CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 14 gru 2017, 19:54

Strefa czasowa UTC+01:00




Nowy temat  Odpowiedz w temacie  [ Posty: 10 ] 
Autor Wiadomość
Post #1 : 15 lut 2016, 13:48 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 04 lip 2011, 10:25
Posty: 388
Hej.

Jest sobie funkcjonalność na WLC, która nazywa się: Guest LAN , działa OK. Ale muszę to wdrożyć na większą skalę i z tego co poczytałem to po uwierzytelnieniu, cały ruch przechodzi przez WLC. Jako że mam 2504, który nie jest demonem wydajności, boję się że w czasie szczytu pojawią się "czkawki".
W związku z tym mam pytanie: czy da się zrobić tak aby uwierzytelnienie poszło przez WLC a cały ruch już poza nim ?

Ew. czy może ktoś polecić jakieś darmowe rozwiązanie, które pozwoliłoby mi autoryzować użytkowników w LAN'ie ? Ma to działać jako uzupełnienie 802.1x. Ja znalazłem coś takiego:
http://www.zeroshell.org/

_________________
Ups I switched again =)


Na górę
Post #2 : 15 lut 2016, 19:06 
Offline
wannabe
wannabe

Rejestracja: 15 kwie 2009, 18:31
Posty: 262
Cytuj:
Hej.

Jest sobie funkcjonalność na WLC, która nazywa się: Guest LAN , działa OK. Ale muszę to wdrożyć na większą skalę i z tego co poczytałem to po uwierzytelnieniu, cały ruch przechodzi przez WLC. Jako że mam 2504, który nie jest demonem wydajności, boję się że w czasie szczytu pojawią się "czkawki".
W związku z tym mam pytanie: czy da się zrobić tak aby uwierzytelnienie poszło przez WLC a cały ruch już poza nim ?
Hm?


Na górę
 Tytuł:
Post #3 : 15 lut 2016, 21:36 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 04 lip 2011, 10:25
Posty: 388
FlexConnecta (HREAP) znam, tylko że to jest dla AP/WLAN, a ja potrzebuję dla LAN :) uwierzytelniam ludzi w LAN'ie nie w WLAN'ie.

_________________
Ups I switched again =)


Na górę
Post #4 : 16 lut 2016, 01:38 
Offline
wannabe
wannabe

Rejestracja: 10 kwie 2006, 10:37
Posty: 700
Lokalizacja: Kraina Deszczowcow
Cytuj:

Ew. czy może ktoś polecić jakieś darmowe rozwiązanie, które pozwoliłoby mi autoryzować użytkowników w LAN'ie ? Ma to działać jako uzupełnienie 802.1x. Ja znalazłem coś takiego:
http://www.zeroshell.org/
tak wiem że mówiłeś free, ale czasem free (koszt zakupu) to nie to samo free w BAU (brak supportu, patchy security). w zależności od potrzeb i ilości endpointów ( Twoim przypadku gości jeśli będziesz miał dedykowane porty na switchu) polecałbym zerknąć na ISE, może i wersja Express by wystarczyła, ale Express to taki Cisco-wy Microsoft SBS i idące za nim ograniczenia.

_________________
ML


Na górę
 Tytuł:
Post #5 : 16 lut 2016, 10:37 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 04 lip 2011, 10:25
Posty: 388
Patrzyłem kiedyś na to rozwiązanie, ale niestety koszt mnie odstraszył. Ogólnie potrzebuję w jakiś sposób uwierzytelniać ludzi po LAN'ie, każdy ma założone konto w AD, ale niestety nie jestem w stanie wszędzie zastosować 802.1x :-/

_________________
Ups I switched again =)


Na górę
Post #6 : 16 lut 2016, 10:58 
Offline
wannabe
wannabe

Rejestracja: 07 lut 2008, 17:56
Posty: 208
Cytuj:
Ew. czy może ktoś polecić jakieś darmowe rozwiązanie, które pozwoliłoby mi autoryzować użytkowników w LAN'ie ? Ma to działać jako uzupełnienie 802.1x. Ja znalazłem coś takiego:
http://www.zeroshell.org/
Catalysty mają funkcję WebAuth same w sobie. Można też skonfigurować WebAuth jeśli ani nie uda się auth po 802.1x ani po np. MAC.

Link do dokumentacji od Cat6500 (ale na mniejszych Cat'ach 1U tez to jest)

http://www.cisco.com/c/en/us/td/docs/sw ... bauth.html


Na górę
 Tytuł:
Post #7 : 16 lut 2016, 16:48 
Offline
wannabe
wannabe

Rejestracja: 10 kwie 2006, 10:37
Posty: 700
Lokalizacja: Kraina Deszczowcow
Cytuj:
Patrzyłem kiedyś na to rozwiązanie, ale niestety koszt mnie odstraszył. Ogólnie potrzebuję w jakiś sposób uwierzytelniać ludzi po LAN'ie, każdy ma założone konto w AD, ale niestety nie jestem w stanie wszędzie zastosować 802.1x :-/
zalezy kiedy patrzyles, ISE Express to w miare nowy produkt i z tego co piszesz wystraczy Ci 802.1x, MAB (bez profilingu), WebAuth.

podstawowy bundle to VMka na VMware, 150 Base license.

