{"id":109,"date":"2020-10-09T10:38:07","date_gmt":"2020-10-09T08:38:07","guid":{"rendered":"http:\/\/www.sensimedia.org\/?p=109"},"modified":"2025-03-07T08:44:20","modified_gmt":"2025-03-07T07:44:20","slug":"config-mab-sur-n-series","status":"publish","type":"post","link":"https:\/\/sensimedia.org\/?p=109","title":{"rendered":"Config MAB sur N-Series"},"content":{"rendered":"\n

Dans une environnement ou on cherche \u00e0 identifier l’ensemble des \u00e9quipements se connectant au r\u00e9seau, on active du 802.1x.
Pour des \u00e9quipements n’ayant pas de possibilit\u00e9 de s’authentifier en 802.1x, comme des Imprimantes\/Camera IP\/IOT\/etc.., il est g\u00e9n\u00e9ralement pr\u00e9conis\u00e9 de mettre en place de l’authentification par @mac<\/p>\n\n\n\n

Dans la config ci dessous en active l’allocation dynamique de VLAN et du MAB uniquement.<\/p>\n\n\n\n

Si il est n\u00e9cessaire de changer le format de la mac envoy\u00e9, il faut ajouter la commande suivante, a adapter selon les besoins.<\/p>\n\n\n\n

mab request format attribute 1 groupsize 2 separator -<\/pre>\n\n\n\n
Les commandes suivantes, permettent l’activation des fonctions d’authentification 802.1x, l’allocation dynamique de Vlan et les param\u00e8tres de configuration du serveur Radius.<\/p>\n\n\n\n
authentication enable\nauthentication dynamic-vlan enable\ndot1x system-auth-control\naaa authentication dot1x default radius\naaa authorization network default radius\n\nradius server key 7 \"maybe\"\nradius server auth 192.168.100.23\nprimary\nname \"radius\"\ntimeout 1\nusage authmgr\nexit\nradius server acct 192.168.100.23\nname \"radius\"\nexit<\/pre>\n\n\n\n
Dans l’exemple, ci dessous seule l’authentification mab est activ\u00e9 sur le port. la s\u00e9curit\u00e9 est configur\u00e9 pour bloqu\u00e9 le port en cas de pb d’authentification. Il y a une phase de re authentification periodique sur le port. <\/p>\n\n\n\n
interface Gi1\/0\/1\nspanning-tree portfast\nswitchport mode general\nauthentication host-mode single-host\nauthentication max-users 1\nauthentication violation shutdown\nauthentication periodic\nauthentication timer reauthenticate 300\nauthentication order mab\nauthentication priority mab\nauthentication event fail retry 1\nswitchport port-security maximum 1\nswitchport port-security violation shutdown\nexit<\/pre>\n\n\n\n
Par d\u00e9faut, il est pr\u00e9vu 10 requette Radius par seconde, il est possible de modifier la valeur au Global<\/p>\n\n\n\n
authentication critical recovery max-reauth 20<\/pre>\n\n\n\n
Suivant le serveur est parfois n\u00e9cessaire de forcer le mode d\u2019authentification, ici CHAP. Pour rappel cette configuration fonctionne avec du FreeRadius\/PacketFence…<\/p>\n\n\n\n
interface Gi1\/0\/1\nmab auth-type chap\nexit<\/pre>\n\n\n\n
Dans le cas d’une station sur laquelle vous souhaitez by-passer l’authentification 802.1x (mab ou autre)<\/p>\n\n\n\n
interface Gi1\/0\/20\nauthentication port-control force-authorized\nexit<\/pre>\n\n\n\n
Dans le cas des ports d’uplinks, l\u00e0 encore pas d’authentification possible, on filtre \u00e9ventuellement les VLANs<\/p>\n\n\n\n
interface Te1\/0\/1
switchport mode trunk
switchport trunk allowed vlan 10,20,30,40,50
authentication port-control force-authorized
exit<\/pre>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Dans une environnement ou on cherche \u00e0 identifier l’ensemble des \u00e9quipements se connectant au r\u00e9seau, on active du 802.1x.Pour des \u00e9quipements n’ayant pas de possibilit\u00e9 de s’authentifier en 802.1x, comme des Imprimantes\/Camera IP\/IOT\/etc.., il est g\u00e9n\u00e9ralement pr\u00e9conis\u00e9 de mettre en place de l’authentification par @mac Dans la config ci dessous en active l’allocation dynamique de … Continue reading “Config MAB sur N-Series”<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,6,9],"tags":[13,16,18,19,21,23],"class_list":["post-109","post","type-post","status-publish","format-standard","hentry","category-dellemc","category-networking","category-os6","tag-802-1x","tag-dellemc","tag-mab","tag-n-series","tag-networking","tag-os6"],"_links":{"self":[{"href":"https:\/\/sensimedia.org\/index.php?rest_route=\/wp\/v2\/posts\/109","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sensimedia.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sensimedia.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sensimedia.org\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/sensimedia.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=109"}],"version-history":[{"count":1,"href":"https:\/\/sensimedia.org\/index.php?rest_route=\/wp\/v2\/posts\/109\/revisions"}],"predecessor-version":[{"id":520,"href":"https:\/\/sensimedia.org\/index.php?rest_route=\/wp\/v2\/posts\/109\/revisions\/520"}],"wp:attachment":[{"href":"https:\/\/sensimedia.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=109"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sensimedia.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=109"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sensimedia.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=109"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}