Protocole VMPS

Précédent / Suivant

Objectifs et contraintes

Les solutions d'authentification locale comme 802.1x fonctionnent bien, à la condition d'avoir un ordinateur relativement récent, c'est-à-dire que le système d'exploitation soit supérieur ou égal à Windows XP. Pour les ordinateurs plus anciens, il n'est pas possible d'effectuer une authentification de l'utilisateur de manière fiable. Dans notre contexte de recherche, il existe de nombreux ordinateurs de ce type pour le pilotage de manipulations, des ordinateurs qui ne peuvent pas être mis à jour sans risque de panne. Une autre mesure d'authentification a été mise en place : il s'agit de VMPS (VLAN Membership Policy Server) [Cisco2]. VMPS est un protocole propriétaire Cisco qui permet de forcer le VLAN d'un port d'un commutateur en fonction de l'adresse MAC de la machine qui est connectée dessus. Ce n'est pas une authentification de l'utilisateur mais, une identification de la machine connectée. Cette mesure est un palliatif en attendant que tous les ordinateurs soient compatibles 802.1x.

Principe

Pour pouvoir fonctionner, VMPS nécessite des commutateurs de marque Cisco et un serveur VMPS. Toute machine qui se connecte sur le commutateur envoie son adresse MAC dans la trame IP. Le commutateur récupère cette adresse et soumet au serveur VMPS une requête pour savoir dans quel VLAN mettre cet ordinateur. Le serveur répond au commutateur, qui met le port concerné dans le VLAN proposé. La machine a alors les fonctionnalités disponibles dans ce VLAN. Ce principe est schématisé figure 8.

Authentification

Le protocole VMPS n'est pas une solution d'authentification, c'est une solution d'identification. On ne garantit pas l'utilisateur présent face à la machine, on enregistre juste quelle machine s'est connectée. Cette façon de faire est donc une mesure temporaire qui sera remplacée par 802.1x lors du renouvellement des machines.

Discussion

Le protocole VMPS fonctionne très simplement. Mais, étant propriétaire, il n'est disponible que sur les équipements Cisco. Or, toutes les grandes marques de commutateurs supportent les VLAN et 802.1x. De plus, le protocole VMPS n'affranchit pas de la nécessité d'avoir un ordinateur par prise.

Si l'ordinateur n'existe pas dans la base VMPS, il sera automatiquement placé dans le VLAN du portail captif, ce qui permettra a l'utilisateur d'avoir accès à Internet. Cette façon de faire garantit l'accès à Internet pour toutes les personnes : si possible, le protocole 802.1x, sinon le protocole VMPS, et en dernier recours, le portail captif.


CNRS / Centre Réseau et Informatique Commun (CRIC) - Dernière modification : 26/06/2019.

Mail : CRIC @ grenoble.cnrs.fr (sans les espaces)