Защита проводной сети по протоколу 802.1x

Защита сети по протоколу 802.1x через RADIUS сервер на Win Server 2008r2 и оборудовании D-link

Добрый день, коллеги!
Хочется поделиться опытом внедрения протокола 802.1X, настройке оборудования D-link а так же настройке сервера RADIUS на windows server 2008r2.

Часть 1. Тестовый стенд
По причинам здравого смысла эксперименты проводим на отдельном стенде, до внедрения в рабочую схему (продакшн)

Сценарий первый: Лишь бы заработало
Добьемся того, чтобы клиент получал доступ к сети только после авторизации на RADIUS-сервере.

Что нам потребуется?
  1. Windows Server 2008r2, в моём случае на виртуальной машине
  2. Коммутатор D-Link 2 уровня (с поддержкой 802.1x), у меня: DGS-1510-28
  3. Клиент в виде Windows, у меня Windows XP
Подразумевается что уже настроено и работает:
  1. Домен как таковой, AD.
  2. Центр Сертификации, и сертификат сервера центра сертификации распространен в сети.

Схема:

Итак, настроить нам надо службу RADIUS-сервера, затем настроить 802.1x на коммутаторе, и пробуем с лёту подключить клиента. Поехали!
RADIUS-сервер входит в состав роли "Службы политики сети и доступа". Установка роли не составит проблем, используйте параметры по умолчанию.
Интересно начнется сразу после установки, её надо будет настроить... )
Запускаем мастер настройки, так реально проще. Ну а дальше слайдшоу

Добавление клиентов.
Клиент - это "аутенитификатор" портов, либо управляемый коммутатор либо точка доступа. В нашем случае коммутатор D-Link 1510-28
Указываем понятное имя, IP-адрес коммутатора и пароль для соединения.

Не забудьте создать группу в AD в которую нужно поместить учетки по которым будем авторизовать порты.

Далее, Далее, Готово. RADIUS настроили.

Теперь коммутатор. настраивать будем через консоль, сам не верю что это говорю, но так действительно быстрей и универсальней, т.е. те же команды подойдут и к другим моделям Длинков.
Включаем функцию 802.1X
enable 802.1x

Говорим что авторизацией будет по портам (есть ещё вариант по макам)
config 802.1x auth_mode port_based

А авторизация будет через RADIUS-сервер (есть вариант локальной авторизации)
config 802.1x auth_protocol radius_eap

Дальше настраиваем конкретные порты на использование авторизации
config 802.1x capability ports 1-2 authenticator

Cоздаем соединение с RADIUS-сервером который мы сделали чуть ранее
config radius add 1 192.168.9.99 key megapass auth_port 1812 acct_port1813
здесь надо пояснить, что IP-адрес здесь это адрес сервера RADIUS, пароль используем тот же, который задавали при создании "клиента", а порты стандартные для радиуса.

Не забываем сохраниться
save
в принципе - всё :)

Дальше перейдем к клиентской машине
Во-первых надо убедиться что запущена служба "Автонастройка проводного доступа" (Dot3svc), если не так - задаем автоматический запуск и запускаем.
После этого в свойствах сетевого подключения должна появиться вкладка "Проверка подлинности", в котором задаются параметры использования 802.1x
При условии что машина в составе домена и уже распространен сертификат центра сертификации, то параметров по умолчанию должно хватить для подключения.
Т.е. в строке способа проверки подлинности выбрано "Защищенные EAP (PEAP)"

За сим, пока, всё.

P.S.: Разные отклонения от стандартного сценария можно обсудить в комментариях. Если тема кажется вам интересной, оставляйте отзывы - продолжим эксперименты.


Комментарии

AntiHelper написал(а)…
Добрый день.
А это работает совместно с VoiceVlan на одном порту? У меня в сети есть ПК, которые подключены через телефон.
Buran Ded написал(а)…
Добрый день.
У вас в статье не все картинки видны, у некоторых ссылка локальная вроде такой
file:///C:/Users/it7/AppData/Local/Temp/enhtmlclip/Image(4).png

Мне тоже надо настроить .1x на DGS-1510-28 , но только сервер Win 2012 (не R2)

И также присоединяюсь к вопросу читателя - как быть если на одном
порту комп и телефон, комп через телефон, voice vlan идёт на порт TAGGED,
а рабочий vlan для компа конечно же UNTAGGED.

Непонятно как тут на Blogger.com связываться с людьми,
напишите, если не сложно мне на почту buranded@gmail.com

Популярные сообщения из этого блога

Удаление раздела SWAP и расширение раздела Debian

Установка и настройка Storage Space Direct