802.1x, vlan et VoIP - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 23-02-2009 à 11:05:54
En continuant mes recherches je viens de trouver de la doc à propos des vlan voice chez cisco qui semblerai correspondre à ce que je veux faire. Malheureusement je dois travailler avec du HP donc je creuse sur la possibilité de le faire avec HP. Si quelqu'un à des infos je suis preneur
Marsh Posté le 23-02-2009 à 16:48:57
Finalement j'ai réussi à me débloquer en parti.
Le seul problème qui me reste concerne les "visiteurs". J'ai appliqué des VLAN dynamique, en spécifiant qu'en cas d'authentification réussi le port bascule en VLAN "entreprise" et quand l'authentification échoue, le port bascule dans le VLAN "guest". Maintenant ce que j'aurais souhaité c'est autoriser le trafique sur les ports lorsqu'ils ont basculés dans la vlan "guest". Ce sera à terme pour donner accès à des services restreints aux invités.
Comment faire cela?
merci d'avance
Marsh Posté le 23-02-2009 à 17:40:37
tu as les "fail vlans" et les "guest vlans"
le fail vlan c'est quand l'auth. échoue.
le guest vlan c'est quand le poste client n'a pas de supplicant 802.1x. Sur Cisco ça se configure par des commandes appliquer sur les ports. Pour HP je sais pas
Marsh Posté le 24-02-2009 à 08:16:12
Ok dreamer18, je cherche là dessus. merci
Sinon n'est il pas possible de créer une nouvelle stratégie d'accès distant sur mon IAS pour spécifier que les personnes qui ont une authentification nulle (ou qui ont échoués) sont quand même acceptés et redirigés dans un autre vlan?
Marsh Posté le 23-02-2009 à 10:45:26
Bonjour,
Je viens à votre rencontre par manque d'information et de temps. Je précise tout de suite que je ne cherche pas à ce qu'on fasse le boulot de recherche à ma place, je suis là pour avoir des avis/pistes.
Voici le problème :
L'entreprise dans laquelle je suis en stage de validation de Licence Pro me demande de chercher de la doc / valider la possibilité de mettre en place de l'authentification 802.1x (MAC ou certifs) sur leurs réseaux, avec des VLAN pour les postes standard, les téléphones sur IP et les invités. Au début il était question de VLAN statiques, je me suis donc penché sur la mise en place de l'authentification qui est résolu. Seulement voilà, ce matin mon tuteur m'a informé qu'il souhait se servir des 'miniswitchs' intégrés dans les téléphones IP afin de n'utiliser qu'un port pour un couple téléphone/poste client (compréhensible) cependant cela m'amène quelques problèmes.
- Un poste client relié sur le switch du téléphone IP, lui même relié au commutateur, cela fait 2 VLAN sur le même port du commutateur. Comment gérer cela?
--> je pensais mettre le port du commutateur en taggé, le téléphone semble le supporter, es-ce de même pour toutes les cartes réseaux des postes clients (XP) si oui, comment spécifier à cette carte réseau l'ID du VLAN qu'elle doit utiliser?
--> si je fais de l'attribution dynamique de VLAN suivant le résultat de l'authentification, le commutateur pourra-t-il attribuer 2 VLAN au même port?
- 2 clients 802.1x sur la même interface, sans configuration particulière sur le commut', ça veux dire qu'un seul client authentifié suffit à activer le trafique sur ce port. Le multi-client, obligeant chaque poste connecté au port du commut' sera-t-il compatible avec les éléments cités ci-dessus ?
Voila, mes premières interrogations sur ce problème... Je parlais d'un manque de temps au début car le résultat de ces recherches doit être présenté à la direction vendredi à 14h donc je continu mes recherches, mais si vous pouvez me donner des pistes de recherches ça m'arrangerai