pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » extreme_networks
Trace:
informatique:extreme_networks

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Last revisionBoth sides next revision
informatique:extreme_networks [2023/09/07 10:09] – mgmt port pteuinformatique:extreme_networks [2023/09/25 16:09] – [netlogin mac auth] pteu
Line 1104: Line 1104:
 configure mac-locking ports 47 static [add | enable | disable] @MAC configure mac-locking ports 47 static [add | enable | disable] @MAC
 </code> </code>
 +
 +====authentification par mac====
 +
 +On peut également faire vérifier l'adresse MAC d'un port par un serveur Radius, et si validé, basculer ce port sur le VLAN envoyé par le serveur Radius.
 +
 +===Configuration côté switch===
 +<code bash>
 +# création du VLAN d'accueil (VLAN par défaut si MAC non authentifiée) et 10 (VLAN utilisateur)
 +create vlan v10_Users tag 10
 +create vlan v666_Accueil tag 666
 +!
 +# configuration du serveur Radius
 +configure radius netlogin primary server 10.4.1.1 1814 client-ip 10.5.255.253 vr VR-Default
 +configure radius netlogin primary shared-secret encrypted "blablahashé"
 +!
 +# configuration de l'authentification par adresse MAC
 +
 +configure netlogin vlan v666_Accueil
 +enable netlogin mac 
 +configure netlogin mac authentication database-order radius
 +# on active la protection MAC sur les port 1 à 8 (arbitraire)
 +enable netlogin ports 1-8 mac 
 +configure netlogin add mac-list ff:ff:ff:ff:ff:ff 48
 +!
 +enable radius
 +enable radius netlogin
 +</code>
 +
 +===Configuration côté serveur Radius===
 +Dans le cas de freeradius, il faut :
 +* ajouter l'IP du switch (10.5.255.253) et son "secret" dans clients.conf
 +* activer le plugin **authorized_macs**
 +* peupler le fichier **authorized_macs** avec la liste des adresses MAC permises (format 00-11-22-33-44-55)
 +* dans la section authorize de la configuration du site :
 +<file site-enabled/mac-auth>
 +[...]
 +authorize {
 +   preprocess
 +   # convertir l'@ mAC dans le bon format
 +   rewrite_calling_station_id
 +   #auth_log
 +   authorized_macs
 +   if (ok) {
 +      # The MAC address was found, so update Auth-Type to accept this auth.
 +      update control {
 +         Auth-Type := Accept
 +      }
 +      update reply {
 +         Tunnel-Type := VLAN
 +         Tunnel-Medium-Type := IEEE-802
 +         Tunnel-private-Group-ID := 100
 +      }
 +   }
 +}
 +[...]
 +</file>
 +
 =====Spanning-tree===== =====Spanning-tree=====
  
informatique/extreme_networks.txt · Last modified: 2023/12/21 15:11 by pteu