Een Cisco ISE MAB-fallback die je niet buitensluit
Een critical-auth VLAN zodat een dode RADIUS-server niet een hele verdieping offline haalt.
802.1X is prima — tot ISE onbereikbaar is en plots niemand op de verdieping nog een IP krijgt. De oplossing is niet om de authenticatie te verzwakken, maar om netjes te falen.
Critical authentication VLAN
Vertel de switch wat hij moet doen wanneer elke RADIUS-server dood is: zet authenticerende toestellen op een beperkte “critical” VLAN in plaats van ze ronduit te weigeren.
dot1x critical eapol
authentication event server dead action authorize vlan 99
authentication event server dead action authorize voice
authentication event server alive action reinitializeWanneer ISE terugkomt (server alive), herinitialiseren de poorten en authenticeren ze opnieuw zoals het hoort — geen handmatig heropstarten.
Houd een nooduitgang vrij
Combineer het met een lokale fallback, zodat je nooit volledig afhankelijk bent van het netwerk dat je net probeert te herstellen:
- Een lokaal privileged account op de switch (niet enkel via TACACS/RADIUS).
- Een out-of-band-pad — console of een managementpoort op een aparte VLAN.
Het punt van NAC is niet streng zijn om het streng zijn. Het is streng én overleefbaar zijn. Ontwerp het faalgedrag bewust, of het netwerk ontwerpt het voor jou — meestal om 16 u op een vrijdag.