Dyport

Basics

"Dyport" definiert die dynamische Portzuweisung an Datennetzports in den Büros der Mitarbeiter der TU Dresden. Hierbei kann dem Datennetzport in Abhängigkeit vom angeschlossenen Gerät (MAC Authentication Bypass) bzw. den auf einem Gerät eingegebenen User-Credentials/User-Zertifikat (802.1X - vorrangig von Administratoren genutzt)  ein definiertes VLAN zugewiesen werden.
Im Normalfall übernimmt der IT-Administrator der Organisationseinheit die Verwaltung der Dyport-Zugänge für die Mitarbeiter. Es gibt aber auch Organisationseinheiten, bei denen Mitarbeiter ihre IT Hardware (Laptop, PC) selbst im Dyport registrieren können.

Dyport ist in allen mit VoIP versorgten Gebäudeteilen verfügbar.

Die Anschlüsse (Datennetzports) sind mehrheitlich als Datendoppeldosen ausgeführt. Dort ist der linke Anschluss immer aktiviert. Die rechten Anschlüsse sind nur teilweise nutzbar.
An einem Datennetzport ist der Anschluss eines Rechners oder eines VoIP-Telefones mit Rechner dahinter möglich. Ein Rechner darf nur mit einer MAC-Adresse senden. Werden mehr als eine MAC-Adresse an einem Anschluss erkannt, so wird dieser automatisch für eine Stunde deaktiviert.
Sollen Virtuelle Maschinen auf dem Rechner genutzt werden, müssen diese mit NAT (nicht Bridge) betrieben werden. Eigene Switches sind an den Anschlüssen nicht zulässig.

Für Dyport gibt es ein Webportal:

• DYPORT https://dyport.zih.tu-dresden.de
  • Reiter "Übersicht"
    Listet Rechner, die über den eingeloggten ZIH-Usernamen registriert wurden.
  • Reiter "Gerät hinzufügen"
    Über das Popup-Feld "VLAN:" können die unter  Punkt 03. angezeigten Ressourcen ausgewählt werden. 
    In das Feld "MAC-Adresse:" ist die Hardware-MAC-Adresse des zu registrierenden Gerätes einzutragen.
    "Ablaufdatum" und "Kommentar" können selbst gewählt werden.
  • Reiter "Ressourcen"
    Liste aller nutzbaren Ressourcen (VLANs und VPN) des eingeloggten Usernamens
    Die Information welches VLAN in welchem Gebäude verfügbar ist, erhalten Sie im Zweifelsfall bei ihrem Netzadministrator. 
  • Reiter "Hilfe"
    Hilfe zu Dyport für Benutzer und Admins

MAC Authentication Bypass (MAB)

Anhand der MAC-Adresse des Rechners wird die Netzzuordnung während dem Aktivieren der Netzverbindung ausgeführt. Die MAC-Adresse muss dazu im Dyportportal bekannt sein. Jede MAC kann nur einmal eingetragen werden. Eine Änderung der Netzzuordnung ist im Dyport-Portal möglich. 
Ist das angeforderte VLAN an dem Standort nicht verfügbar, wird vom Dyport-System ein ggf. vorhandenes Rückfallnetz gewählt. Dabei werden Gebäude, Einrichtung, Netztyp und Anschluss beachtet.
Unbekannte Geräte erhalten ein Gastnetz, wenn sich die Anschlüssen an öffentlich nicht zugänglichen Stellen befinden. An öffentlich zugänglichen Stellen soll für nicht registrierte Geräte eine Netzverbindung nicht möglich werden.

Ermitteln der MAC Adresse eines Rechners

• Windows:
  Öffnen eines cmd-Fensters
  Eingabe von "ipconfig /all"
  unter "Ethernet-Adapter Ethernet:"
  findet man

     Physische Adresse . . . . . . . . : aa-bb-cc-dd-ee-ff

• Linux:
  in einem X-Terminal Eingabe von
  dmesg | grep eth0
  ggf. steht da "enpXXXXX: renamed from eth0", dann im Folgenden nach enpXXXXX suchen statt nach eth0 (ansonsten nach eth0):
  ifconfig -a
   eth0             Link encap:Ethernet  HWaddr aa:bb:cc:dd:ee:ff
  oder
   enpXXXXX   Link encap:Ethernet  HWaddr aa:bb:cc:dd:ee:ff

• MacOSX:
  "Systemeinstellungen" (System Preferences)  --> "Netzwerk"(Network) --> 
  in der linken Spalte das Ethernet-Device anklicken, dann rechts auf "Erweitert"(Advanced) --> unter dem Reiter "Hardware" findet man die
  MAC Address: aa:bb:cc:dd:ee:ff

Registrieren einer MAC Adresse für Dyport

• Einloggen auf der Webseite https://dyport.zih.tu-dresden.de
• Klicken Sie auf den Reiter "Gerät hinzufügen"
• Wählen Sie bei "VLAN:" die Ressource aus, der die MAC Adresse zugewiesen werden soll (fragen Sie ggf. Ihren IT-Administrator, welche das ist)
• Geben Sie bei "MAC-Adresse:" die ermittelte MAC Adresse des Ethernet Ports Ihres Gerätes ein (zum Ermitteln der MAC Adresse siehe oben)
• Wählen Sie ggf. ein "Ablaufdatum:" aus und geben Sie unter "Kommentar:" Hinweise zur Beschreibung des Gerätes ein.
• Klicken Sie auf "Absenden:"
  Nach ca. einer halben Stunde ist Ihr Gerät via MAC Adresse im Dyport registriert und es erhält dann den korrekten Netzzugang

802.1X

Mit 802.1X erfolgt eine sichere Authentifizierung am Netzwerk. Dabei muss der gewünschte VLAN-Name und eine gültige Authentifizierung mit z.B. Nutzername/Passwort vom PC mit einem Supplicanten übertragen werden. Hier die notwendigen Informationen für den Supplicant:

• Legitimierung: Getunneltes TLS (TTLS)
• äußere Identität: zih-login@vlan-name
• Zertifikat: Link
• innere Legitimierung: PAP
• innere Identität: zih-login@vlan-name

Unter Linux sind dafür komfortable Netzwerkmanager verfügbar.
Der in Windows enthaltene Supplicant hat keine Bedienoberfläche um zwischen verschiedenen Netzen zu wechseln. 
Das für VPN empfohlene Anyconnect kann um das NAM-Modul erweitert werden, um einen Supplicanten mit komfortabler Bedienoberfläche zu erhalten. Eine Änderung der Netzzuordnung ist jederzeit in der Bedienoberfläche des Anyconnect-NAM möglich. Ist das angeforderte VLAN an dem Standort nicht verfügbar, wird keine alternative Netzwerkverbindung hergestellt. Für eine Verbindung zu einem verfügbaren Netz muss ein vorhandenes VLAN ausgewählt werden. Um die Rückfallautomatik vom MAB zu nutzen, ist ein Profil ohne Netzauthentifizierung in der Bedienoberfläche des Supplicanten und ein Eintrag im Dyport-Portal erforderlich.

Gastnetz

Das "Gastnetz" ist das Netz, in das ein nicht im dyport registrierter Rechner an Ethernet-Ports in geschlossenen Räumen fällt (fallback). Der Gastrechner erhält eine private IP-Adresse, die zur Erreichung des Internets auf eine geroutete IP-Adresse übersetzt wird (NAT = Network Address Translation). Weiterhin ist der Zugriff auf das Internet eingeschränkt. Im Folgenden sind die Freischaltungen für das Gastnetz aufgelistet:

Alle anderen Verbindungen sind nicht erlaubt.