Ograniczenia: brak HA, max 5k licencji (nie tylko base).

gdzies widzialem ceny i wychodzi to znacznie lepiej niz zwykly ISE. Ale to zalezy jaki masz budzet i od ograniczen jakie sa w Express.

nie wiem na ile to aktualne ale ze strony Cisco:
Cytuj:
Q. How can I purchase the ISE Express bundle?
A. Go to Cisco Commerce Workspace (CCW); the SKU is R-ISE-GST-BUN-K9= with a list price of $2500.
Q. Can you compare the ISE Express bundle to the ISE-100 License SKU?
A. ISE Express includes an ISE VM (ESX-compliant) and a bundle of 150 endpoint licenses and lists for $2500. The ISE-100 license SKU does not include the ESX virtual machine and lists for $6,500.
link

_________________
ML


Ostatnio zmieniony 17 lut 2016, 00:09 przez mihu, łącznie zmieniany 1 raz.

Na górę
 Tytuł:
Post #8 : 16 lut 2016, 22:10 
Offline
wannabe
wannabe

Rejestracja: 15 kwie 2009, 18:31
Posty: 262
Cytuj:
FlexConnecta (HREAP) znam, tylko że to jest dla AP/WLAN, a ja potrzebuję dla LAN :) uwierzytelniam ludzi w LAN'ie nie w WLAN'ie.
Aj, no tak. Było w Wireless, więc automatycznie dopasowałem scenariusz :-)
W tej sytuacji (LAN) też sugerowałbym ISE-E.


Na górę
 Tytuł:
Post #9 : 18 lut 2016, 08:24 
Offline
wannabe
wannabe

Rejestracja: 07 lut 2008, 17:56
Posty: 208
Cytuj:
zalezy kiedy patrzyles, ISE Express to w miare nowy produkt i z tego co piszesz wystraczy Ci 802.1x, MAB (bez profilingu), WebAuth.
Potrzebuje rozwiazanie ktore bedzie:
a) Radiusem dla Catalystow
b) Captive Portal dla Aruby (poprzez Radius)
c) funkcje zakladania konto gosci dla sekretarek

Czy ISE Express mozna wykorzystac do tego ?
Jak odczytywac licencje na to znaczy czy majac licencje na 150 end-pointow chodzi o ilosc zalogowanych userow (np. poprzez udana autoryzacje Radius) czy chodzi tylko o auth 802.1x ? Ilosc konto gosci w systemie to = max. 150 ?


Na górę
 Tytuł:
Post #10 : 18 lut 2016, 18:14 
Offline
wannabe
wannabe

Rejestracja: 10 kwie 2006, 10:37
Posty: 700
Lokalizacja: Kraina Deszczowcow
Cytuj:
a) Radiusem dla Catalystow
tak
Cytuj:
b) Captive Portal dla Aruby (poprzez Radius)
musisz sprawdzic, nie znam Aruby, ale od wersji 2.0 jest sporo "goodies" i supportu dla 3rd party. Jesli jest to WebAuth powinno dzialac i nie powinienes potrzebowac zadnej dodatkowej licencji. Ale sprawdz lub zapytaj lokalnego partnera. Jest wersja evaluation (pelnego ISE), ale nie wiem czy mozesz sam sciagnac czy musisz pogadac z jakims Partnerem.
Cytuj:
c) funkcje zakladania konto gosci dla sekretarek
tak, mozesz robic AuthC lobby adminow przez OU w AD.

Cytuj:
Jak odczytywac licencje na to znaczy czy majac licencje na 150 end-pointow chodzi o ilosc zalogowanych userow (np. poprzez udana autoryzacje Radius) czy chodzi tylko o auth 802.1x ? Ilosc konto gosci w systemie to = max. 150 ?
licencjonowanie ISE moze byc "tricky" ;) - w skrocie bedziesz potrzebowal licencje na kazde aktywane urzadzenie ktore ma sesje RADIUS (lub TACACS+, tak dostepny od 2.0, ale potrzebna extra licencja), urzadzenie, nie usera. czyli dolicz IP phone, drukarke , kamere IP, etc. Chyba ze nie bedziesz robil uwierzytelnienia na wszystkich portach.

Najlepszy przyklad na wifi: user A laczy sie z tabletu i PCta - 2 licencje.

jak wspomnialem mozesz to ograniczyc alokacja portow na switchu dla gosci bo jak odpalisz AAA na wszystich to szybko Ci sie licencje skoncza.

Co do licencji Plus i Apex, jesli kiedykolwiek bedziesz ich potrzebowal to je sumujesz - czyli np userA ma AuthZ policy gdzie wykorzystywany jest profiling (Plus) i robisz na nim posture check (Apex) user wykorzysta 3 licencje: 1x base, 1x plus , 1x apex.

EDIT:
Cytuj:
b) Captive Portal dla Aruby (poprzez Radius)
tutaj masz pare linków do integracji Aruby z ISE:

ISE 2.0 3rd Party integration with Aruba Wireless - Configuration Example

Integrating_Aruba_Networks


ale mowilesz ze szukasz rozwiazania Wired, nie Wireless. Przy wireless bedziesz potrzebowal licencji na kazdego klienta, ktory bedzie korzysztal z SSIDa z dot1x

_________________
ML


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 10 ] 

Strefa czasowa UTC+01:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl