Forum Français

Bonjour,

Afin de sécuriser davantage mon réseau filaire, je souhaite implémenter l'attribution dynamique de VLAN via Radius lorsqu'un endpoint se connecte à une prise.
L'utilisateur se connecter à son compte AD, un serveur NPS est en charge de distribuer les VLAN en fonction du groupe de l'utilisateur et mon firewall Watchguard donne l'adresse IP en fonction du VLAN. Si l'endpoint n'appartient pas à un user de l'entreprise, il est placé dans un VLAN invité.

Voici un schéma grossier de l'infra en question : 

ENDPOINT ===> Aruba 1960 48G ==> Aruba 1960 12GX (cœur de réseau) ==> Watchguard (firewall et serveur DHCP) ===> Serveur NPS (Windows Server 2022 )

J'ai réussi à configurer l'authentification admin via le serveur NPS sur les switchs (on peut se connecter dessus avec un compte admin défini dans l'AD), mais je n'arrive pas à faire attribuer un VLAN à une station qui se connecte au réseau local. Je sais que c'est un problème de configuration mais je n'arrive pas à comprendre pourquoi ça ne fonctionne pas.

Voici la configuration de stratégie réseau sur le NPS : 


J'ai activé le monitoring et l'attribution de VLAN / GUEST :
Si je définis le VLAN manuellement, l'endpoint reçoit bien une adresse IP correspondant donc je ne pense pas que ce soit le firewall qui bloque.

Qu'est ce que j'ai loupé dans ma configuration ? Est-ce qu'il manque quelque chose ? Est-ce que les pc des users doivent avoir l'authentifcation 802.1x activée ?

Bonjour,

Oui, il faut activer le 802.1x sur l'equipement (et sur le switch)

------------------------------
PowerArubaSW : Powershell Module to use Aruba Switch API for Vlan, VlanPorts, LACP, LLDP...

PowerArubaCP: Powershell Module to use ClearPass API (create NAD, Guest...)

PowerArubaCL: Powershell Module to use Aruba Central

PowerArubaCX: Powershell Module to use ArubaCX API (get interface/vlan/ports info)..

ACEP / ACMX #107 / ACDX #1281
------------------------------

Original Message:
Sent: Feb 15, 2024 11:23 AM
From: isa.asi
Subject: Instant On 1960 et attribution de VLAN dynamiques

Bonjour,

Afin de sécuriser davantage mon réseau filaire, je souhaite implémenter l'attribution dynamique de VLAN via Radius lorsqu'un endpoint se connecte à une prise.
L'utilisateur se connecter à son compte AD, un serveur NPS est en charge de distribuer les VLAN en fonction du groupe de l'utilisateur et mon firewall Watchguard donne l'adresse IP en fonction du VLAN. Si l'endpoint n'appartient pas à un user de l'entreprise, il est placé dans un VLAN invité.

Voici un schéma grossier de l'infra en question : 

ENDPOINT ===> Aruba 1960 48G ==> Aruba 1960 12GX (cœur de réseau) ==> Watchguard (firewall et serveur DHCP) ===> Serveur NPS (Windows Server 2022 )

J'ai réussi à configurer l'authentification admin via le serveur NPS sur les switchs (on peut se connecter dessus avec un compte admin défini dans l'AD), mais je n'arrive pas à faire attribuer un VLAN à une station qui se connecte au réseau local. Je sais que c'est un problème de configuration mais je n'arrive pas à comprendre pourquoi ça ne fonctionne pas.

Voici la configuration de stratégie réseau sur le NPS : 


J'ai activé le monitoring et l'attribution de VLAN / GUEST :
Si je définis le VLAN manuellement, l'endpoint reçoit bien une adresse IP correspondant donc je ne pense pas que ce soit le firewall qui bloque.

Qu'est ce que j'ai loupé dans ma configuration ? Est-ce qu'il manque quelque chose ? Est-ce que les pc des users doivent avoir l'authentifcation 802.1x activée ?