Forum Français

Reply
New Contributor

IAP sur Switch AOS - MAC-AUTH borne et 1X clients wifi

Bonjour à tous,

IAP315/ switch 5400 version 16.06 ArubaOS

En utilisant Win NPS comme serveur radius, nous arrivons bien à :

- sans le mac-based pour la borne 

   -> le client wifi 1X s'authentifie bien et reçoit une IP

En activant l'authentification des bornes (mac-based sur le switch)

- authentifier les bornes en MAC-AUTH OK

- retourner les bons Vlans taggés/untaggés sur le port du switch

- lorsqu'un client wifi 1X se présente, pas d'attribution d'IP....alors que l'on renvoie bien un radius accept depuis le NPS

 

Auriez-vous une idée ? Merci d'avance

Re: IAP sur Switch AOS - MAC-AUTH borne et 1X clients wifi

Bonjour,

 

Pourquoi tu n'utilises pas le device-profiles pour identifier les bornes WiFi ?



PowerArubaSW: Powershell Module to use Aruba Switch API for Vlan, VlanPorts, LACP, LLDP...
PowerArubaCP: Powershell Module to to use ClearPass API (create NAD, Guest...)

ACMP 6.4 / ACMX #107 / ACCP 6.5
New Contributor

Re: IAP sur Switch AOS - MAC-AUTH borne et 1X clients wifi

Hello,

 

Le device-profiling fonctionne bien mais si tu branches un autre équipement sur le port, il n'y a plus d'authentification possible en 1X....

Re: IAP sur Switch AOS - MAC-AUTH borne et 1X clients wifi


@jcbvt wrote:

Hello,

 

Le device-profiling fonctionne bien mais si tu branches un autre équipement sur le port, il n'y a plus d'authentification possible en 1X....


Ah oui...

tu as ouvert un case au pret du TAC ?



PowerArubaSW: Powershell Module to use Aruba Switch API for Vlan, VlanPorts, LACP, LLDP...
PowerArubaCP: Powershell Module to to use ClearPass API (create NAD, Guest...)

ACMP 6.4 / ACMX #107 / ACCP 6.5
Highlighted
Occasional Contributor I

Re: IAP sur Switch AOS - MAC-AUTH borne et 1X clients wifi

Il y a 2 modes d’authentification sur un port Ethernet.

  1. Port-Based Authentification (MAC auth ou 802.1X) – Dans ce mode, après la 1er authentification, le port est ouvert. Donc, plus d’authentification ultérieur.
  2. User-Based Authentification (MAC auth ou 802.1X) – Dans ce mode, tous les clients sont authentifiés. Ils peuvent être dans le même VLAN ou des VLANs différents (MAC-Based VLAN)

 

Pour de l’IAP, nous préconisons le mode « Ports-Based » afin d’authentifier le points d’accès et  d’ouvrir les VLANs taggés pour les clients WiFi (sans authentification, et déjà réalisé sur l’IAP).

Nos switch Aruba supporte la RFC4675 qui permet de pousser un VLAN «untagged » et plusieurs VLANs « Tagged » lors de l’authentification. Tu n’as pas besoin de configurer le port en « Trunk »

 

 

Nb : Il existe des VSA Radius HPE pour configurer le mode du ports (Port-Based ou User-based)

HP-Port-Auth-Mode-Dot1x

HP-Port-Auth-Mode-MacAuth

 

Pour information, ll existe une méthode (sans Radius) qui utilise le protocol LLDP pour reconnaitre le device et applique un profile sur le port ! Plus d'infos ci dessous

 

–AP is connected to the switch on the port

–If profile is enabled for device type aruba-ap

–Switch uses LLDP to identify the device

–The device introduces itself as aruba-ap

–If profile has been configured the port receives the configuration stored in the device-profile <name>

–If not, the port receives the configuration stored in the default-ap-profile

 

Config : 

device-profile name "ap"

   untagged-vlan 2

   tagged-vlan 3-4

   exit

device-profile device-type "aruba-ap"

   associate "ap"

   enable

   exit

 

 

Aruba Employee

Re: IAP sur Switch AOS - MAC-AUTH borne et 1X clients wifi

Si vous utilisez les user-roles, vous pouvez maintenant, avec la 16.08, utiliser l'attribut "device" dans la définition du rôle.

Dans cet attribut, vous pouvez alors utiliser "port-mode", qui revient à authentifier uniquement le premier client qui se connecte (en l'occurence l'AP), et à "laisser passer" ensuite les clients wireless.

 

 

aaa authorization user-role name “Access-Points”
    vlan-id 100
    vlan-id-tagged 101-109
    reauth-period 120
    cache-reauth-period  360   
    device
        port-mode
        poe-alloc-by-class
        poe-priority critical
        admin-edge-port
    exit
exit

L'attribut "vlan-id-tagged" supporte maintenant plusieurs VLAN également.

 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: