redirect tramite 802.1x

NetTeam · mer 12 mag , 2010 11:29 pm

ciao, nella mia azienda stiamo implementando l'802.1x su una rete di circa 3000 utenti; avevo pensato di far si che gli utenti che non riescono a fare autenticazione, quindi finiscono in guest vlan, all'avvio del browser qualsiasi indirizzo internet cercano di raggiungere finiscano sempre su di una pagina web interna su di un nostro server; stile hot-spot, che fino a che non inserisci le credenziali finisci sempre sulla stessa pagina.
Per fare questo dovrei intervenire sulle ACL della vlan guest, sul Proxy, sul'ACS che mi fà da Radius o su cos'altro??

Grazie mille a tutti!!!

NetTeam · gio 13 mag , 2010 11:24 pm

Nessuno può aiutarmi....forse ho sbagliato sezione????

Credete che con il protocollo Cisco Intelligent Services Gateway configurato sugli switch potrei redirigere tutto il traffico web di una sottorete verso un un'unica pagina su di un web-server interno?

Gianremo.Smisek · ven 14 mag , 2010 4:14 pm

hai provato con una VACL con action redirect?

NetTeam · ven 14 mag , 2010 5:12 pm

grazie della risposta intel....non ci speravo più!!!!

non ne ho mai sentito parlare; mi spiegheresti come funzionano le vacl con con action redirect....li configuro nei data center della rete sotto tra le acl della vlan che mi interessa far redirigere?

Gianremo.Smisek · sab 15 mag , 2010 1:05 am

non l'ho mai fatto, pero' per logica dovrebbe funzionare cosi':

un host non autenticato finisce in guest vlan, giusto? supponiamo che la guest vlan sia la VLAN 23.

definiamo l'ACL che matcha tutto il traffico (nel tuo caso, nella VLAN 23)

Codice: Seleziona tutto

Switch(config)access-list 120 permit ip any any

definiamo la VACL

Codice: Seleziona tutto

Switch(config)vlan access-map REDIRECT 5
Switch(config-access-map)match ip address 120
Switch(config-access-map)action redirect faX/Y
Switch(config-access-map)exit
Switch(config)vlan filter REDIRECT vlan-list 23
Switch(config)end

la FaX/Y sara' l'interfaccia che puntera' verso un router. In questo router poi dovrai configurare una route-map che sposta il traffico verso la rete dell'http server.

Pardon, non l'ho mai fatto e non so' se funzionera' e soprattutto controlla che il tuo hardware possa gestire le VACL!

Ciao!

NetTeam · sab 15 mag , 2010 11:19 am

come hardware dovrei stare a posto, lavoro su i catalyst 6500; mi sembra troppo macchinoso come cosa, addirittura piazzarci un router dietro un 6500

...vorrei trovare altra alternativa...
guardando questa guida: http://www.cisco.com/application/pdf/pa ... direct.pdf
chi sà se si potrebbe adattare la parte di configurazione del'ACS??

Gianremo.Smisek · sab 15 mag , 2010 2:14 pm

NetTeam ha scritto: ... mi sembra troppo macchinoso come cosa, addirittura piazzarci un router dietro un 6500 ...

allora vedi se nell'action redirect come interfaccia ti fa scegliere la VLAN configurata dove e' situato l'http server, che ovviamente a questo punto, se non vuoi un altro apparato, dovra' necessariamente essere connesso al 6500 (cosa alquanto sgradevole, usare un'apparato backbone come access-layer).

una cosa tipo:

action redirect vlanXY

ciao

NetTeam · sab 15 mag , 2010 7:20 pm

se ho capite bene dovrei configurare un'action redirect che dice di spostare tutto il treffico proveniente da una determinata vlan verso la GE dove è connesso il webserver?
Per configurare la action redirect posso dovrei configurare una vlan access-map REDIRECT nel core dove è nativa la guest-vlan?

Gianremo.Smisek · sab 15 mag , 2010 9:22 pm

redirect tramite 802.1x

Login • Iscriviti