Filtrage mac
Tinou01
-
kiki -
kiki -
Bonjour,
Je dois mettre en place un systeme qui lorsqu'on se connecte sur une prise réseau de l'entreprise, si l'adresse MAC est connue, on est dirigé vers un vlan (avec acces a l'intranet) et si elle est inconnue, on est dirigé vers un vlan invité.
Je dispose pour cela d'un serveur freeradius et d'un switch Allied Telesis AT-8000GS/48.
Malheureusement je bloque sur la configuration du switch, je n'arrive pas à configurer les port pour une authentification MAC, et la doc n'est pas très claire à ce sujet.
Quelqu'un sait-il si cela est possible avec ce modèle de switch et si oui quelques conseils seraient les bien venus.
Merci d'avance
Je dois mettre en place un systeme qui lorsqu'on se connecte sur une prise réseau de l'entreprise, si l'adresse MAC est connue, on est dirigé vers un vlan (avec acces a l'intranet) et si elle est inconnue, on est dirigé vers un vlan invité.
Je dispose pour cela d'un serveur freeradius et d'un switch Allied Telesis AT-8000GS/48.
Malheureusement je bloque sur la configuration du switch, je n'arrive pas à configurer les port pour une authentification MAC, et la doc n'est pas très claire à ce sujet.
Quelqu'un sait-il si cela est possible avec ce modèle de switch et si oui quelques conseils seraient les bien venus.
Merci d'avance
A voir également:
- Filtrage mac
- Adresse mac - Guide
- @ Sur mac - Guide
- Temperature mac - Guide
- Nettoyer son mac - Guide
- Mac os 15 - Accueil - MacOS
2 réponses
Bonjour,
Page 305 du PDF : http://www.alliedtelesis.fr/media/datasheets/guides/AT-S95_V101_CLI_Guide_RevB.pdf
D'apres ce que j'ai compris...
switchport general map macs-group vlan : on associe (map mac) une adresse mac à un groupe (macs-group) que l'on mappe avec une interface. Ensuite on active en associant le groupe avec le vlan (switchport) sur l'interface.
Ca n'a pas l'air simples :-(
page 30 du PDF : des ACL par adresse mac.
mac access-list : une cree une liste
permit : la commande associe une adresse mac source destination avec un vlan
service acl : permet d'appliquer une mac acces-list à une interface
=> ca me semble plus correpondre a ce que vous cherchez.
Pour utiliser un serveur radius, c'est à la page 325 (dot1x), mais ca n'a rien à voir avec les adresses mac...
Cordialement,
Page 305 du PDF : http://www.alliedtelesis.fr/media/datasheets/guides/AT-S95_V101_CLI_Guide_RevB.pdf
D'apres ce que j'ai compris...
switchport general map macs-group vlan : on associe (map mac) une adresse mac à un groupe (macs-group) que l'on mappe avec une interface. Ensuite on active en associant le groupe avec le vlan (switchport) sur l'interface.
Ca n'a pas l'air simples :-(
page 30 du PDF : des ACL par adresse mac.
mac access-list : une cree une liste
permit : la commande associe une adresse mac source destination avec un vlan
service acl : permet d'appliquer une mac acces-list à une interface
=> ca me semble plus correpondre a ce que vous cherchez.
Pour utiliser un serveur radius, c'est à la page 325 (dot1x), mais ca n'a rien à voir avec les adresses mac...
Cordialement,
Bonjour,
Au niveau sécurité, il faut appliquer les ACL sur tous les ports.
C'est trop facile d'intervertir 2 cables quand on a acces au switch.
L'option radius est interessante aussi (plus sécurisé), mais la gestion des certificats c'est lourd si c'est pas sur token usb.
Au niveau des ACL, il faut voir le fichier de config. C'est peut être plus facile de modifier le fichier manuellement et de charger le config ensuite, mais attention au bug (sur un 3Com par exemple, le fichier .cfg est facile).
Cordialement,
Au niveau sécurité, il faut appliquer les ACL sur tous les ports.
C'est trop facile d'intervertir 2 cables quand on a acces au switch.
L'option radius est interessante aussi (plus sécurisé), mais la gestion des certificats c'est lourd si c'est pas sur token usb.
Au niveau des ACL, il faut voir le fichier de config. C'est peut être plus facile de modifier le fichier manuellement et de charger le config ensuite, mais attention au bug (sur un 3Com par exemple, le fichier .cfg est facile).
Cordialement,
Concernant les acl, j'y ai pensé mais tout cela m'a semblé très statique. En fait je ne sais pas d'avance quel port sera utilisé par un poste connu ou inconnu...