würde.
Die eleganteste Lösung wäre, höheren Layern einfach einen Link-Down vorzugaukeln, solange die 1X-Verhandung durch ist. Dann muß im IP ebenfalls nichts geändert werden, das ist für mich aber mit größerem Aufwand verbunden.
Viele Grüße
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: DHCP-Neuverhandlung nach 802.1X
Hallo,
@alf29:
Vielen Dank für die ausführliche Darstellung und die Hintergrundinformation.
Schönen Tag und Gruß,
Sebastian
@alf29:
Vielen Dank für die ausführliche Darstellung und die Hintergrundinformation.
Schönen Tag und Gruß,
Sebastian
Re: DHCP-Neuverhandlung nach 802.1X
Moin,
Ich habe eine Einstellmöglichkeit für LCOS 10.50 vorgesehen. Die 1X-Supplicant-Tabelle bekommt eine neue Spalte "Port-Control". Im Default (Force-Auth.) ist das Verhalten wie bisher, stellt man auf "Auto" um, wird ausgehender Traffic (und damit auch der vom DHCP-Client im LCOS) unterdrückt, so lange die 1X-Verhandlung nicht durchgelaufen ist.
Viele Grüße
Alfred
Ich habe eine Einstellmöglichkeit für LCOS 10.50 vorgesehen. Die 1X-Supplicant-Tabelle bekommt eine neue Spalte "Port-Control". Im Default (Force-Auth.) ist das Verhalten wie bisher, stellt man auf "Auto" um, wird ausgehender Traffic (und damit auch der vom DHCP-Client im LCOS) unterdrückt, so lange die 1X-Verhandlung nicht durchgelaufen ist.
Viele Grüße
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: DHCP-Neuverhandlung nach 802.1X
Hallo alf29,
super - vielen herzlichen Dank! Das hört sich sehr vielversprechend an.
Später allen noch ein schönes Wochenende,
Sebastian
super - vielen herzlichen Dank! Das hört sich sehr vielversprechend an.
Später allen noch ein schönes Wochenende,
Sebastian