goscinny dostep LAN

Wszystko co się wiąże z technologiami bezprzewodowymi

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
Awatar użytkownika
art
wannabe
wannabe
Posty: 401
Rejestracja: 04 lip 2011, 10:25

goscinny dostep LAN

#1

#1 Post autor: art » 15 lut 2016, 13:48

Hej.

Jest sobie funkcjonalność na WLC, która nazywa się: Guest LAN , działa OK. Ale muszę to wdrożyć na większą skalę i z tego co poczytałem to po uwierzytelnieniu, cały ruch przechodzi przez WLC. Jako że mam 2504, który nie jest demonem wydajności, boję się że w czasie szczytu pojawią się "czkawki".
W związku z tym mam pytanie: czy da się zrobić tak aby uwierzytelnienie poszło przez WLC a cały ruch już poza nim ?

Ew. czy może ktoś polecić jakieś darmowe rozwiązanie, które pozwoliłoby mi autoryzować użytkowników w LAN'ie ? Ma to działać jako uzupełnienie 802.1x. Ja znalazłem coś takiego:
http://www.zeroshell.org/
Ups I switched again =)

double.decode
wannabe
wannabe
Posty: 267
Rejestracja: 15 kwie 2009, 18:31

Re: goscinny dostep LAN

#2

#2 Post autor: double.decode » 15 lut 2016, 19:06

art pisze:Hej.

Jest sobie funkcjonalność na WLC, która nazywa się: Guest LAN , działa OK. Ale muszę to wdrożyć na większą skalę i z tego co poczytałem to po uwierzytelnieniu, cały ruch przechodzi przez WLC. Jako że mam 2504, który nie jest demonem wydajności, boję się że w czasie szczytu pojawią się "czkawki".
W związku z tym mam pytanie: czy da się zrobić tak aby uwierzytelnienie poszło przez WLC a cały ruch już poza nim ?
Hm?

Awatar użytkownika
art
wannabe
wannabe
Posty: 401
Rejestracja: 04 lip 2011, 10:25

#3

#3 Post autor: art » 15 lut 2016, 21:36

FlexConnecta (HREAP) znam, tylko że to jest dla AP/WLAN, a ja potrzebuję dla LAN :) uwierzytelniam ludzi w LAN'ie nie w WLAN'ie.
Ups I switched again =)

mihu
wannabe
wannabe
Posty: 737
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: goscinny dostep LAN

#4

#4 Post autor: mihu » 16 lut 2016, 01:38

art pisze:
Ew. czy może ktoś polecić jakieś darmowe rozwiązanie, które pozwoliłoby mi autoryzować użytkowników w LAN'ie ? Ma to działać jako uzupełnienie 802.1x. Ja znalazłem coś takiego:
http://www.zeroshell.org/
tak wiem że mówiłeś free, ale czasem free (koszt zakupu) to nie to samo free w BAU (brak supportu, patchy security). w zależności od potrzeb i ilości endpointów ( Twoim przypadku gości jeśli będziesz miał dedykowane porty na switchu) polecałbym zerknąć na ISE, może i wersja Express by wystarczyła, ale Express to taki Cisco-wy Microsoft SBS i idące za nim ograniczenia.
ML

Awatar użytkownika
art
wannabe
wannabe
Posty: 401
Rejestracja: 04 lip 2011, 10:25

#5

#5 Post autor: art » 16 lut 2016, 10:37

Patrzyłem kiedyś na to rozwiązanie, ale niestety koszt mnie odstraszył. Ogólnie potrzebuję w jakiś sposób uwierzytelniać ludzi po LAN'ie, każdy ma założone konto w AD, ale niestety nie jestem w stanie wszędzie zastosować 802.1x :-/
Ups I switched again =)

jarek6
wannabe
wannabe
Posty: 209
Rejestracja: 07 lut 2008, 17:56

Re: goscinny dostep LAN

#6

#6 Post autor: jarek6 » 16 lut 2016, 10:58

art pisze: Ew. czy może ktoś polecić jakieś darmowe rozwiązanie, które pozwoliłoby mi autoryzować użytkowników w LAN'ie ? Ma to działać jako uzupełnienie 802.1x. Ja znalazłem coś takiego:
http://www.zeroshell.org/
Catalysty mają funkcję WebAuth same w sobie. Można też skonfigurować WebAuth jeśli ani nie uda się auth po 802.1x ani po np. MAC.

Link do dokumentacji od Cat6500 (ale na mniejszych Cat'ach 1U tez to jest)

http://www.cisco.com/c/en/us/td/docs/sw ... bauth.html

mihu
wannabe
wannabe
Posty: 737
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#7

#7 Post autor: mihu » 16 lut 2016, 16:48

art pisze:Patrzyłem kiedyś na to rozwiązanie, ale niestety koszt mnie odstraszył. Ogólnie potrzebuję w jakiś sposób uwierzytelniać ludzi po LAN'ie, każdy ma założone konto w AD, ale niestety nie jestem w stanie wszędzie zastosować 802.1x :-/
zalezy kiedy patrzyles, ISE Express to w miare nowy produkt i z tego co piszesz wystraczy Ci 802.1x, MAB (bez profilingu), WebAuth.

podstawowy bundle to VMka na VMware, 150 Base license.

