contrôle d'accès / 802.1P radius / Cos-Tos-DSCP / SNMP

contrôle d'accès / 802.1P radius / Cos-Tos-DSCP / SNMP - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 22-01-2009 à 09:03:29    

j'ai une configuration réseau suivante :
un freeradius, qui gere le contrôle d'accès des 250 machines (par les adresses MAc, Vlan ,etc..)
J'ai des switches HP (série 2600, 2610 2650, etc..) qui permettent de configurer le contrôle d'accès par adresses MAC.
 
Jusque là, tout va bien, cela est fonctionnel. Par exemple, quand nous avons besoin de connecter une machine sur le réseau, c'est devenu du plug and play. Toutefois, j'ai voulu mettre en oeuvre derrière tout cela la Cos/Tos/DSCP.
 
Dans les attributs du radius, j'utilise le "HP-COS" (définit dans le dictionnaire propiétaire) et l'attribut est bien renvoyé au NAS (ou switch).
En faisant la commande "show qos port-priority), je trouve bien la valeur de la Cos attribué au port sur lequel la machine est connectée.
 
Ex show qos port-priority....
  Port priorities
 
  Port Apply rule  | DSCP   Priority    Radius Override
  ---- ----------- + ------ ----------- ---------------
 27   No-override |        No-override No-override
 28   No-override |        No-override No-override
 29   No-override |        No-override 5
 30   Priority    |        2           No-override
 
Port 29 : 802.1P priorité alloué dynamiquement par le RADIUS, valeur = 5
Port 30 : 802.1P statique définit dans la configuration du port
 
Je suis donc parti pour essayer de monitorer la Cos par switch (via cacti et des scripts perl que j'ai écris), mais :
* dans la mib snmp, je trouve la Cos par port du switch (pour les configurations du switch et non dynamique)
* je trouve la table de correspondance C1.3.6.1.4.1.11.2.14.11.5.1.31.1.1.1s = Tos = DSCP
 
Il est par contre impossible de trouver dans la MIB SNMP la valeur de la priorité dynamique (celle renvoyée par le radius) qui est allouée au port.
 
 
Est-ce que quelqu'un a une idée la dessus ?
PS : le switch que j'utilise pour mes évaluations est un HP 2610-48 port (non POE).
 

Reply

Marsh Posté le 22-01-2009 à 09:03:29   

Reply

Marsh Posté le 17-06-2009 à 10:31:43    

Bonjour,
 
Ce que tu essayes de faire m'intéresse vraiment, sais-tu si l'utilisation du 802.1p alloué par le Radius existe également sur les switchs Cisco, j'ai du mal à trouver l'info?
 
Désolé de ne pas pouvoir t'aider sur ton problème.


---------------
Association d'hébergement Web  : www.gayuxweb.fr
Reply

Marsh Posté le 17-06-2009 à 10:33:06    

oui la descente de profils (ACL, QOS...) via Radius est supporté sur certains switchs Cisco


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 18-06-2009 à 09:32:59    

Merci pour ta réponse!
Quelqu'un aurait-il un exemple de configuration rapide pour ce type de fonctionnement?


---------------
Association d'hébergement Web  : www.gayuxweb.fr
Reply

Marsh Posté le 19-06-2009 à 17:43:26    

Hummm.... A mon avis la valeur de la priorité dynamique qui est allouée au port doit faire parti d'une MIB propriétaire... Soit HP l'a implémenté :) soit non :/
 
sinon autre solution tu fais un script perl qui se connecte en telnet ou ssh et tu checks avec des expressions régulières le résultats ;)
un peu bourrin je te l'accorde :whistle: mais ça doit normalement marché :jap: déjà fait sur du Cisco/H3C//Foundry ;)

Reply

Marsh Posté le 23-08-2009 à 07:17:45    

Re,
 
je répond avec retard.. bien désolé.
En fait, la Cos/QoS ne peut pas être appliquée sur un port dont le VLAN est non taggué. Cela est normal, en réflechissant à posteriori, car un paquet non taggué perd son Vlan ID, et donc le champ qui sert à mettre en place la valeur de la Cos.
 
Néanmoins, il est possible en utilisant du sFlow, d'avoir un aperçu très général de la Cos qui circule sur le réseau local (LAN).
 

Reply

Marsh Posté le 23-08-2009 à 10:13:03    

¨Juste en passant. Puisque tu testes n'oublie pas LLDP et son extension MED. C'est justement fait pour ce que tu es en train de décrire en partie (zero conf)


---------------
Jujudu44
Reply

Marsh Posté le 24-08-2009 à 11:19:41    

Salut,
 
en ajoutant la gestion du LLDP sur le réseau que je gère, je construits la cartographie de ce dernier de manière compltement automatique et je prépare actuellement la localisation des services afin de founir un réseau de type "0 conf".
 
a++

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed