Snom 320 mit PC und 802.1x

[Tom_Hofmann]

Hallo zusammen,

wir haben seit neustem Snom 320 Telefone in unseren Büros. Eigentlich besitzen diese ja auch noch eine extra Netzwerkdose um dahinter einen PC anzuschließen. Nach den ersten Tests hat sich aber gezeigt das eine 802.1x Authentifizierung des PCs nicht möglich ist. Das Telefon "verschluckt" einfach die entsprechenden Pakete. Hat jemand von euch da schon Erfahrung mit gemacht oder eine Ahnung ob es einen Workaround gibt? Der Snome Support gibt dazu leider keinerlei Auskunft.

Bye
Tom

 

[Maik]

Die snom Telefone unterstützen z.Zt. selbst noch kein 802.1x. Wenn ich 802.1x richtig verstanden habe, funktioniert das sowieso nur dann richtig, wenn der Rechner direkt am Switch angeschlossen wird. Wenn man einen weiteren Switch zwischen den Rechner und den authentifizierenden Switch steckt, sollte es eigentlich nicht mehr funktionieren (korrigier mich bitte, falls ich mich irren sollte). Das snom hat intern einen 3 Port Switch (direkt in der CPU). Das würde dann also das Problem erklären.

 

[Tom_Hofmann]

Grundsätzlich hast du Recht das es eigentlich nur Sinn macht wenn der PC direkt an dem Switch Port hängt.
Uns wurde damals von Snom aus gesagt das die Telefone einfach jegliche Datenpakete an den PC dahinter weiterleiten. Dies war auch der Grund warum wir die Telefone gekauft haben.
Wenn die natürlich wirklich einen 802.1D konformen Switch eingebaut haben, dürfen die EAPoL Pakete gar nicht weitergeleitet werden. Wenn diese vom Rechner weggeschickt werden haben sie eine besondere MAC Adresse als Ziel im Header stehen (01:80:C2:00:00:03, definiert im IEEE Standard 802.1X). Diese stammt aus einem speziellen MAC Adressenblock die für Management reserviert sind und daher von einem Switch nicht weitergeleitet werden dürfen.
Für die Authentifizierung der Telefone haben wir bereits eine andere Lösung.

Schade das die Jungs von Snom uns das nicht vorher gesagt haben...

Danke für die Info Maik!

Tom

 

[Maik]

Danke für die Info über die MAC-Adressen. Das wusste ich bisher noch nicht.

Der Switch im snom ist übrigens gar nicht mal so übel:

• Wire speed Ethernet switch with embedded packet buffer and MAC address table
• Fully IEEE 802.1Q and IEEE 802.1p compliant
• IEEE 802.3x full and half-duplex flow-control compliant
• Supports full 4k range of VLAN IDs
• Class of Service determined by frame VLAN tag or TOS field
• Configurable output scheduling mechanism for Quality of Service
• Supports 16 VLAN multicast groups

Aber leider kein 802.1x. Das hat erst der Nachfolger.

 

[Tom_Hofmann]

Falls es dich interessiert gibt es eine Übersicht über diese MAC Adressen im 802.1D Dokument der IEEE (Seite 51)

Bereits benutzt sind diese hier:
Bridge Group Address 01-80-C2-00-00-00
IEEE Std 802.3x Full Duplex PAUSE operation 01-80-C2-00-00-01
IEEE Std 802.3ad Slow_Protocols_Multicast address 01-80-C2-00-00-02
IEEE P802.1X PAE address 01-80-C2-00-00-03

Das mit der Unterstützung für VLANs nach .1Q ist eine coole Sache. Darüber läuft bei uns auch die Authentifizierung bzw. Klassifizierung der Telefone. Sprich ein 802.1x Stack für die Snom Telefone wäre für uns nur ein nettes Add-on. Die Weiterleitung der Pakete an den PC dahinter wäre für uns besser