Adrian Bergsnev Skrevet 21. januar 2016 Del Skrevet 21. januar 2016 Hei. Jeg trenger hjelp til å starte på et prosjekt. Jeg har 3 Cisco switcher (PoE) og 6 aksesspunkter (Cisco) samt Windows 2012 server. Jeg skal få til at VLAN blir mac-basert, slik at hvis det er noen som kobler seg opp til aksesspunket som står i et vlan, skal RADIUS serveren sjekke opp til mac-adressen om det er i registeret, slik at klienten blir koblet til et vlan som skal gi videre tilgang. Hvis mac-adressen ikke er i registeret, skal all datatrafikken gå til et VLAN som ikke har noe tilgang. Skal helst være rundt 4 VLANer. Hvis dette går, så skal jeg legge på aksesspunktene, men i starten vil jeg helst kun bruke kablet direkte til switchen, for å ikke legge for mye arbeid på en gang. Lenke til kommentar
MontBlanc Skrevet 24. januar 2016 Del Skrevet 24. januar 2016 Du kan vel bruke NAP rollen i Windows Server til dette. Nå er jeg litt usikker på hva som er "best practice", men hadde det ikke vært mest naturlig å autentisere basert på brukernavn/passord i AD? Lenke til kommentar
k-ryeng Skrevet 25. januar 2016 Del Skrevet 25. januar 2016 På Cisco SMB (SF300/SG300 f.eks.) skal det være ganske rett frem å sette opp MAC-baserte accesslister (ACL) som du kan legge rett på et VLAN, både via CLI og GUI, evt. kan du legge det på 802.1x. Da trenger du ikke radius-serveren. På Cisco Catalyst mener jeg du må ha utstyr som støtter 802.1x-autentisering på portnivå ("alle" accesspunkter støtter dette, men ikke eldre switcher). Da kan du nok velge om du vil bruke MAC-adresser eller brukernavn/passord i RADIUS (eller TACACS+/NAP) til å styre tilgangene, men det vanlige er nok helst å bruke brukernavn/passord fremfor MAC, da er det ikke maskinen men brukeren som styrer hva slags VLAN du blir puttet i. Det kan dog være grunner for å gjøre det MAC-basert også... Lenke til kommentar
Adrian Bergsnev Skrevet 29. januar 2016 Forfatter Del Skrevet 29. januar 2016 Men med AD så må jo alle klientene som vil komme seg på nett ha en bruker. Mitt formål med dette var at dette blir et åpent nettverk, slik at hvem som helst kan koble seg på dette nettet. De nodene som kobler seg på nettverket å vil komme seg videre, blir bare plassert i en vlan som "forbid" er videre aksess. De nodene som kobler seg på som har en mac adresse allerede klarert i en RADIUS server, kommer seg på et vlan som gir dem videre tilgang. Lenke til kommentar
Adrian Bergsnev Skrevet 29. januar 2016 Forfatter Del Skrevet 29. januar 2016 Et annen eksempel kan også være at det er kun 1 felles SSID, men det er vlan i dette nettet som har to forskjellige vlaner: "elever" og "administrator" for eksempel, slik at de som har mac adressen sin klarert på nettet, kommer seg til administrator vlanet. Lenke til kommentar
xcomiii Skrevet 30. januar 2016 Del Skrevet 30. januar 2016 Uten jeg er helt sikker på det, tipper jeg du må inn med en WLAN controller fra Cisco. Lenke til kommentar
k-ryeng Skrevet 30. januar 2016 Del Skrevet 30. januar 2016 Uten jeg er helt sikker på det, tipper jeg du må inn med en WLAN controller fra Cisco. Spørs om det er SMB eller Catalyst/Aironet... Lenke til kommentar
ZanZel Skrevet 1. februar 2016 Del Skrevet 1. februar 2016 Hvis det er catalyst/aironet, så kan det nok tenkes at bare en WLC ikke er nok, men at man må inn med ISE også. Lenke til kommentar
Dal Skrevet 10. april 2016 Del Skrevet 10. april 2016 Vi bruker Cisco ISE radius-server. Den klarer fint å lage profiler og regler basert på mac-adresser. Den er ikke billig, men veldig fleksibel. Du kan jo laste den ned og teste den, det er 90 dager trial på den. Lenke til kommentar
Ben-o Skrevet 25. april 2016 Del Skrevet 25. april 2016 Ville brukt NPS til dette, med dot1x på både kablet og trådløsnett. Det er wizards i NPS for å opprette policies for både kablet og trådløsnett mener jeg å huske. Jeg bruker følgende switch-config for å autentisere maskiner med dot1x, og hvis autentisering feiler puttes maskinene i gjestenett (vlan1) istedetfor internt nett (vlan10): aaa new-model aaa group server radius rad_srv_grp server name SRV-CA aaa authentication dot1x default group rad_srv_grp dot1x system-auth-control dot1x guest-vlan supplicant int gi1/0/16 description Port for dot1x switchport access vlan 10 switchport mode access authentication event fail action authorize vlan 1 authentication event server dead action authorize vlan 1 authentication event no-response action authorize vlan 1 authentication port-control auto dot1x pae authenticator dot1x timeout tx-period 5 dot1x max-reauth-req 1 spanning-tree portfast Både autonome og kontrollerbaserte APer kan du kjøre med radius mot en NPS server. Lenke til kommentar
k-ryeng Skrevet 26. april 2016 Del Skrevet 26. april 2016 Det vil være bedre praksis å ha en eller annen form for autentisering også på gjestenettet (om så "gjest/gjest"), og putte ikke-autentiserte brukere i et VLAN som ikke er i bruk (trenger ikke en gang være opprettet på switchene). Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå