VLAN dynamique avec Freeradius
Mathieu52
-
Mathieu52 -
Mathieu52 -
Bonjour,
J'ai un petit problème, je vous le soumets.
Dans mon réseau, je souhaiterais assigner mes VLAN en fonction des utilisateurs, à l'aide d'un serveur freeradius, configuré de la plus simple des façons : déclaration des utilisateurs en local (sur le fichier user), cryptage en MD5. Le tout avec un switch CISCO 2950.
Fichier "user" de Freeradius (déclaration d'un utilisateur de test) :
Fichier "clients.conf" de Freeradius (déclaration du switch) :
Fichier "eap.conf" de Freeradius (méthode d'authentification) :
Sur mon switch, j'ai configuré :
Et sur le port de test :
Sur mon PC, le supplicant est bien configuré.
Cependant, ça ne fonctionne pas, lorsque je me connecte, je ne suis pas affecté au VLAN 18. Je reste dans le VLAN 1.
Pourtant, l'authentification 802.1x fonctionne bien puisque, si je mets des mauvais identifiants dans la config de mon supplicant, les ports ne sont pas ouverts. Or là, le switch débloque le port après l'authentification login-password, mais il ne m'attribue pas le VLAN 18. Je suis dans le VLAN 1 (qui est configuré par défaut sur ce port du switch). Pour que je sois affecté au VLAN 18, il faut que je le configure sur le port du switch (switchport access vlan 18). Mais ce n'est pas ce que je veux, puisqu'au final, je voudrais que le VLAN soit attribué en fonction de l'utilisateur... Donc que le switch ne prenne pas en compte le VLAN configuré sur son port, mais le VLAN configuré sur le serveur RADIUS pour l'utilisateur.
Sauriez-vous me dire si c'est possible, et où est le problème dans ma conf ?
Merci.
J'ai un petit problème, je vous le soumets.
Dans mon réseau, je souhaiterais assigner mes VLAN en fonction des utilisateurs, à l'aide d'un serveur freeradius, configuré de la plus simple des façons : déclaration des utilisateurs en local (sur le fichier user), cryptage en MD5. Le tout avec un switch CISCO 2950.
Fichier "user" de Freeradius (déclaration d'un utilisateur de test) :
toto Cleartext-password := "test"
Service-Type = Framed-User,
Auth-Type := EAP,
Tunnel-Type = VLAN,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 18
Fichier "clients.conf" de Freeradius (déclaration du switch) :
client 10.254.1.1 {
secret = test
shortname = 10.254.1.1
nastype = cisco
}
Fichier "eap.conf" de Freeradius (méthode d'authentification) :
eap {
default_eap_type = md5
}
Sur mon switch, j'ai configuré :
aaa new-model aaa group server radius RadiusServers server 10.254.20.180 auth-port 1812 acct-port 1813 aaa authentication login default group RadiusServers local aaa authentication dot1x default group RadiusServers local aaa authorization exec default group RadiusServers local dot1x system-auth-control radius-server host 10.254.10.1 auth-port 1812 acct-port 1813 key test
Et sur le port de test :
interface FastEthernet0/24 description TEST RADIUS switchport mode access dot1x pae authenticator dot1x port-control auto dot1x host-mode multi-host dot1x violation-mode protect dot1x reauthentication dot1x guest-vlan 18
Sur mon PC, le supplicant est bien configuré.
Cependant, ça ne fonctionne pas, lorsque je me connecte, je ne suis pas affecté au VLAN 18. Je reste dans le VLAN 1.
Pourtant, l'authentification 802.1x fonctionne bien puisque, si je mets des mauvais identifiants dans la config de mon supplicant, les ports ne sont pas ouverts. Or là, le switch débloque le port après l'authentification login-password, mais il ne m'attribue pas le VLAN 18. Je suis dans le VLAN 1 (qui est configuré par défaut sur ce port du switch). Pour que je sois affecté au VLAN 18, il faut que je le configure sur le port du switch (switchport access vlan 18). Mais ce n'est pas ce que je veux, puisqu'au final, je voudrais que le VLAN soit attribué en fonction de l'utilisateur... Donc que le switch ne prenne pas en compte le VLAN configuré sur son port, mais le VLAN configuré sur le serveur RADIUS pour l'utilisateur.
Sauriez-vous me dire si c'est possible, et où est le problème dans ma conf ?
Merci.
A voir également:
- Freeradius dynamic vlan
- Dynamic island android - Accueil - Guide Android
- Dynamic world - Guide
- Aruba 1930 vlan configuration - Forum Réseau
- Dhcp vlan ✓ - Forum DHCP
- Vlan tagged untagged explication - Forum Réseau
13 réponses
Toutes mes excuses :
http://www.cisco.com/en/US/tech/tk389/tk814
/technologies_configuration_example09186a00808abf2d.shtml#MDA
J'ai coupé le lien en deux. Je ne dois pas etre doué car il le coupe à chaque fois. Les deux lignes sont en une partie. Dès que tu as la solution poste la c'est interessant comme truc.
http://www.cisco.com/en/US/tech/tk389/tk814
/technologies_configuration_example09186a00808abf2d.shtml#MDA
J'ai coupé le lien en deux. Je ne dois pas etre doué car il le coupe à chaque fois. Les deux lignes sont en une partie. Dès que tu as la solution poste la c'est interessant comme truc.
