Il y a 2 modes d’authentification sur un port Ethernet.
- Port-Based Authentification (MAC auth ou 802.1X) – Dans ce mode, après la 1er authentification, le port est ouvert. Donc, plus d’authentification ultérieur.
- User-Based Authentification (MAC auth ou 802.1X) – Dans ce mode, tous les clients sont authentifiés. Ils peuvent être dans le même VLAN ou des VLANs différents (MAC-Based VLAN)
Pour de l’IAP, nous préconisons le mode « Ports-Based » afin d’authentifier le points d’accès et d’ouvrir les VLANs taggés pour les clients WiFi (sans authentification, et déjà réalisé sur l’IAP).
Nos switch Aruba supporte la RFC4675 qui permet de pousser un VLAN «untagged » et plusieurs VLANs « Tagged » lors de l’authentification. Tu n’as pas besoin de configurer le port en « Trunk »
Nb : Il existe des VSA Radius HPE pour configurer le mode du ports (Port-Based ou User-based)
HP-Port-Auth-Mode-Dot1x
HP-Port-Auth-Mode-MacAuth
Pour information, ll existe une méthode (sans Radius) qui utilise le protocol LLDP pour reconnaitre le device et applique un profile sur le port ! Plus d'infos ci dessous
–AP is connected to the switch on the port
–If profile is enabled for device type aruba-ap
–Switch uses LLDP to identify the device
–The device introduces itself as aruba-ap
–If profile has been configured the port receives the configuration stored in the device-profile <name>
–If not, the port receives the configuration stored in the default-ap-profile
Config :
device-profile name "ap"
untagged-vlan 2
tagged-vlan 3-4
exit
device-profile device-type "aruba-ap"
associate "ap"
enable
exit