Bonjour,
 
Je cherche à monter une maquette pour mettre en place de l'authentification radius sur mon réseau.
J'ai installé sur une machine (vm) debian lenny  FreeRADIUS Version 2.0.4.
 
J'ai déclaré dans la base de donnée dans la table radgroupreply
id groupname attribute  op value
1 Vlan1  Egress-VLANID := 838860801 (correspond au vlan 1 en untagged)
2 Vlan2  Egress-VLANID := 822083586 (correspond au vlan 2 en tagged)
 
dans ma table radusergroup j'ai mis
 
username  groupname priority
00260bd98b9f Vlan2  0
001b78b4355b Vlan1  0
 
Le premier enregistrement correspond à un téléphone cisco et le deuxième à un pc.
 
L'architecture d'aujourd'hui sans radius est
 
Port switch hp procurve avec vlan 1 untagged et vlan 2 tagged -> Téléphone IP Cisco (vlan 2 tagged) -> pc branché sur le téléphone cisco récupère le vlan 1
 
Tout fonctionne correctement
 
Avec mon radius j'authentifie bien séparément les éléments, d'une part quand je branche le pc je vois bien (avec wireshark) le trafic du switch vers le  
serveur radius ainsi que la réponse du radius qui affecte le port au vlan 1 sans tag et d'autre part quand je branche le téléphone cisco je vois bien (avec wireshark) le trafic du switch vers le  
serveur radius ainsi que la réponse du radius qui affecte le port au vlan 2 avec tag.
 
Maintenant je voudrais revenir sur ma conf actuel c'est à dire brancher le téléphone au switch et le pc au téléphone et qua le tout s'authentifie sur radius mais là  
commence la galère.
 
Le téléphone s'authentifie avec le radius ok mais quand je branche le pc aucune trame d'authentification ne part.
 
J'espère que j'ai su expliquer la situation, merci de votre aide.

il faut que ton switch sache gérer le fait qu'il y ait plus d'un équipement sur le port ethernet (le téléphone fait office de switch pour le pc).  
 
pour le moment il considère que le port n'a qu'un équipement.
 
ça devrait être décrit dans la doc HP.

J'ai essayé de chercher la commande qui me permettrait de déclarer plusieurs équipements sur le même port mais je n'ai rien trouvé il s'agit  
d'un switch HP procurve 2626.
 
Merci de ton aide.

Salut,
 
Ca fonctionne sur du 2610, donc avec de la chance c'est pareil pour les 2626...
 

 
Qui aura l'effet de tagger les tram non taggées sur le vlan Data et de laisser passer les trames taggées sur le vlan VOIP.
Pour la priorité et QOS je te laisse regarder dans la doc HP
 

Ok merci mais ça c'est le fonctionnement normal et actuel, moi je voulais dire dans un environnement radius.
 
Le but c'est que le radius auhentifie un materiel du vlan 2 par exemple et qu'il attribue le port au vlan 2 untagged et les autres vlan tagged

Bonjour,
 
avez vous réussi à résoudre ce probleme ?
Je tente de faire la meme chose en ce moment.
 
Manu
 

 
 
salut,
 
j'ai trouvé une solution qui fonctionne, en utilisant le NAC des HP Procurve, le VLAN taggué pour la ToIP et un vlan non taggué pour le port PC.
Il faut renvoyer le egress-vlanid des deux vlans a l'authentification des deux postes de travail. Sinon, une fois que le premier s'est authentifié, le deuxieme n'y arrive pas
 
Manu