| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
gregorybel
Visiteur
Inscrit le: 05 Déc 2007
Messages: 7
|
 Posté le: Mer Déc 05, 2007 6:48 pm Sujet du message: radius serveur 2003 aironet 1100 vlan |
 |
|
Salut a tous, voila je suis en train de mettre en place une configuration avec un serveur radius et une borne cisco aironet 1100.
Ma config est la suivante:
2ssid sur ma borne chacun sur un vlan, un sur le vlan 2 et l'autre sur le vlan 4. Cette borne est relié a un procurve hp sur un port taggé pour le vlan 2 et 4 sur lequel ce trouve 6 vlan en tous. le 1, 2, 3, 4, 5, 6. Celui qui m'interresse etant le 2 et le 4.
J'ai mis en place le radius sur 2003 server. Pour etre sur que mon serveur fonctionne, j'ai paramétré ma borne sans vlan. La ok ca marche.
Ensuite, j'ai testé les vlan pour etre que ca marche. J'ai donc paramétré ma borne sans protection avec 2ssid et la ca marche.
Maintenant, le problème c'est quand je paramètre ma borne pour le radius avec les vlans!!!
Impossible de valider l'identité. Dans les log de la borne, c'est ecrit que mon serveur de repond pas. Celui ci est pourtant dans le vlan 2.
Donc voila, je ne sais plus trop quoi faire donc si vous avez des idées...
Si je n'ai pas été clair ou qu'il vous manque des infos n'hésité pas
Merci d'avance
@+ |
|
| Revenir en haut de page |
|
 |
Ketchupy
Membre intensif
Inscrit le: 21 Mai 2004
Messages: 346
|
| Posté le: Jeu Déc 06, 2007 2:03 am Sujet du message: |
|
|
Yop,
comment as tu déclaré ton serveur radius ds ta borne ?
Tu peux nous poster la config de la borne concernant le radius qu'on voit si qqch cloche ? |
|
| Revenir en haut de page |
|
|
gregorybel
Visiteur
Inscrit le: 05 Déc 2007
Messages: 7
|
| Posté le: Jeu Déc 06, 2007 10:58 am Sujet du message: |
|
|
Salut et merci de t'interessé a mon problème
Voici mon fichier de config:
| Citation: |
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
no logging console
enable secret 5 $1$vjlm$pm0i1o9TszAmq06eKjcxD0
!
ip subnet-zero
ip domain name MON.DOMAINE
ip name-server 192.2.0.20
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server IPSERVERRADIUS auth-port 1645 acct-port 1646
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa group server radius rad_eap1
server IPSERVERRADIUS auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication login eap_methods1 group rad_eap1
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
aaa session-id common
dot11 vlan-name bureautique vlan 2
!
dot11 ssid test3
vlan 2
authentication open eap eap_methods1
authentication key-management wpa
guest-mode
mbssid guest-mode
!
dot11 ssid test4
vlan 4
mbssid guest-mode
!
!
!
username Cisco password 7 0802455D0A16
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers tkip
!
encryption vlan 2 mode ciphers tkip
!
ssid test3
!
ssid test4
!
mbssid
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
bridge-group 2 subscriber-loop-control
bridge-group 2 block-unknown-source
no bridge-group 2 source-learning
no bridge-group 2 unicast-flooding
bridge-group 2 spanning-disabled
!
interface Dot11Radio0.4
encapsulation dot1Q 4
no ip route-cache
bridge-group 4
bridge-group 4 subscriber-loop-control
bridge-group 4 block-unknown-source
no bridge-group 4 source-learning
no bridge-group 4 unicast-flooding
bridge-group 4 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface FastEthernet0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
no bridge-group 2 source-learning
bridge-group 2 spanning-disabled
!
interface FastEthernet0.4
encapsulation dot1Q 4
no ip route-cache
bridge-group 4
no bridge-group 4 source-learning
bridge-group 4 spanning-disabled
!
interface BVI1
ip address IPBORNECISCO 255.255.248.0
no ip route-cache
!
ip default-gateway IPGATEWAY
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host IPSERVERRADIUS auth-port 1645 acct-port 1646 key 7 120A001B11041E052E22313B
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
!
end
|
Voila en esperant que vous trouver le bug. Par contre je ne voit pas du tous a koi coresspont l'ip 192.2.0.20 ni ou la changer...
