<div dir="ltr">I'm going to start calling you Thomas "Scope Creep" Andersen. :) . In all seriousness, we can talk about the value of NACs and sure there are some, but it is clearly out of scope for lifecycling our dhcp server.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Mar 22, 2019 at 9:06 AM Thomas Andersen <<a href="mailto:than@itu.dk">than@itu.dk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div lang="DA">
<div class="gmail-m_-5194565638968975044WordSection1">
<p class="MsoNormal"><span lang="EN-GB">Hi,<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-GB">Installing a NAC for that purpose solely, would be overkill :)<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-GB">But when you have 35,000 devices, I would presume you already had some sort of NAC, to control/verify who’s on your network.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-GB">That being 802.1x, Mac auth or CWP.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-GB">We use clearpass for all network authentication, which has the option of blacklist mac addresses. Similar OpenSource like packetfence has the same featureset as ClearPass. More or less.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-GB">Br,<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-GB">Thomas<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p>
<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(181,196,223);padding:3pt 0cm 0cm">
<p class="MsoNormal"><b><span style="font-size:12pt;color:black">From: </span></b><span style="font-size:12pt;color:black">Munroe Sollog <<a href="mailto:mus3@lehigh.edu" target="_blank">mus3@lehigh.edu</a>><br>
<b>Date: </b>Friday, 22 March 2019 at 13.03<br>
<b>To: </b>Thomas Andersen <<a href="mailto:than@itu.dk" target="_blank">than@itu.dk</a>><br>
<b>Cc: </b>Francis Dupont <<a href="mailto:fdupont@isc.org" target="_blank">fdupont@isc.org</a>>, "KEA-Users (<a href="mailto:kea-users@lists.isc.org" target="_blank">kea-users@lists.isc.org</a>)" <<a href="mailto:kea-users@lists.isc.org" target="_blank">kea-users@lists.isc.org</a>><br>
<b>Subject: </b>Re: [Kea-users] deny booting or ignore booting<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<div>
<p class="MsoNormal">While I appreciate the suggestion. Installing a NAC to accomplish  similar functionality to one line of configuration in our DHCP server is kind of silly. <u></u><u></u></p>
</div>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<div>
<p class="MsoNormal">On Fri, Mar 22, 2019 at 7:58 AM Thomas Andersen <<a href="mailto:than@itu.dk" target="_blank">than@itu.dk</a>> wrote:<u></u><u></u></p>
</div>
<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0cm 0cm 0cm 6pt;margin-left:4.8pt;margin-right:0cm">
<div>
<div>
<p class="MsoNormal"><span lang="EN-GB">Do you have a NAC or is it open network?</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-GB">I would prefer deny it when entering the network, not when asking for DHCP.</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-GB"> </span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-GB"> </span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-GB"> </span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-GB">Br,</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-GB">Thomas</span><u></u><u></u></p>
</div>
</div>
<div>
<div>
<p class="MsoNormal"><span lang="EN-GB"> </span><u></u><u></u></p>
<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(181,196,223);padding:3pt 0cm 0cm">
<p class="MsoNormal"><b><span style="font-size:12pt;color:black">From:
</span></b><span style="font-size:12pt;color:black">Kea-users <<a href="mailto:kea-users-bounces@lists.isc.org" target="_blank">kea-users-bounces@lists.isc.org</a>> on behalf of Munroe Sollog <<a href="mailto:mus3@lehigh.edu" target="_blank">mus3@lehigh.edu</a>><br>
<b>Date: </b>Friday, 22 March 2019 at 12.42<br>
<b>To: </b>Francis Dupont <<a href="mailto:fdupont@isc.org" target="_blank">fdupont@isc.org</a>><br>
<b>Cc: </b>"KEA-Users (<a href="mailto:kea-users@lists.isc.org" target="_blank">kea-users@lists.isc.org</a>)" <<a href="mailto:kea-users@lists.isc.org" target="_blank">kea-users@lists.isc.org</a>><br>