Un grand merci, j'ai trouvé la solution dans le lien que tu m'as fourni !
Dans la config du switch, j'avais simplement oublié la ligne :
Maintenant ça fonctionne très bien ! Enfin, presque, mon "guest-vlan" (VLAN utilisé pour les clients qui ne sont pas équipé de supplicant 802.1x) ne marche pas. Mais c'est pas grave, je vais voir ça...
Merci beaucoup pour les réponses en tout cas ! Ca faisait une semaine que j'étais sur le problème.
Dans la config du switch, j'avais simplement oublié la ligne :
aaa authorization network default group RadiusServers local
Maintenant ça fonctionne très bien ! Enfin, presque, mon "guest-vlan" (VLAN utilisé pour les clients qui ne sont pas équipé de supplicant 802.1x) ne marche pas. Mais c'est pas grave, je vais voir ça...
Merci beaucoup pour les réponses en tout cas ! Ca faisait une semaine que j'étais sur le problème.
La ligne
Pour une config de base pour créer des VLAN dynamiques, la config de Freeradius est dans le premier message.
La config simple d'un switch CISCO est celle ci :
Sur le port connecté au supplicant 802.1x :
Le reste ne sont que des options.
Par contre, je ne sais comment mettre le sujet en "résolu"...
aaa authorization network default group Radius localest tout simplement la ligne qui permet d'autoriser sur le switch l'assignement dynamique de VLAN par le serveur RADIUS.
Pour une config de base pour créer des VLAN dynamiques, la config de Freeradius est dans le premier message.
La config simple d'un switch CISCO est celle ci :
aaa new-model aaa group server radius Radius server 10.254.10.1 auth-port 1812 acct-port 1813 (pour déclarer le serveur RADIUS) aaa authentication dot1x default group Radius (méthode par défaut) aaa authorization network default group Radius (autorise le VLAN dynamique) dot1x system-auth-control (pour activer 802.1x sur le switch) radius-server host 10.254.10.1 key test (pour déclarer la clé d'authentification entre le switch et le serveur)
Sur le port connecté au supplicant 802.1x :
interface FastEthernet0/24 switchport mode access dot1x port-control auto (pour activer 802.1x sur l'interface) dot1x pae authenticator (avec les paramètres par défaut) dot1x host-mode multi-host (afin d'autoriser plusieurs hôtes sur le même port)
Le reste ne sont que des options.
Par contre, je ne sais comment mettre le sujet en "résolu"...
Bonjour,
Je ne sais pas si c'est possible mais essaye d'affecter plusieurs VLAN à une interface.
Sinon regarde s'il n'y a pas de mode "dynamic access".
Je ne sais pas si c'est possible mais essaye d'affecter plusieurs VLAN à une interface.
Sinon regarde s'il n'y a pas de mode "dynamic access".
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Essaye ça :
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan dynamic
Switch(config-if)# end
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan dynamic
Switch(config-if)# end
Bonjour,
Merci de la réponse.
Pour affecter plusieurs VLAN à l'interface, il faut que je la configure en trunk, et c'est impossible avec 802.1x, ça me met ce message d'erreur :
Et avec la dernière solution, lorsque je mets "switchport access vlan dynamic", c'est la même chose, c'est imcompatible avec la norme 802.1x :
Merci tout de même, si tu as d'autres idées :)
Merci de la réponse.
Pour affecter plusieurs VLAN à l'interface, il faut que je la configure en trunk, et c'est impossible avec 802.1x, ça me met ce message d'erreur :
Command rejected: Conflict with dot1x. Dot1x must be disabled before changing port mode.
Et avec la dernière solution, lorsque je mets "switchport access vlan dynamic", c'est la même chose, c'est imcompatible avec la norme 802.1x :
Command rejected: Conflict with dot1x. Access VLAN cannot be configured as dynamic on a dot1x port.
Merci tout de même, si tu as d'autres idées :)
Comme ça non je n'ai pas d'autres idée. Pourtant le swiport access vlan dynamique a l'air sympas. Si tu enleve déjà tout tes dotx et que tu met juste l'accés dynamique ça te donne un résultat correct ? (acces vlan selon utilisateur ?)
En fait ça ne marche pas mieux, car le "switchport access vlan dynamic" est pour le protocole VMPS (VLAN pas adresse MAC), que je n'utilise pas ici.
Et si j'enlève mes commandes "dot1x", le port n'est plus rattaché au serveur RADIUS, donc ça ne foncionne pas.
Je n'arrive pas à trouver la solution...
Merci quand même !
Et si j'enlève mes commandes "dot1x", le port n'est plus rattaché au serveur RADIUS, donc ça ne foncionne pas.
Je n'arrive pas à trouver la solution...
Merci quand même !
Regarde ce lien je pense qu'il y a la réponse dedans :
http://www.cisco.com/...
Je n'ai pas packet tracer pour tester mais je pense qu'une des commandes correspond à ton besoin.
http://www.cisco.com/...
Je n'ai pas packet tracer pour tester mais je pense qu'une des commandes correspond à ton besoin.
Peux expliquer cette ligne et mettre les commandes uniquement necessaire à faire des vlan dynamique (avec qql explications )et mettre ton sujet résolu stp. Comme ça, ça pourra aider d'autres personnes. L'informatique = partage :)
Bonne continuation !
Bonne continuation !