Gå til innhold

RADIUS server til VLAN og aksesspunkter


Anbefalte innlegg

Hei.

 

Jeg trenger hjelp til å starte på et prosjekt.

 

Jeg har 3 Cisco switcher (PoE) og 6 aksesspunkter (Cisco) samt Windows 2012 server.

 

Jeg skal få til at VLAN blir mac-basert, slik at hvis det er noen som kobler seg opp til aksesspunket som står i et vlan, skal RADIUS serveren sjekke opp til mac-adressen om det er i registeret, slik at klienten blir koblet til et vlan som skal gi videre tilgang. Hvis mac-adressen ikke er i registeret, skal all datatrafikken gå til et VLAN som ikke har noe tilgang.

 

Skal helst være rundt 4 VLANer.

 

Hvis dette går, så skal jeg legge på aksesspunktene, men i starten vil jeg helst kun bruke kablet direkte til switchen, for å ikke legge for mye arbeid på en gang.

 

Lenke til kommentar
Videoannonse
Annonse

På Cisco SMB (SF300/SG300 f.eks.) skal det være ganske rett frem å sette opp MAC-baserte accesslister (ACL) som du kan legge rett på et VLAN, både via CLI og GUI, evt. kan du legge det på 802.1x. Da trenger du ikke radius-serveren.

 

På Cisco Catalyst mener jeg du må ha utstyr som støtter 802.1x-autentisering på portnivå ("alle" accesspunkter støtter dette, men ikke eldre switcher). Da kan du nok velge om du vil bruke MAC-adresser eller brukernavn/passord i RADIUS (eller TACACS+/NAP) til å styre tilgangene, men det vanlige er nok helst å bruke brukernavn/passord fremfor MAC, da er det ikke maskinen men brukeren som styrer hva slags VLAN du blir puttet i. Det kan dog være grunner for å gjøre det MAC-basert også...

Lenke til kommentar

Men med AD så må jo alle klientene som vil komme seg på nett ha en bruker.

 

Mitt formål med dette var at dette blir et åpent nettverk, slik at hvem som helst kan koble seg på dette nettet. De nodene som kobler seg på nettverket å vil komme seg videre, blir bare plassert i en vlan som "forbid" er videre aksess. De nodene som kobler seg på som har en mac adresse allerede klarert i en RADIUS server, kommer seg på et vlan som gir dem videre tilgang.

Lenke til kommentar
  • 2 måneder senere...

Vi bruker Cisco ISE radius-server. Den klarer fint å lage profiler og regler basert på mac-adresser.

Den er ikke billig, men veldig fleksibel.

 

Du kan jo laste den ned og teste den, det er 90 dager trial på den.

Lenke til kommentar
  • 3 uker senere...

Ville brukt NPS til dette, med dot1x på både kablet og trådløsnett. Det er wizards i NPS for å opprette policies for både kablet og trådløsnett mener jeg å huske.

 

Jeg bruker følgende switch-config for å autentisere maskiner med dot1x, og hvis autentisering feiler puttes maskinene i gjestenett (vlan1)  istedetfor internt nett (vlan10):

 
aaa new-model
aaa group server radius rad_srv_grp
 server name SRV-CA
aaa authentication dot1x default group rad_srv_grp
dot1x system-auth-control
dot1x guest-vlan supplicant
 
int gi1/0/16
 description Port for dot1x
 switchport access vlan 10
 switchport mode access
 authentication event fail action authorize vlan 1
 authentication event server dead action authorize vlan 1
 authentication event no-response action authorize vlan 1
 authentication port-control auto
 dot1x pae authenticator
 dot1x timeout tx-period 5
 dot1x max-reauth-req 1
 spanning-tree portfast
 
Både autonome og kontrollerbaserte APer kan du kjøre med radius mot en NPS server.
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...