802.1x + Zertifikaten + VMPS ?

[Hr_Rossi 10]

Hallo Boarder ;)

 

Folgendes Umfeld:

 

div. catalyst 2950 und ein 4506 switch

windows 2000 domäne (mit 2000 DC) und 2003 mitgliedsserver !

 

Ist es möglich mit diesen Komponenten folgendes Szeanrio aufzubaun ??

 

1. Laptop User hängt sich an einen Switch

2. Switch ( in dem Fall Radius Proxy) überprüft am MS IAS mittels Zertifikaten (802.1x) ob Laptop authentifiziert wird

3. Wenn authentifiziert laptop darf in Domänen VLAN !

aber wenn nicht authentifiziert Laptop kommt in ein Guest VLAN, das keine Verbindung zur Domäne hat, aber routing funtionalität ins I-Net !

 

Ist dies mit den Komponeneten möglich oder braucht man dazu einen 6000er Switch der VMPS unterstützt als Server ???

 

 

lg

rossi

[AndreasWeller 10]

Mit dem 2950 ist es auf jeden Fall möglich, den Benutzer nach einer gescheiterten Authentifizierung automatisch in ein Guest Vlan zu schmeissen, das natürlich dann genauso routing fähig ist, wie jedes andere Vlan.

Ich benutze dafür die IOS 12.1(22)EA2, bei den älteren Versionen kann ich dir leider nicht garantieren, das diese Gesichte läuft, da hilft dann nur ausprobieren.

 

die Config dafür sollte in etwa so aussehen:

...

!

dot1x system-auth-control

dot1x guest-vlan supplicant

!

interface FastEthernet0/1

switchport mode access

dot1x port-control auto

dot1x timeout quiet-period 20

dot1x guest-vlan 2

dot1x reauthentication

!

...

Für weitere Infos einfach mal unter dot1x GuestVlan im Config Guide nachschauen...

[Hr_Rossi 10]

hi andreas ! :)

 

thx mal für antwort !

 

Ok werde mir das mal genau anschuan auch auf MS Seite !

 

Und noch was Grüss mir Mr.Oiso :)

 

lg

rossi

[sebastian.f 10]

VMPS wird dafür nicht benötigt :)

 

Könnte aber theoretisch das gleiche allerdings ohne Zertifikate sondern auf basis von MAC Adressen.

 

Gruß

Sebastian