Salut
 
Nous regardons comment nous allons pouvoir sécuriser notre grand réseau.
Je suis sur la norme 802.1x avec Mac-authentication.
 
J'ai deux grandes questions :
- comment ça se passe côté client (pc, client léger, imprimante, device spécifique) ? Il faut importer un certificat ou une clé ?
- que ce passe-t-il s'il y a deux device sur le même port ? Nous avons quelques miniswitch, des ponts ou des concentrateurs Axel pour certains équipements spécifique.
 
Sans parler des équipements qui sont sur le même réseau physique mais non géré par nous (matériel médical, GTB)

- oui il faut un certif sur le poste client (enfin tu peut aussi faire du login/mot de passe si tu veux mais bon...)
- ça dépend de la config de tes équipements, normalement tu peux définir si le mode d'authentification se fait par port ou par adresse MAC. Dans le second cas tu peux avoir plusieurs équipements sur le même port ce n'est pas trop gênant (et tu peux aussi mettre une limite au nombre d'équipements par ports si tu veux). Attention quand même car si le poste n'est pas relié directement au switch qui fait l'authent il faut bien réfléchir à la manière dont sera déclenché le processus d'authent (puisqu'on ne peut plus forcément se baser sur le port qui passe UP).

donc :
1 - cela veut dire que tous les équipements qui ne sont pas compatible 802.1x doivent être gérés autrement (genre un vlan à part)
2 - qu'il faut supprimer les mini-switch
3 - les ponts sont sur des PC Windows donc c'est gérable, les concentrateurs sont dans les baies donc sécurisés et identifiés.
 
Existe-il une méthode 'HA' pour le radius qui va valider l'auth si il est indispo ?  
 
Certains d'entre vous ont-il mis en place ce type de sécurité sur une infra existante et de quelle manière ? Mode bigbang impossible sur mon parc avec une prod H24 et une criticité urgence vitale
 
Un parc de switch non homogène est-il problématique ? (full HPE mais mélange de procurve et de comware)

Tu peux mettre aussi des "mini-witch" administrable (enfin switch compact sans ventilo)

 
oui
 

 
Pas forcément mais ça simplifie les choses si tu peux les supprimer c'est sûr.
 

 
normalement tu spécifies plusieurs radius sur ton NAS (switch) et il se débrouille si l'un est injoignable il demande à l'autre.
Et en dernier recours (aucun radius joignable) tu peux spécifier ce qu'il faut faire, mettre le client dans le vlan normal, le mettre dans un vlan spécial, ne pas autoriser l'accès du tout etc.
 

 
oui, une fois que tu as validé la config générale tu l'actives port par port donc aucune obligation à faire tous les utilisateurs d'un coup.
 

 
non pas de souci, ça te fait 2 conf à valider au lieu d'une mais à part ça y'a pas de contrindication