Ograniczenia: brak HA, max 5k licencji (nie tylko base).

gdzies widzialem ceny i wychodzi to znacznie lepiej niz zwykly ISE. Ale to zalezy jaki masz budzet i od ograniczen jakie sa w Express.

nie wiem na ile to aktualne ale ze strony Cisco:
Q. How can I purchase the ISE Express bundle?
A. Go to Cisco Commerce Workspace (CCW); the SKU is R-ISE-GST-BUN-K9= with a list price of $2500.
Q. Can you compare the ISE Express bundle to the ISE-100 License SKU?
A. ISE Express includes an ISE VM (ESX-compliant) and a bundle of 150 endpoint licenses and lists for $2500. The ISE-100 license SKU does not include the ESX virtual machine and lists for $6,500.
link
Ostatnio zmieniony 17 lut 2016, 00:09 przez mihu, łącznie zmieniany 1 raz.
ML

double.decode
wannabe
wannabe
Posty: 267
Rejestracja: 15 kwie 2009, 18:31

#8

#8 Post autor: double.decode » 16 lut 2016, 22:10

art pisze:FlexConnecta (HREAP) znam, tylko że to jest dla AP/WLAN, a ja potrzebuję dla LAN :) uwierzytelniam ludzi w LAN'ie nie w WLAN'ie.
Aj, no tak. Było w Wireless, więc automatycznie dopasowałem scenariusz :-)
W tej sytuacji (LAN) też sugerowałbym ISE-E.

jarek6
wannabe
wannabe
Posty: 209
Rejestracja: 07 lut 2008, 17:56

#9

#9 Post autor: jarek6 » 18 lut 2016, 08:24

mihu pisze: zalezy kiedy patrzyles, ISE Express to w miare nowy produkt i z tego co piszesz wystraczy Ci 802.1x, MAB (bez profilingu), WebAuth.
Potrzebuje rozwiazanie ktore bedzie:
a) Radiusem dla Catalystow
b) Captive Portal dla Aruby (poprzez Radius)
c) funkcje zakladania konto gosci dla sekretarek

Czy ISE Express mozna wykorzystac do tego ?
Jak odczytywac licencje na to znaczy czy majac licencje na 150 end-pointow chodzi o ilosc zalogowanych userow (np. poprzez udana autoryzacje Radius) czy chodzi tylko o auth 802.1x ? Ilosc konto gosci w systemie to = max. 150 ?

mihu
wannabe
wannabe
Posty: 737
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#10

#10 Post autor: mihu » 18 lut 2016, 18:14

jarek6 pisze: a) Radiusem dla Catalystow
tak
jarek6 pisze: b) Captive Portal dla Aruby (poprzez Radius)
musisz sprawdzic, nie znam Aruby, ale od wersji 2.0 jest sporo "goodies" i supportu dla 3rd party. Jesli jest to WebAuth powinno dzialac i nie powinienes potrzebowac zadnej dodatkowej licencji. Ale sprawdz lub zapytaj lokalnego partnera. Jest wersja evaluation (pelnego ISE), ale nie wiem czy mozesz sam sciagnac czy musisz pogadac z jakims Partnerem.
jarek6 pisze:c) funkcje zakladania konto gosci dla sekretarek
tak, mozesz robic AuthC lobby adminow przez OU w AD.

jarek6 pisze: Jak odczytywac licencje na to znaczy czy majac licencje na 150 end-pointow chodzi o ilosc zalogowanych userow (np. poprzez udana autoryzacje Radius) czy chodzi tylko o auth 802.1x ? Ilosc konto gosci w systemie to = max. 150 ?
licencjonowanie ISE moze byc "tricky" ;) - w skrocie bedziesz potrzebowal licencje na kazde aktywane urzadzenie ktore ma sesje RADIUS (lub TACACS+, tak dostepny od 2.0, ale potrzebna extra licencja), urzadzenie, nie usera. czyli dolicz IP phone, drukarke , kamere IP, etc. Chyba ze nie bedziesz robil uwierzytelnienia na wszystkich portach.

Najlepszy przyklad na wifi: user A laczy sie z tabletu i PCta - 2 licencje.

jak wspomnialem mozesz to ograniczyc alokacja portow na switchu dla gosci bo jak odpalisz AAA na wszystich to szybko Ci sie licencje skoncza.

Co do licencji Plus i Apex, jesli kiedykolwiek bedziesz ich potrzebowal to je sumujesz - czyli np userA ma AuthZ policy gdzie wykorzystywany jest profiling (Plus) i robisz na nim posture check (Apex) user wykorzysta 3 licencje: 1x base, 1x plus , 1x apex.

EDIT:
jarek6 pisze: b) Captive Portal dla Aruby (poprzez Radius)
tutaj masz pare linków do integracji Aruby z ISE:

ISE 2.0 3rd Party integration with Aruba Wireless - Configuration Example

Integrating_Aruba_Networks


ale mowilesz ze szukasz rozwiazania Wired, nie Wireless. Przy wireless bedziesz potrzebowal licencji na kazdego klienta, ktory bedzie korzysztal z SSIDa z dot1x
ML

ODPOWIEDZ