goscinny dostep LAN
goscinny dostep LAN
Hej.
Jest sobie funkcjonalność na WLC, która nazywa się: Guest LAN , działa OK. Ale muszę to wdrożyć na większą skalę i z tego co poczytałem to po uwierzytelnieniu, cały ruch przechodzi przez WLC. Jako że mam 2504, który nie jest demonem wydajności, boję się że w czasie szczytu pojawią się "czkawki".
W związku z tym mam pytanie: czy da się zrobić tak aby uwierzytelnienie poszło przez WLC a cały ruch już poza nim ?
Ew. czy może ktoś polecić jakieś darmowe rozwiązanie, które pozwoliłoby mi autoryzować użytkowników w LAN'ie ? Ma to działać jako uzupełnienie 802.1x. Ja znalazłem coś takiego:
http://www.zeroshell.org/
Jest sobie funkcjonalność na WLC, która nazywa się: Guest LAN , działa OK. Ale muszę to wdrożyć na większą skalę i z tego co poczytałem to po uwierzytelnieniu, cały ruch przechodzi przez WLC. Jako że mam 2504, który nie jest demonem wydajności, boję się że w czasie szczytu pojawią się "czkawki".
W związku z tym mam pytanie: czy da się zrobić tak aby uwierzytelnienie poszło przez WLC a cały ruch już poza nim ?
Ew. czy może ktoś polecić jakieś darmowe rozwiązanie, które pozwoliłoby mi autoryzować użytkowników w LAN'ie ? Ma to działać jako uzupełnienie 802.1x. Ja znalazłem coś takiego:
http://www.zeroshell.org/
Ups I switched again =)
-
- wannabe
- Posty: 321
- Rejestracja: 15 kwie 2009, 18:31
Re: goscinny dostep LAN
Hm?art pisze:Hej.
Jest sobie funkcjonalność na WLC, która nazywa się: Guest LAN , działa OK. Ale muszę to wdrożyć na większą skalę i z tego co poczytałem to po uwierzytelnieniu, cały ruch przechodzi przez WLC. Jako że mam 2504, który nie jest demonem wydajności, boję się że w czasie szczytu pojawią się "czkawki".
W związku z tym mam pytanie: czy da się zrobić tak aby uwierzytelnienie poszło przez WLC a cały ruch już poza nim ?
Re: goscinny dostep LAN
tak wiem że mówiłeś free, ale czasem free (koszt zakupu) to nie to samo free w BAU (brak supportu, patchy security). w zależności od potrzeb i ilości endpointów ( Twoim przypadku gości jeśli będziesz miał dedykowane porty na switchu) polecałbym zerknąć na ISE, może i wersja Express by wystarczyła, ale Express to taki Cisco-wy Microsoft SBS i idące za nim ograniczenia.art pisze:
Ew. czy może ktoś polecić jakieś darmowe rozwiązanie, które pozwoliłoby mi autoryzować użytkowników w LAN'ie ? Ma to działać jako uzupełnienie 802.1x. Ja znalazłem coś takiego:
http://www.zeroshell.org/
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: goscinny dostep LAN
Catalysty mają funkcję WebAuth same w sobie. Można też skonfigurować WebAuth jeśli ani nie uda się auth po 802.1x ani po np. MAC.art pisze: Ew. czy może ktoś polecić jakieś darmowe rozwiązanie, które pozwoliłoby mi autoryzować użytkowników w LAN'ie ? Ma to działać jako uzupełnienie 802.1x. Ja znalazłem coś takiego:
http://www.zeroshell.org/
Link do dokumentacji od Cat6500 (ale na mniejszych Cat'ach 1U tez to jest)
http://www.cisco.com/c/en/us/td/docs/sw ... bauth.html
zalezy kiedy patrzyles, ISE Express to w miare nowy produkt i z tego co piszesz wystraczy Ci 802.1x, MAB (bez profilingu), WebAuth.art pisze:Patrzyłem kiedyś na to rozwiązanie, ale niestety koszt mnie odstraszył. Ogólnie potrzebuję w jakiś sposób uwierzytelniać ludzi po LAN'ie, każdy ma założone konto w AD, ale niestety nie jestem w stanie wszędzie zastosować 802.1x :-/
podstawowy bundle to VMka na VMware, 150 Base license.
