C’est surement un peu lourd mais bon c’est propre : UTM à chaque extrémité qui gère ta sécurité, tes VLAN + un service d’authentification avec timeout car détaggé le soir je n’y crois pas.
Et tu peux prolonger tes VLAN entre les UTM et mettre un user sur un VLAN selon sont authentification. Xavier De : DUVERGIER Claude <frnog...@claude.duvergier.fr> Envoyé : mardi 5 novembre 2019 18:16 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Authentification entre 2 switchs pour trunk VLAN ? Bonjour la liste, Je recherche un moyen/système d'authentification entre 2 switchs histoire de limiter la diffusion de VLANs taggés dans un environnement semi-hostile (un open-space) : est-ce quelque chose qui existe ? Suite à une restructuration, une équipe initialement située dans un bureau avec porte (qui ferme à clé) va se retrouver dans un open-space. Le problème est que cette équipe est amenée à se connecter à différents VLANs (administration réseau, téléphonie, etc. pour provisionnement, configuration, etc.). Jusqu'à présent cela ne posait pas trop de problème vu que le bureau fermait : on taggait des ports du switch (id. switchPrincipal) où étaient brassés les prises RJ45 du bureau. Mais si les prises arrivent dans l'open-space, accessible à tous, laisser des prises RJ45 taggées vers ces VLANs à la portée du premier venu ne m'enchante guère. Je me disais que je pourrais, sur switchPrincipal, définir comme trunk VLAN un port (en le liant à tous les VLANs nécessaires), y brasser une prise RJ45 sur laquelle je connecte un "petit" switch (id. switchTable) qui sera posé sur le bureau de l'équipe. En donnant aux membres de l'équipe accès à la configuration de switchTable : ils pourront tagger/détagger leurs ports de bureau respectifs pour faire leur interventions (et à leur charge de détagger leurs ports le midi/soir en partant). Le problème c'est que le premier venu peut toujours débrancher switchTable , brancher un ordi et avoir accès à tous les VLANs... Donc je recherche un moyen pour que switchPrincipal n'ouvre le trunk (eg. ne "délivre" le trafic des VLANs) que s'il est sûr d'avoir switchTable en face de lui (via une "authentification" par secret partagé par exemple). Un genre de 802.1X "light" entre les 2 switchs ? Ou alors, solution plus "radicale" : je mets switchTable dans un boîtier métallique fermé à clé ne laissant que sortir des câbles déjà branchés tout en empêchant la possibilité d'en brancher de nouveaux (sans déverrouiller le boîtier) : ça existe ? Merci d'avoir lu jusque là :) -- DUVERGIER Claude --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
