Re, > On a eu beau chercher, et chercher encore, très peu d'équipements en place > (en dehors des PCs) étaient capable de faire du 802.1x dans notre contexte > Le peu qui était censé le faire (comme nos téléphones IPs) le faisait mal, > voir très mal.
En 2013-2014, en mono-vendor (Switches/AP WiFi/Phones), on n'a eut aucun soucis... et même la majorité des imprimantes ont fonctionné en 802.1x. Pour certains vieux machins, il a fallu faire de l'auth MAC, comme toi, mais rarissime et jamais pour des VLANs importants. > Ceci est aussi vrai en 802.1x ultra sécurisé via certificats, car vous ne > pourrez pas empêcher la pose d'un man in the middle physique, à l'insu de > l'utilisateur réellement connecté à la prise. True. > Enfin pour le sujet du VPN, attention aux perfs. > Le VPN ça consomme du CPU sur le poste, et c'est difficile de faire passer > beaucoup (vraiment beaucoup) de trafic. > Je n'arrive pas à dépasser les 40Mb/s et à condition de plafonner à 100% > tous les coeurs de mon i7 Un bon client VPN va utiliser AES-NI et autres CLMUL, pour une conso CPU dans les 30% d'un seul core pour 800+ Mb/s de throughput (idem sur mobile, où il y a aussi les jeux d'instructions AES). Donc là, t'es vraiment tombé sur un mauvais client VPN où un algo bizarre à été choisi côté boitier VPN... Cordialement, -- Philippe Bourcier web : http://sysctl.org blog : https://www.linkedin.com/today/author/philippebourcier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