Merci @+ |
|
| Revenir en haut de page |
|
|
Ketchupy
Membre intensif
Inscrit le: 21 Mai 2004
Messages: 346
|
| Posté le: Jeu Déc 06, 2007 2:48 pm Sujet du message: |
|
|
Sur le port de ton switch, quels sont les vlan que tu autorises ? Uniquement le vlan 2 & le vlan 4 ? rien d'autre ?
il faut savoir que les authentifications Radius se font sur le vlan de management (bridge-group 1 qui semble être le vlan 1 dans ton cas), donc si ce vlan ne passe pas sur le port du switch, les authentifications finiront en échec.
Pour tester les authentifications AAA, utilise cette commande :
| Code: |
| test aaa group radius LOGIN PASSWORD legacy |
tu pourras vérifier la bonne communication entre ta borne et ton serveur radius |
|
| Revenir en haut de page |
|
|
gregorybel
Visiteur
Inscrit le: 05 Déc 2007
Messages: 7
|
| Posté le: Jeu Déc 06, 2007 3:20 pm Sujet du message: |
|
|
| a ok!! comment fait on pour changer le vlan de manangement? |
|
| Revenir en haut de page |
|
|
gregorybel
Visiteur
Inscrit le: 05 Déc 2007
Messages: 7
|
| Posté le: Dim Déc 09, 2007 5:31 pm Sujet du message: |
|
|
Svp, personne ne sait comment faire pour changer le vlan de management de la borne aironet 1100...
Ca m'inderai vraiment de savoir comment faire... |
|
| Revenir en haut de page |
|
|
ToF59
Membre intensif
Inscrit le: 02 Mar 2007
Messages: 322
Localisation: SUPINFO Eurocentre Lille
|
| Posté le: Dim Déc 09, 2007 9:40 pm Sujet du message: |
|
|
Salut gregorybel,
Je suis pas sur de moi, mais certain protocole ne communique qu'avec le VLAN par défaut (1), comme Cdp par exemple si je ne me trompe pas.
_________________
SUPINFO Student - SLA Cisco - ID: 63643
Visitez My Blog! |
|
| Revenir en haut de page |
|
|
gregorybel
Visiteur
Inscrit le: 05 Déc 2007
Messages: 7
|
| Posté le: Lun Déc 10, 2007 4:58 pm Sujet du message: |
|
|
Est ce que quelqu'un peut confirmer cette hypothese? J'aimerai kan meme faire le test de changer le vlan de management. Je ne pense pas que ce soit possible de modifier le vlan de management via la page web donc si quelqu'un pouvait m'indiquez la marche a suivre pour effectuer le changement en mode console..
Merci |
|
| Revenir en haut de page |
|
|
manu75015
Participant
Inscrit le: 07 Jan 2007
Messages: 20
|
| Posté le: Ven Jan 11, 2008 3:48 pm Sujet du message: |
|
|
Pour changer le Vlan de management donc définir un vlan différent du vlan 1, il faut d'abord créer un autre vlan et ensuite lui indiquer que c'est le "native vlan".
Ensuite si la communication entre ta borne et le switch sur lequel elle est connectée est en mode trunk, il va falloir indiquer dans la configuration du port en question quel est le nouveau vlan natif. la commande est la suivante:
switchport trunk natif vlan n°
l'interface graphique permet d'indiquer quel est le vlan natif et donc changer le vlan de management. Cependant, tu peux également le faire par CLI |
|
| Revenir en haut de page |
|
|
gregorybel
Visiteur
Inscrit le: 05 Déc 2007
Messages: 7
|
| Posté le: Mer Jan 23, 2008 4:55 pm Sujet du message: |
|
|
Salut a tous. Je persiste mais la j'avoue que je comprend pas.
(Je précise que sans les vlan, mon serveur radius fonctionne.)
Je vous réexplique car je pense que je serai plus clair.
Je veux que mes clients s'authentifie en eap-tls pour accédes au ssid bureatique c'est dire qu'il télécharge le certificat sur le serveur radius avant de pouvoir se conecté a l'ap.
