VLANs Dynamiques via dot1x et serveur radius (CS ACS)
Voici une petite video de configuration de vlans dynamiques via l’utilisation de dot1x/radius avec un serveur Cisco Secure Access Control Server (CS ACS).
Commentaires audio en français et texte en anglais.
Recent Entries
- Définir des « handlers » personnalisés pour associer les liens d’un protocole avec une application perso.
- DMVPN over GETVPN avec KS COOP (redondance) et KS Forwarding
- EAP-TLS avec Autorité de certification autonome (Standalone CA) sous Windows 2003
- Static subnet NAT avec VRF pour monter des ‘PODs’ (LAB)
- Capture WiFi en mode monitor sous windows, et capture par process
- Comment taper un point d’interrogation ‘?’ dans un mot de passe ?
- IPSEC High Availability Stateful Failover avec VTI
- Exemple GETVPN avec utilisation du CA server IOS
- Vente de matériel cisco : ip phone 7960, 3550 PoE, AP 1131Ag
- Prise en main d’un IDS 4215 et utilisation IDM sous Windows 7
juin 17th, 2009 at 11:19
Bonjour,
Sais-tu si il est possible d’affecter une priorité 802.1p via dot1x en même temps que l’attribution du VLAN?
Je sais que c’est possible sur les HP mais je ne trouve pas l’info pour Cisco.
Merci
juin 18th, 2009 at 14:57
Aucune idée, regarde quels sont les attributs utilisés pour HP et regarde s’ils sont utlisable avec les équipements cisco.
juin 18th, 2009 at 15:05
Tiens, ceci devrais faire ton bonheur, je penses:
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t2/htipmaaa.html
http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_rad_vsa_pmap_ps6922_TSD_Products_Configuration_Guide_Chapter.html
http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_qos_aaa_policy.html
http://www.google.fr/search?q=cisco+AAA+QoS
octobre 21st, 2009 at 15:50
merci pour la video, aurais tu de la doc pour du mda et affectation vlan dynamique , j’ai une connexion d’un telephone IP et d’un pc sur le même switch sachant qu’il y a plusieurs Vlan voices déclaré sur le switch. il y a un acs tacacs+ merci pour l’aide
octobre 21st, 2009 at 16:25
Salut, qu’appelles tu MDA ? Je n’ai jamais testé le 802.1x avec les IPPhones, mais je penses que la config se fait directement sur le phone et qu’il est le supplicant.
octobre 22nd, 2009 at 8:45
salut, MDA multi domain authentification, car le telephone et le pc sont connecté sur meme port du switch. mon problème est qu’il y a plusieurs vlan voice sur le meme switch, on doit donc affecter le bon vlan au pc et aux tel. normalement l’authentification se fait par le certificat du telephone. penses tu que l’on peux affecter les telephone aux bon vlan voice? merci
octobre 22nd, 2009 at 12:24
Salut, pour moi le VLAN voice et le VLAN access sont local a un port du switch, tu les défini via switchport access vlan et switchport voice vlan, tu peux donc avoir des vlans différents entre les ports du switch.
novembre 16th, 2009 at 17:38
Pour ceux qui veulent faire de l’assignement dynamique de vlan (sur catalyst 3750) avec support 802.1x :
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = numéro du vlan que vous voulez
Le 6 veut dire que le client gère le 802.1x, et le 13 indique qu’il est sur un vlan.
novembre 24th, 2009 at 13:40
Pour ceux qui veulent utiliser ldap comme protocole d’identification, vous devez mettre ça dans le fichiers « users » :
DEFAULT FreeRadius-Proxied-To == 127.0.0.1
User-Name := ‘%{User-Name}’
Ensuite, il faut décommenter tout ce qui concerne ldap dans sites-enabled\inner-tunnel et dans sites-enabled\default
octobre 4th, 2010 at 19:57
Loss, je trouve ça curieux que le 3750 n’utilise pas les attributs radius par défaut, as tu testé avec ? Sinon salluste pour le MDA il faut que le voice vlan soit déclaré en static sur le port.
Ok je répond 1 an après
mars 29th, 2012 at 8:48
Bonjour, comment faire pour attribuer un Vlan par mac addresse sur 2960 et ACS 4.2
Merci
avril 10th, 2012 at 17:34
Bonjour Thierry,
Dans ACS 4.2, il faut utiliser des NAF/NAP, et en fonction de l’adresse mac source (surement calling-station-id si 802.1x) appliquer un profile.