Sujet Précédent Sujet Suivant

VLAN dynamique avec Freeradius

Fermé
Mathieu52 - 5 avril 2011 à 14:23
 Mathieu52 - 7 avril 2011 à 09:48
Bonjour,

J'ai un petit problème, je vous le soumets.

Dans mon réseau, je souhaiterais assigner mes VLAN en fonction des utilisateurs, à l'aide d'un serveur freeradius, configuré de la plus simple des façons : déclaration des utilisateurs en local (sur le fichier user), cryptage en MD5. Le tout avec un switch CISCO 2950.

Fichier "user" de Freeradius (déclaration d'un utilisateur de test) : 

toto	Cleartext-password := "test"
         Service-Type = Framed-User,
         Auth-Type := EAP,
         Tunnel-Type = VLAN,
         Tunnel-Medium-Type = 6,
         Tunnel-Private-Group-Id = 18



Fichier "clients.conf" de Freeradius (déclaration du switch) : 

client 10.254.1.1 {
        secret      = test
        shortname   = 10.254.1.1
        nastype     = cisco
}



Fichier "eap.conf" de Freeradius (méthode d'authentification) : 

eap {
        default_eap_type = md5
}



Sur mon switch, j'ai configuré : 

aaa new-model
aaa group server radius RadiusServers
 server 10.254.20.180 auth-port 1812 acct-port 1813

aaa authentication login default group RadiusServers local
aaa authentication dot1x default group RadiusServers local
aaa authorization exec default group RadiusServers local 

dot1x system-auth-control

radius-server host 10.254.10.1 auth-port 1812 acct-port 1813 key test



Et sur le port de test : 

interface FastEthernet0/24
 description TEST RADIUS
 switchport mode access
 dot1x pae authenticator
 dot1x port-control auto
 dot1x host-mode multi-host
 dot1x violation-mode protect
 dot1x reauthentication
 dot1x guest-vlan 18



Sur mon PC, le supplicant est bien configuré.
Cependant, ça ne fonctionne pas, lorsque je me connecte, je ne suis pas affecté au VLAN 18. Je reste dans le VLAN 1.
Pourtant, l'authentification 802.1x fonctionne bien puisque, si je mets des mauvais identifiants dans la config de mon supplicant, les ports ne sont pas ouverts. Or là, le switch débloque le port après l'authentification login-password, mais il ne m'attribue pas le VLAN 18. Je suis dans le VLAN 1 (qui est configuré par défaut sur ce port du switch). Pour que je sois affecté au VLAN 18, il faut que je le configure sur le port du switch (switchport access vlan 18). Mais ce n'est pas ce que je veux, puisqu'au final, je voudrais que le VLAN soit attribué en fonction de l'utilisateur... Donc que le switch ne prenne pas en compte le VLAN configuré sur son port, mais le VLAN configuré sur le serveur RADIUS pour l'utilisateur.

Sauriez-vous me dire si c'est possible, et où est le problème dans ma conf ?

Merci.

13 réponses

Réponse 1 / 13
el_profesor
Modifié par el_profesor le 6/04/2011 à 14:06
Toutes mes excuses :
http://www.cisco.com/en/US/tech/tk389/tk814

/technologies_configuration_example09186a00808abf2d.shtml#MDA

J'ai coupé le lien en deux. Je ne dois pas etre doué car il le coupe à chaque fois. Les deux lignes sont en une partie. Dès que tu as la solution poste la c'est interessant comme truc.
1
Réponse 2 / 13
Mathieu52
6 avril 2011 à 15:55
Un grand merci, j'ai trouvé la solution dans le lien que tu m'as fourni !

Dans la config du switch, j'avais simplement oublié la ligne : 

aaa authorization network default group RadiusServers local


Maintenant ça fonctionne très bien ! Enfin, presque, mon "guest-vlan" (VLAN utilisé pour les clients qui ne sont pas équipé de supplicant 802.1x) ne marche pas. Mais c'est pas grave, je vais voir ça...

Merci beaucoup pour les réponses en tout cas ! Ca faisait une semaine que j'étais sur le problème.
1
Réponse 3 / 13
Mathieu52
7 avril 2011 à 09:07
La ligne 
aaa authorization network default group Radius local
est tout simplement la ligne qui permet d'autoriser sur le switch l'assignement dynamique de VLAN par le serveur RADIUS.

Pour une config de base pour créer des VLAN dynamiques, la config de Freeradius est dans le premier message.

La config simple d'un switch CISCO est celle ci : 

aaa new-model
aaa group server radius Radius
 server 10.254.10.1 auth-port 1812 acct-port 1813 (pour déclarer le serveur RADIUS)

aaa authentication dot1x default group Radius (méthode par défaut)
aaa authorization network default group Radius (autorise le VLAN dynamique)

dot1x system-auth-control (pour activer 802.1x sur le switch)

radius-server host 10.254.10.1 key test (pour déclarer la clé d'authentification entre le switch et le serveur)



Sur le port connecté au supplicant 802.1x : 

interface FastEthernet0/24
 switchport mode access
 dot1x port-control auto (pour activer 802.1x sur l'interface)
 dot1x pae authenticator (avec les paramètres par défaut)
 dot1x host-mode multi-host (afin d'autoriser plusieurs hôtes sur le même port)


Le reste ne sont que des options.

Par contre, je ne sais comment mettre le sujet en "résolu"...
1
Réponse 4 / 13
el_profesor
Modifié par el_profesor le 5/04/2011 à 15:51
Bonjour,

Je ne sais pas si c'est possible mais essaye d'affecter plusieurs VLAN à une interface.
Sinon regarde s'il n'y a pas de mode "dynamic access".
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
el_profesor
Modifié par el_profesor le 5/04/2011 à 16:56
Essaye ça :

Switch# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface fa0/1

Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan dynamic

Switch(config-if)# end
0
Réponse 6 / 13
Mathieu52
5 avril 2011 à 17:09
Bonjour,
Merci de la réponse.

Pour affecter plusieurs VLAN à l'interface, il faut que je la configure en trunk, et c'est impossible avec 802.1x, ça me met ce message d'erreur : 

Command rejected: Conflict with dot1x. 
Dot1x must be disabled before changing port mode.


Et avec la dernière solution, lorsque je mets "switchport access vlan dynamic", c'est la même chose, c'est imcompatible avec la norme 802.1x : 

Command rejected: Conflict with dot1x.
Access VLAN cannot be configured as dynamic on a dot1x port.


Merci tout de même, si tu as d'autres idées :)
0
Réponse 7 / 13
el_profesor
6 avril 2011 à 08:56
Comme ça non je n'ai pas d'autres idée. Pourtant le swiport access vlan dynamique a l'air sympas. Si tu enleve déjà tout tes dotx et que tu met juste l'accés dynamique ça te donne un résultat correct ? (acces vlan selon utilisateur ?)
0
Réponse 8 / 13
Mathieu52
6 avril 2011 à 12:18
En fait ça ne marche pas mieux, car le "switchport access vlan dynamic" est pour le protocole VMPS (VLAN pas adresse MAC), que je n'utilise pas ici.
Et si j'enlève mes commandes "dot1x", le port n'est plus rattaché au serveur RADIUS, donc ça ne foncionne pas.

Je n'arrive pas à trouver la solution...

Merci quand même !
0
Réponse 9 / 13
el_profesor
6 avril 2011 à 13:47
Regarde ce lien je pense qu'il y a la réponse dedans :
http://www.cisco.com/...

Je n'ai pas packet tracer pour tester mais je pense qu'une des commandes correspond à ton besoin.
0
Réponse 10 / 13
Mathieu52
6 avril 2011 à 13:59
Merci pour la réponse, mais le lien ne fonctionne pas, pourrais-tu me le reposter ?
0
Réponse 11 / 13
el_profesor
Modifié par el_profesor le 6/04/2011 à 16:12
Peux expliquer cette ligne et mettre les commandes uniquement necessaire à faire des vlan dynamique (avec qql explications )et mettre ton sujet résolu stp. Comme ça, ça pourra aider d'autres personnes. L'informatique = partage :)

Bonne continuation !
0
Réponse 12 / 13
el_profesor
7 avril 2011 à 09:17
Nikel. D'autres pourront apprécier cette solution. Il faut éditer ton premier poste et mettre [Résolu] devant le début du sujet de ton poste.
0
Réponse 13 / 13
Mathieu52
7 avril 2011 à 09:48
Oui mais le problème est que je ne peux l'éditer, je ne suis pas identifié, j'ai un pseudo "invité"... Bon c'est pas grave.
0

Discussions similaires

Différence entre port taggé et non taggé
Tiseb -
brupala -

21 réponses
Serveur DHCP + VLAN
bec56 -
bec56 -

7 réponses
différence vlan mode access/vlan mode trunk
perla_black2000 -
Utilisateur anonyme -

3 réponses
VLANs
Ibilolz -
Ibilolz -

9 réponses
configuration de freeradius sous debian
leslie45 -
telecom14 -

102 réponses