Donc j'ai un ssid bureautique sur le vlan 2
j'ai un ssid open sur le vlan 4
Mon vlan 7 est natif (si j'ai bien compris, c'est par la que passe les trames d'authentification)
J'ai ensuite relié ma borne sur un switch qui a 7 vlan, et j'ai taggé le port sur le vlan 2, 4 et 7.
Ensuite j'ai un routeur sur lequel sur lequel j'ai rajouté un nouvel route permettant au paquet du vlan 7 d'accédé a mon serveur radius sous 2003 server.
Ce que je comprend pas, c'est que si je mets une ip sur mon interface fastethernet 0.7 je n'arrive jamais a la pinguer meme sur un poste aui fait parti du meme vlan.
De plus, est ce utilse de mettre un ip sur cette interface?
Dernierement, pour mon serveur radius quel est l'ip de ma borne? Celle en BVI ou celle du de la sous interface 0.7?
J'aimerai vraiment trop que vous m'aidez...en plus avec cette fonction recherche qui fonctionne plus ca n'aide pas du tous.;
merci d'avance
je vous poste en meme temps ma config
| Citation: |
Building configuration...
Current configuration : 3427 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
no logging console
enable secret 5 <removed>
!
ip subnet-zero
ip domain name MONDOMAINE.COM
ip name-server DNS
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server IPRADIUS auth-port 1645 acct-port 1646
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa group server radius rad_eap1
server IPRADIUS auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication login eap_methods1 group rad_eap1
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
aaa session-id common
!
dot11 ssid selcotest2
vlan 2
authentication open eap eap_methods1
authentication network-eap eap_methods1
authentication key-management wpa
mbssid guest-mode
!
dot11 ssid selcotest4
vlan 4
authentication open
mbssid guest-mode
!
!
!
username Cisco password 7 <removed>
username root privilege 15 password 7 <removed>
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 2 mode ciphers tkip
!
ssid selcotest2
!
ssid selcotest4
!
mbssid
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Dot11Radio0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
bridge-group 2 subscriber-loop-control
bridge-group 2 block-unknown-source
no bridge-group 2 source-learning
no bridge-group 2 unicast-flooding
bridge-group 2 spanning-disabled
!
interface Dot11Radio0.4
encapsulation dot1Q 4
no ip route-cache
bridge-group 4
bridge-group 4 subscriber-loop-control
bridge-group 4 block-unknown-source
no bridge-group 4 source-learning
no bridge-group 4 unicast-flooding
bridge-group 4 spanning-disabled
!
interface Dot11Radio0.7
encapsulation dot1Q 7 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
no bridge-group 2 source-learning
bridge-group 2 spanning-disabled
!
interface FastEthernet0.4
encapsulation dot1Q 4
no ip route-cache
bridge-group 4
no bridge-group 4 source-learning
bridge-group 4 spanning-disabled
!
interface FastEthernet0.7
encapsulation dot1Q 7 native
ip address 10.49.48.200 255.255.255.0
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 10.100.8.200 255.255.248.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host IPRADIUS auth-port 1645 acct-port 1646 key 7 <removed>
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
!
end
|
|
|
| Revenir en haut de page |
|
|
Ketchupy
Membre intensif
Inscrit le: 21 Mai 2004
Messages: 346
|
| Posté le: Jeu Jan 24, 2008 2:44 am Sujet du message: |
|
|
| gregorybel a écrit: |
Je veux que mes clients s'authentifie en eap-tls pour accédes au ssid bureatique c'est dire qu'il télécharge le certificat sur le serveur radius avant de pouvoir se conecté a l'ap.
|
tu veux qu'ils téléchargent quel certificat ?? En EAP-TLS le serveur a son certificat et chaque client a un certificat unique issue de la même CA, et les certificats sont echangés lors du handshake EAP-TLS pour monter le tunnel crypté qui permettra de transporter les credentials du user
| gregorybel a écrit: |
Mon vlan 7 est natif (si j'ai bien compris, c'est par la que passe les trames d'authentification)
|
oui tout le traffic d'authentificatiuon et de managment (snmp, tftp, syslog..) utilise le vlan de managament/natif
| gregorybel a écrit: |
J'ai ensuite relié ma borne sur un switch qui a 7 vlan, et j'ai taggé le port sur le vlan 2, 4 et 7.
|
Il faut que sur le port du switch, soit précisé que le vlan 7 est un vlan natif (c'est le nom chez Cisco) et que ce vlan ne doit PAS être taggé. Sinon forcement les paquets de ce vlan seront droppés par la borne
| gregorybel a écrit: |
Ce que je comprend pas, c'est que si je mets une ip sur mon interface fastethernet 0.7 je n'arrive jamais a la pinguer meme sur un poste aui fait parti du meme vlan.
De plus, est ce utilse de mettre un ip sur cette interface?
Dernierement, pour mon serveur radius quel est l'ip de ma borne? Celle en BVI ou celle du de la sous interface 0.7?
|
Une borne est un équipmeent L2, donc il ne supporte qu'une seule IP même si l'IOS ne te jette pas qd on lui en fourni plusieurs. En fait, les AP ne connaissent pas vraiment les vlan, elles utilisent des bridge-group qui regroupent un certain nombre d'interfaces (ou sous interfaces) dans le même niveau 2, et on encapsule ces paquets dans du dot1q.. (c'est peut etre pas clair, mais la difference est "importante" à mes yeux)
De tout ces bridge-group, un seul est obligatoire, c'est le bridge-group 1 qui correspond au vlan de management et qui n'est pas taggé et c'est aussi sur ce bridge-group qu'on mettra l'adresse IP (et nulle part ailleurs), c'est sur l'interface BVI1 (Bridge-group Virtual Interface 1) et c'est cette IP que la borne va utiliser pour ses requêtes d'authentification, de management etc... |
|
| Revenir en haut de page |
|
|
gregorybel
Visiteur
Inscrit le: 05 Déc 2007
Messages: 7
|
| Posté le: Jeu Jan 24, 2008 12:07 pm Sujet du message: |
|
|
Merci de ta réponse plus que complète...
| Citation: |
| Je veux que mes clients s'authentifie en eap-tls pour accédes au ssid bureatique c'est dire qu'il télécharge le certificat sur le serveur radius avant de pouvoir se conecté a l'ap. |
Je me suis mal exprimé. En fait avant de me connecter à la borne wifi j'ai téléchargé avant mon certificat. Ca ca marche bien quand j'ai pas de vlan.
Donc la j'ai suivi ce que tu ma dit. Je n'ai pas taggé mon vlan 7. Du coup sur mon switch mon port A14 (ou est relié ma borne) est taggé sur mon vlan 2 et mon vlan 4 et est untagged (membre de mon vlan 7) Par contre mon swith est de marque HP donc j'espere que ca pose pas un soucis en plus. Faut t'il obligatoirement que sur mon switch HP le vlan de management soit aussi le vlan 7?
J'ai analysé le flux de mon routeur et j'ai limpression que rien n'arrive par le vlan 7. Je pense que ma borne est bien paramétré mais que mon problème ce situe au niveau du switch ou du routage.
Ce qui m'etonne fortement, c'est que je peux prendre la main sur ma borne via telnet depuis mon serveur radius mais que depuis ma borne, je ne peux pas pinguer mon serveur!! Etonnant, pourtant mon arkoon a l'air bien paramétré.
Je te remercie de m'aider ketchupy
@+
[/quote] |
|
| Revenir en haut de page |
|
|
hben
Visiteur
Inscrit le: 11 Oct 2007
Messages: 11
|
| Posté le: Jeu Avr 03, 2008 4:51 pm Sujet du message: |
|
|
Bonjour,
As-tu résolu ton problème ?.
j'envisage de faire la même config.
Est-ce-qu'il est nécessaire que le client soit dans le domaine windows radius ?
Je dirais oui.
Aussi, quelque chose qui n'a rien avoir ton problème, au niveau des vlans, est-ce nécessaire de les configurer si les AP sont déjà connecté dans un vlan du switch ?.
Est-ce-que le server radius gère les mac adresses ?.Cela éviterait de les entrer dans chaque AP (en on a 2 .
Merci.
Cordialement. |
|
| Revenir en haut de page |
|
|
|
radius serveur 2003 aironet 1100 vlan
