802.1X RADIUS : déployer le NAC réseau | OPTINOC

Q: Durée de déploiement 802.1X ?

2-4 semaines pour 500 ports. Semaine 1 : config serveur et tests. Semaine 2-3 : mode monitor. Semaine 4 : enforcement.

Chargement...

802.1X et RADIUS : déployer le contrôle d'accès réseau (NAC)

15 avril 2026·2 min de lecture·249 mots

Déploiement 802.1X avec RADIUS pour contrôle d'accès réseau (NAC). Authentifie user/device avant VLAN assignment. Essentiel pour Zero Trust + NIS2. Guide déploiement FreeRADIUS/Cisco ISE/Aruba ClearPass sur access switches + WiFi.

Architecture

Supplicant : client (PC, smartphone, IoT)
Authenticator : switch/AP
Authentication Server : RADIUS
Backend : AD, LDAP, certificat PKI

Méthodes EAP

EAP-TLS : certificats mutuels (le plus sécurisé)
PEAP-MSCHAPv2 : username/password AD
EAP-FAST : Cisco, similaire PEAP
EAP-TTLS : alternative, utilisé eduroam
Recommandation 2026 : EAP-TLS pour entreprises matures, PEAP sinon

Config switch Cisco (dot1x)

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
radius server ISE
address ipv4 10.0.0.50 auth-port 1812 acct-port 1813
key RadiusKey123
dot1x system-auth-control
interface GigabitEthernet1/0/1
switchport mode access
authentication port-control auto
authentication order dot1x mab
authentication priority dot1x mab
dot1x pae authenticator
mab

MAB (MAC Authentication Bypass)

Fallback pour devices sans 802.1X supplicant (imprimantes, caméras)
Authentification via MAC address
Moins sécurisé (spoofing possible)
OK pour IoT, mais VLAN dédié isolé

Profiling devices

ISE / ClearPass analyse : DHCP fingerprints, HTTP User-Agent, SNMP, Nmap
Classifie automatiquement : Cisco IP Phone, Windows, Linux, Apple, printer, camera
Policy dynamique selon profile

Posture

Vérifie conformité endpoint : antivirus, patches, certificates
ClearPass OnGuard, Cisco ISE Posture
Quarantine VLAN si non-conforme

WiFi WPA3-Enterprise

SSID configured WPA3-Enterprise EAP-TLS
Clients : obtention certificats via MDM (Intune, Jamf)
Pas de password partagé

Commander chez OPTINOC

Déploiement 802.1X + NAC. Cisco ISE, Aruba ClearPass, FortiNAC, FreeRADIUS. Intégration AD/MDM. Devis sous 48h.

Questions fréquentes

802.1X bloque-t-il les imprimantes ?

Non, si correctement configuré. Utilisez MAB (MAC Authentication Bypass) pour les équipements sans supplicant 802.1X.

FreeRADIUS ou Cisco ISE ?

FreeRADIUS pour les PME < 500 endpoints. Cisco ISE pour l'enterprise avec profiling automatique et posture assessment (15k-100k euros).

Durée de déploiement 802.1X ?