Assigner un "guest vlan" à partir du C2960
Résolu
the_RYo
Messages postés
2
Date d'inscription
Statut
Membre
Dernière intervention
-
the_RYo Messages postés 2 Date d'inscription Statut Membre Dernière intervention -
the_RYo Messages postés 2 Date d'inscription Statut Membre Dernière intervention -
Bonjour!
Dans le cadre d'un stage de fin d'étude, je dois étudier comment mettre en place la norme 802.1x. Je travaille donc sur une maquette en utilisant un switch cisco 2960 ainsi qu'un serveur FreeRadius. Dans un premier temps et pour m'aclimater à ce domaine qui m'est étranger, j'ai configurer du MAB afin de créer un premier niveau de sécurité. Ceci fonctionne bien à l'exception que je n'arrive pas à faire fonctionner un "guest-vlan" ou même un "fail-vlan". Voici la configuration du port 15, celui auquel je connecte un pc avec une adresse MAC inconnue et qui devrait normalement s'ouvrir sur le vlan 899 (aussi bien guest que fail vlan):
interface GigabitEthernet0/15
switchport access vlan 100
switchport mode access
authentication event fail retry 1 action authorize vlan 899
authentication event no-response action authorize vlan 899
authentication host-mode multi-auth
authentication port-control auto
mab
dot1x pae authenticator
dot1x timeout quiet-period 5
dot1x timeout tx-period 1
dot1x max-req 1
spanning-tree portfast
spanning-tree bpduguard enable
Lorsque je connecte effectivement l'ordinateur inconnu, le switch m'indique grace au port console que mon serveur multiplie les tentatives d'authentification (dot1x puis MAB) à l'infini alors que j'ai configurer max-reauth-req = 1 et max-req=1.
J'ai fait beaucoup de recherches mais je bloque, et pourtant ce n'est que le début de mon projet... Si quelqu'un peut sauver mes études... Merci beaucoup!
Dans le cadre d'un stage de fin d'étude, je dois étudier comment mettre en place la norme 802.1x. Je travaille donc sur une maquette en utilisant un switch cisco 2960 ainsi qu'un serveur FreeRadius. Dans un premier temps et pour m'aclimater à ce domaine qui m'est étranger, j'ai configurer du MAB afin de créer un premier niveau de sécurité. Ceci fonctionne bien à l'exception que je n'arrive pas à faire fonctionner un "guest-vlan" ou même un "fail-vlan". Voici la configuration du port 15, celui auquel je connecte un pc avec une adresse MAC inconnue et qui devrait normalement s'ouvrir sur le vlan 899 (aussi bien guest que fail vlan):
interface GigabitEthernet0/15
switchport access vlan 100
switchport mode access
authentication event fail retry 1 action authorize vlan 899
authentication event no-response action authorize vlan 899
authentication host-mode multi-auth
authentication port-control auto
mab
dot1x pae authenticator
dot1x timeout quiet-period 5
dot1x timeout tx-period 1
dot1x max-req 1
spanning-tree portfast
spanning-tree bpduguard enable
Lorsque je connecte effectivement l'ordinateur inconnu, le switch m'indique grace au port console que mon serveur multiplie les tentatives d'authentification (dot1x puis MAB) à l'infini alors que j'ai configurer max-reauth-req = 1 et max-req=1.
J'ai fait beaucoup de recherches mais je bloque, et pourtant ce n'est que le début de mon projet... Si quelqu'un peut sauver mes études... Merci beaucoup!
A voir également:
- Assigner un "guest vlan" à partir du C2960
- Creer un groupe whatsapp a partir d'un autre groupe - Guide
- Comment faire une recherche à partir d'une photo - Guide
- Identifier un tableau à partir d'une photo - Forum Graphisme
- Combien y a-t-il de bateaux dans la zone de 475 pixels de large et 1000 pixels de haut à partir du coin supérieur gauche de cette image ? - Forum Photoshop
- Fitness park a partir de quel age - Forum Loisirs / Divertissements
3 réponses
Bonjour,
As-tu regardé sur le site de Cisco. Il y a moult support et configurations associées.
Il me semble que pour le Dot1.x, ce n'est pas ton host qui dialogue avec le serveur radius, mais le switch qui sert de relay. Analyses avec Wireshark l'interface/vlan de ton switch qui est relié au serveur Radius, je pense que dans ce cas tu ne verras qu'une seule tentative d'authentification.
As-tu regardé sur le site de Cisco. Il y a moult support et configurations associées.
Il me semble que pour le Dot1.x, ce n'est pas ton host qui dialogue avec le serveur radius, mais le switch qui sert de relay. Analyses avec Wireshark l'interface/vlan de ton switch qui est relié au serveur Radius, je pense que dans ce cas tu ne verras qu'une seule tentative d'authentification.
re-bonjour!
Tout d'abord merci de votrre réaction rapide. J'ai cependant trouver d'ou venait le problème: en "bidouillant" un peu, j'ai changé le "host-mode" en le passant en "single-host" plutot qu'en "multi-auth". Je vous avoue que je ne sais pas précisément ce que signifie cette commande mais après avoir testé, le serveur tente l'authentification dot1x puis mab en échouant à chanque fois (comme prévu) puis autorise le client dans mon guest-vlan! C'est plus un coup de chance qu'autre chose, mais l'un de vous saurait m'expliquer en gros ce qui bloquait svp? (simple curiosité).
Merci d'avance et bonne après midi!
Tout d'abord merci de votrre réaction rapide. J'ai cependant trouver d'ou venait le problème: en "bidouillant" un peu, j'ai changé le "host-mode" en le passant en "single-host" plutot qu'en "multi-auth". Je vous avoue que je ne sais pas précisément ce que signifie cette commande mais après avoir testé, le serveur tente l'authentification dot1x puis mab en échouant à chanque fois (comme prévu) puis autorise le client dans mon guest-vlan! C'est plus un coup de chance qu'autre chose, mais l'un de vous saurait m'expliquer en gros ce qui bloquait svp? (simple curiosité).
Merci d'avance et bonne après midi!