Ograniczenia: brak HA, max 5k licencji (nie tylko base).
gdzies widzialem ceny i wychodzi to znacznie lepiej niz zwykly ISE. Ale to zalezy jaki masz budzet i od ograniczen jakie sa w Express.
nie wiem na ile to aktualne ale ze strony Cisco:
linkQ. How can I purchase the ISE Express bundle?
A. Go to Cisco Commerce Workspace (CCW); the SKU is R-ISE-GST-BUN-K9= with a list price of $2500.
Q. Can you compare the ISE Express bundle to the ISE-100 License SKU?
A. ISE Express includes an ISE VM (ESX-compliant) and a bundle of 150 endpoint licenses and lists for $2500. The ISE-100 license SKU does not include the ESX virtual machine and lists for $6,500.
Ostatnio zmieniony 17 lut 2016, 00:09 przez mihu, łącznie zmieniany 1 raz.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-
- wannabe
- Posty: 321
- Rejestracja: 15 kwie 2009, 18:31
Potrzebuje rozwiazanie ktore bedzie:mihu pisze: zalezy kiedy patrzyles, ISE Express to w miare nowy produkt i z tego co piszesz wystraczy Ci 802.1x, MAB (bez profilingu), WebAuth.
a) Radiusem dla Catalystow
b) Captive Portal dla Aruby (poprzez Radius)
c) funkcje zakladania konto gosci dla sekretarek
Czy ISE Express mozna wykorzystac do tego ?
Jak odczytywac licencje na to znaczy czy majac licencje na 150 end-pointow chodzi o ilosc zalogowanych userow (np. poprzez udana autoryzacje Radius) czy chodzi tylko o auth 802.1x ? Ilosc konto gosci w systemie to = max. 150 ?
takjarek6 pisze: a) Radiusem dla Catalystow
musisz sprawdzic, nie znam Aruby, ale od wersji 2.0 jest sporo "goodies" i supportu dla 3rd party. Jesli jest to WebAuth powinno dzialac i nie powinienes potrzebowac zadnej dodatkowej licencji. Ale sprawdz lub zapytaj lokalnego partnera. Jest wersja evaluation (pelnego ISE), ale nie wiem czy mozesz sam sciagnac czy musisz pogadac z jakims Partnerem.jarek6 pisze: b) Captive Portal dla Aruby (poprzez Radius)
tak, mozesz robic AuthC lobby adminow przez OU w AD.jarek6 pisze:c) funkcje zakladania konto gosci dla sekretarek
licencjonowanie ISE moze byc "tricky" - w skrocie bedziesz potrzebowal licencje na kazde aktywane urzadzenie ktore ma sesje RADIUS (lub TACACS+, tak dostepny od 2.0, ale potrzebna extra licencja), urzadzenie, nie usera. czyli dolicz IP phone, drukarke , kamere IP, etc. Chyba ze nie bedziesz robil uwierzytelnienia na wszystkich portach.jarek6 pisze: Jak odczytywac licencje na to znaczy czy majac licencje na 150 end-pointow chodzi o ilosc zalogowanych userow (np. poprzez udana autoryzacje Radius) czy chodzi tylko o auth 802.1x ? Ilosc konto gosci w systemie to = max. 150 ?
Najlepszy przyklad na wifi: user A laczy sie z tabletu i PCta - 2 licencje.
jak wspomnialem mozesz to ograniczyc alokacja portow na switchu dla gosci bo jak odpalisz AAA na wszystich to szybko Ci sie licencje skoncza.
Co do licencji Plus i Apex, jesli kiedykolwiek bedziesz ich potrzebowal to je sumujesz - czyli np userA ma AuthZ policy gdzie wykorzystywany jest profiling (Plus) i robisz na nim posture check (Apex) user wykorzysta 3 licencje: 1x base, 1x plus , 1x apex.
EDIT:
tutaj masz pare linków do integracji Aruby z ISE:jarek6 pisze: b) Captive Portal dla Aruby (poprzez Radius)
ISE 2.0 3rd Party integration with Aruba Wireless - Configuration Example
Integrating_Aruba_Networks
ale mowilesz ze szukasz rozwiazania Wired, nie Wireless. Przy wireless bedziesz potrzebowal licencji na kazdego klienta, ktory bedzie korzysztal z SSIDa z dot1x
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"