VLANs Dynamiques via dot1x et serveur radius (CS ACS)

Voici une petite video de configuration de vlans dynamiques via l’utilisation de dot1x/radius avec un serveur Cisco Secure Access Control Server (CS ACS).
Commentaires audio en français et texte en anglais.

Voir la vidéo

Recent Entries

12 Responses to “VLANs Dynamiques via dot1x et serveur radius (CS ACS)”

  1. julito Says:

    Bonjour,

    Sais-tu si il est possible d’affecter une priorité 802.1p via dot1x en même temps que l’attribution du VLAN?
    Je sais que c’est possible sur les HP mais je ne trouve pas l’info pour Cisco.

    Merci

  2. Bastien Migette Says:

    Aucune idée, regarde quels sont les attributs utilisés pour HP et regarde s’ils sont utlisable avec les équipements cisco.

  3. Bastien Migette Says:

    Tiens, ceci devrais faire ton bonheur, je penses:
    http://www.cisco.com/en/US/docs/ios/12_4t/12_4t2/htipmaaa.html

    http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_rad_vsa_pmap_ps6922_TSD_Products_Configuration_Guide_Chapter.html

    http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_qos_aaa_policy.html

    http://www.google.fr/search?q=cisco+AAA+QoS

  4. salluste Says:

    merci pour la video, aurais tu de la doc pour du mda et affectation vlan dynamique , j’ai une connexion d’un telephone IP et d’un pc sur le même switch sachant qu’il y a plusieurs Vlan voices déclaré sur le switch. il y a un acs tacacs+ merci pour l’aide

  5. Bastien Migette Says:

    Salut, qu’appelles tu MDA ? Je n’ai jamais testé le 802.1x avec les IPPhones, mais je penses que la config se fait directement sur le phone et qu’il est le supplicant.

  6. salluste Says:

    salut, MDA multi domain authentification, car le telephone et le pc sont connecté sur meme port du switch. mon problème est qu’il y a plusieurs vlan voice sur le meme switch, on doit donc affecter le bon vlan au pc et aux tel. normalement l’authentification se fait par le certificat du telephone. penses tu que l’on peux affecter les telephone aux bon vlan voice? merci

  7. Bastien Migette Says:

    Salut, pour moi le VLAN voice et le VLAN access sont local a un port du switch, tu les défini via switchport access vlan et switchport voice vlan, tu peux donc avoir des vlans différents entre les ports du switch.

  8. loss Says:

    Pour ceux qui veulent faire de l’assignement dynamique de vlan (sur catalyst 3750) avec support 802.1x :

    Tunnel-Type = 13,
    Tunnel-Medium-Type = 6,
    Tunnel-Private-Group-Id = numéro du vlan que vous voulez

    Le 6 veut dire que le client gère le 802.1x, et le 13 indique qu’il est sur un vlan.

  9. loss Says:

    Pour ceux qui veulent utiliser ldap comme protocole d’identification, vous devez mettre ça dans le fichiers « users » :

    DEFAULT FreeRadius-Proxied-To == 127.0.0.1
    User-Name := ‘%{User-Name}’

    Ensuite, il faut décommenter tout ce qui concerne ldap dans sites-enabled\inner-tunnel et dans sites-enabled\default

  10. Bastien Migette Says:

    Loss, je trouve ça curieux que le 3750 n’utilise pas les attributs radius par défaut, as tu testé avec ? Sinon salluste pour le MDA il faut que le voice vlan soit déclaré en static sur le port.
    Ok je répond 1 an après 🙂

  11. THIERRY Says:

    Bonjour, comment faire pour attribuer un Vlan par mac addresse sur 2960 et ACS 4.2
    Merci

  12. Bastien Migette Says:

    Bonjour Thierry,

    Dans ACS 4.2, il faut utiliser des NAF/NAP, et en fonction de l’adresse mac source (surement calling-station-id si 802.1x) appliquer un profile.

Leave a Reply

Le temps imparti est dépassé. Merci de recharger le CAPTCHA.