Cisco Auto VLan Zuweisung ohne ISE?

Question

Ich lese in mehreren Tutorials dass ich für eine Auto VLan Zuweisung eine Verbindung zu einem ACS oder ISE Server brauche. Kann ich dieses Feature auch verwenden wenn ich meine Cisco Switche per AAA auf einem Windows Server mit NPS Rolle authentifiziere?

Answer 1

Die automatische VLAN-Zuweisung ist eine Funktion, die normalerweise von Cisco Identity Services Engine (ISE) unterstützt wird. ISE ermöglicht die dynamische Zuweisung von VLANs basierend auf Benutzeridentität, Richtlinien und anderen Faktoren. Wenn Sie ISE nicht verwenden möchten, gibt es jedoch alternative Möglichkeiten, die automatische VLAN-Zuweisung zu implementieren, insbesondere in Kombination mit anderen Cisco-Technologien.

Eine Möglichkeit besteht darin, 802.1X-Authentifizierung auf den Netzwerk-Switches zu konfigurieren. Mit 802.1X können Benutzer ihre Identität über verschiedene Authentifizierungsmethoden bestätigen, z. B. über Benutzername/Passwort oder Zertifikate. Nachdem der Benutzer authentifiziert ist, kann der Switch das VLAN basierend auf der Authentifizierungsinformation zuweisen. Diese Methode erfordert jedoch die Implementierung eines RADIUS-Servers, der die Authentifizierung durchführt.

Eine andere Möglichkeit besteht darin, das Dynamic Host Configuration Protocol (DHCP) zu verwenden, um VLAN-Tags an Clients zu übermitteln. Dabei wird ein DHCP-Server so konfiguriert, dass er DHCP-Optionen enthält, die das gewünschte VLAN-Tag angeben. Wenn ein Client eine IP-Adresse vom DHCP-Server anfordert, erhält er gleichzeitig das VLAN-Tag und wird entsprechend in das entsprechende VLAN eingebucht.

Beachten Sie jedoch, dass diese Alternativen nicht so umfassend sind wie die Verwendung von Cisco ISE. ISE bietet erweiterte Funktionen zur Überprüfung von Sicherheitsrichtlinien, zur Durchsetzung von Zugriffsrichtlinien und zur Integration mit anderen Netzwerkgeräten. Es wird empfohlen, die Verwendung von ISE zu prüfen, wenn Sie eine umfassende automatische VLAN-Zuweisung benötigen.