<b>Subject: </b>Re: [Kea-users] deny booting or ignore booting</span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Perhaps random wasn't a good choice of words.  Given a MAC address we need a way of ensuring it does not DHCP.  I'm open to alternatives to the ignore/deny booting function.  Some
 sort of client classification?<u></u><u></u></p>
</div>
<p class="MsoNormal"> <u></u><u></u></p>
<div>
<div>
<p class="MsoNormal">On Thu, Mar 21, 2019 at 7:43 PM Francis Dupont <<a href="mailto:fdupont@isc.org" target="_blank">fdupont@isc.org</a>> wrote:<u></u><u></u></p>
</div>
<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0cm 0cm 0cm 6pt;margin:5pt 0cm 5pt 4.8pt">
<p class="MsoNormal">Munroe Sollog writes:<br>
> isc dhcpd supports the concept of "deny booting" or "ignore booting".  Kea<br>
> does not seem to support this concept.<br>
<br>
=> this feature is not supported by Kea but you have other ways to get<br>
the same effect.<br>
<br>
> >From time to time we need to ensure that a random device does not get a<br>
> valid lease and is thus prevented from accessing our network (we enforce<br>
> DHCP at the access layer).  I found this:<br>
<br>
=> as ISC DHCP booting keyword has a meaning only in a host reservation<br>
it is useless for a random device which by definition has no known<br>
identifier. Note if you want to ban unknown devices both ISC DHCP and<br>
Kea (since 1.5) provide a known/unknown client classification.<br>
<br>
> <a href="http://oldkea.isc.org/ticket/5229" target="_blank">http://oldkea.isc.org/ticket/5229</a><br>
<br>
=> replaced by <a href="https://gitlab.isc.org/isc-projects/kea/issues/239" target="_blank">
https://gitlab.isc.org/isc-projects/kea/issues/239</a><br>
<br>
This ticket is a migration ticket: all features of ISC DHCP were<br>
analyzed:<br>
 - some can be translated (*) to Kea<br>
 - some are candidate to be added to Kea<br>
 - some have low interest (too specific, obsolete or unused, etc) (**)<br>
(*) There is a piece of software named the Migration Assistant which<br>
helps to translate ISC DHCP configurations to Kea. It is still in<br>
development but as we are looking for config samples to test and<br>
improve it you can contact us to know more...<br>
(**) #239 enters in the last category (priority low), the MA code emits<br>
a "no concrete usage known?" message when it finds the booting keyword.<br>
<br>
> I'm not sure what to make of this, but I tried creating a host reservation<br>
> without an IP address and kea errors with:<br>
> <br>
> specified reservation for DUID: hwtype=1 00:50:56:bf:d7:a5 must include at<br>
> least one resource, i.e. hostname, IPv4 address, IPv6 address/prefix,<br>
> options<br>
<br>
=> yes if you have no address (nor prefix in IPv6) you need a hostname.<br>
Note here a host reservation is perhaps not the best feature: what you<br>
want is some kind of access list and for a negative access list a client<br>
class is better. Host reservations and KNOWN/UNKNOWN are faster for<br>
a positive (and large) access list.<br>
<br>
Regards<br>
<br>
Francis Dupont <<a href="mailto:fdupont@isc.org" target="_blank">fdupont@isc.org</a>><u></u><u></u></p>
</blockquote>
</div>
<p class="MsoNormal"><br clear="all">
<u></u><u></u></p>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<p class="MsoNormal">--
<u></u><u></u></p>
<div>
<div>
<p class="MsoNormal">Munroe Sollog
<u></u><u></u></p>
<div>
<p class="MsoNormal">Senior Network Engineer<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><a href="mailto:munroe@lehigh.edu" target="_blank">munroe@lehigh.edu</a><u></u><u></u></p>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
<p class="MsoNormal">-- <u></u><u></u></p>
<div>
<div>
<p class="MsoNormal">Munroe Sollog <u></u><u></u></p>
<div>
<p class="MsoNormal">Senior Network Engineer<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><a href="mailto:munroe@lehigh.edu" target="_blank">munroe@lehigh.edu</a><u></u><u></u></p>
</div>
</div>
</div>
</div>
</div>

</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">Munroe Sollog<div>Senior Network Engineer</div><div><a href="mailto:munroe@lehigh.edu" target="_blank">munroe@lehigh.edu</a></div></div></div>