Forum Français

last person joined: 10 days ago 

Bienvenue sur le forum communautaire français d'Airheads.
Expand all | Collapse all

IAP sur Switch AOS - MAC-AUTH borne et 1X clients wifi

This thread has been viewed 3 times
  • 1.  IAP sur Switch AOS - MAC-AUTH borne et 1X clients wifi

    Posted Oct 22, 2018 10:43 AM

    Bonjour à tous,

    IAP315/ switch 5400 version 16.06 ArubaOS

    En utilisant Win NPS comme serveur radius, nous arrivons bien à :

    - sans le mac-based pour la borne 

       -> le client wifi 1X s'authentifie bien et reçoit une IP

    En activant l'authentification des bornes (mac-based sur le switch)

    - authentifier les bornes en MAC-AUTH OK

    - retourner les bons Vlans taggés/untaggés sur le port du switch

    - lorsqu'un client wifi 1X se présente, pas d'attribution d'IP....alors que l'on renvoie bien un radius accept depuis le NPS

     

    Auriez-vous une idée ? Merci d'avance



  • 2.  RE: IAP sur Switch AOS - MAC-AUTH borne et 1X clients wifi

    MVP GURU
    Posted Nov 16, 2018 05:38 AM

    Bonjour,

     

    Pourquoi tu n'utilises pas le device-profiles pour identifier les bornes WiFi ?



  • 3.  RE: IAP sur Switch AOS - MAC-AUTH borne et 1X clients wifi

    Posted Nov 16, 2018 05:41 AM

    Hello,

     

    Le device-profiling fonctionne bien mais si tu branches un autre équipement sur le port, il n'y a plus d'authentification possible en 1X....



  • 4.  RE: IAP sur Switch AOS - MAC-AUTH borne et 1X clients wifi

    MVP GURU
    Posted Nov 25, 2018 03:52 AM

    @jcbvt wrote:

    Hello,

     

    Le device-profiling fonctionne bien mais si tu branches un autre équipement sur le port, il n'y a plus d'authentification possible en 1X....


    Ah oui...

    tu as ouvert un case au pret du TAC ?



  • 5.  RE: IAP sur Switch AOS - MAC-AUTH borne et 1X clients wifi

    EMPLOYEE
    Posted Nov 30, 2018 08:27 AM

    Il y a 2 modes d’authentification sur un port Ethernet.

    1. Port-Based Authentification (MAC auth ou 802.1X) – Dans ce mode, après la 1er authentification, le port est ouvert. Donc, plus d’authentification ultérieur.
    2. User-Based Authentification (MAC auth ou 802.1X) – Dans ce mode, tous les clients sont authentifiés. Ils peuvent être dans le même VLAN ou des VLANs différents (MAC-Based VLAN)

     

    Pour de l’IAP, nous préconisons le mode « Ports-Based » afin d’authentifier le points d’accès et  d’ouvrir les VLANs taggés pour les clients WiFi (sans authentification, et déjà réalisé sur l’IAP).

    Nos switch Aruba supporte la RFC4675 qui permet de pousser un VLAN «untagged » et plusieurs VLANs « Tagged » lors de l’authentification. Tu n’as pas besoin de configurer le port en « Trunk »

     

     

    Nb : Il existe des VSA Radius HPE pour configurer le mode du ports (Port-Based ou User-based)

    HP-Port-Auth-Mode-Dot1x

    HP-Port-Auth-Mode-MacAuth

     

    Pour information, ll existe une méthode (sans Radius) qui utilise le protocol LLDP pour reconnaitre le device et applique un profile sur le port ! Plus d'infos ci dessous

     

    –AP is connected to the switch on the port

    –If profile is enabled for device type aruba-ap

    –Switch uses LLDP to identify the device

    –The device introduces itself as aruba-ap

    –If profile has been configured the port receives the configuration stored in the device-profile <name>

    –If not, the port receives the configuration stored in the default-ap-profile

     

    Config : 

    device-profile name "ap"

       untagged-vlan 2

       tagged-vlan 3-4

       exit

    device-profile device-type "aruba-ap"

       associate "ap"

       enable

       exit

     

     



  • 6.  RE: IAP sur Switch AOS - MAC-AUTH borne et 1X clients wifi

    EMPLOYEE
    Posted Dec 10, 2018 09:47 PM

    Si vous utilisez les user-roles, vous pouvez maintenant, avec la 16.08, utiliser l'attribut "device" dans la définition du rôle.

    Dans cet attribut, vous pouvez alors utiliser "port-mode", qui revient à authentifier uniquement le premier client qui se connecte (en l'occurence l'AP), et à "laisser passer" ensuite les clients wireless.

     

     

    aaa authorization user-role name “Access-Points”
        vlan-id 100
        vlan-id-tagged 101-109
        reauth-period 120
        cache-reauth-period  360   
        device
            port-mode
            poe-alloc-by-class
            poe-priority critical
            admin-edge-port
        exit
    exit

    L'attribut "vlan-id-tagged" supporte maintenant plusieurs VLAN également.