Защита проводной сети по протоколу 802.1x
Защита сети по протоколу 802.1x через RADIUS сервер на Win Server 2008r2 и оборудовании D-link
Добрый день, коллеги!
Хочется поделиться опытом внедрения протокола 802.1X, настройке оборудования D-link а так же настройке сервера RADIUS на windows server 2008r2.
Часть 1. Тестовый стенд
По причинам здравого смысла эксперименты проводим на отдельном стенде, до внедрения в рабочую схему (продакшн)
Сценарий первый: Лишь бы заработало
Добьемся того, чтобы клиент получал доступ к сети только после авторизации на RADIUS-сервере.
Что нам потребуется?
- Windows Server 2008r2, в моём случае на виртуальной машине
- Коммутатор D-Link 2 уровня (с поддержкой 802.1x), у меня: DGS-1510-28
- Клиент в виде Windows, у меня Windows XP
Подразумевается что уже настроено и работает:
- Домен как таковой, AD.
- Центр Сертификации, и сертификат сервера центра сертификации распространен в сети.
Схема:
Итак, настроить нам надо службу RADIUS-сервера, затем настроить 802.1x на коммутаторе, и пробуем с лёту подключить клиента. Поехали!
RADIUS-сервер входит в состав роли "Службы политики сети и доступа". Установка роли не составит проблем, используйте параметры по умолчанию.
Интересно начнется сразу после установки, её надо будет настроить... )
Запускаем мастер настройки, так реально проще. Ну а дальше слайдшоу
.png)
.png)
Добавление клиентов.
Клиент - это "аутенитификатор" портов, либо управляемый коммутатор либо точка доступа. В нашем случае коммутатор D-Link 1510-28
Указываем понятное имя, IP-адрес коммутатора и пароль для соединения.
.png)
Не забудьте создать группу в AD в которую нужно поместить учетки по которым будем авторизовать порты.
.png)
.png)
.png)
Далее, Далее, Готово. RADIUS настроили.
Теперь коммутатор. настраивать будем через консоль, сам не верю что это говорю, но так действительно быстрей и универсальней, т.е. те же команды подойдут и к другим моделям Длинков.
Включаем функцию 802.1X
enable 802.1x
Говорим что авторизацией будет по портам (есть ещё вариант по макам)
config 802.1x auth_mode port_based
А авторизация будет через RADIUS-сервер (есть вариант локальной авторизации)
config 802.1x auth_protocol radius_eap
Дальше настраиваем конкретные порты на использование авторизации
config 802.1x capability ports 1-2 authenticator
Cоздаем соединение с RADIUS-сервером который мы сделали чуть ранее
config radius add 1 192.168.9.99 key megapass auth_port 1812 acct_port1813
здесь надо пояснить, что IP-адрес здесь это адрес сервера RADIUS, пароль используем тот же, который задавали при создании "клиента", а порты стандартные для радиуса.
Не забываем сохраниться
save
в принципе - всё :)
Дальше перейдем к клиентской машине
Во-первых надо убедиться что запущена служба "Автонастройка проводного доступа" (Dot3svc), если не так - задаем автоматический запуск и запускаем.
После этого в свойствах сетевого подключения должна появиться вкладка "Проверка подлинности", в котором задаются параметры использования 802.1x
При условии что машина в составе домена и уже распространен сертификат центра сертификации, то параметров по умолчанию должно хватить для подключения.
Т.е. в строке способа проверки подлинности выбрано "Защищенные EAP (PEAP)"
За сим, пока, всё.
P.S.: Разные отклонения от стандартного сценария можно обсудить в комментариях. Если тема кажется вам интересной, оставляйте отзывы - продолжим эксперименты.
Комментарии
А это работает совместно с VoiceVlan на одном порту? У меня в сети есть ПК, которые подключены через телефон.
У вас в статье не все картинки видны, у некоторых ссылка локальная вроде такой
file:///C:/Users/it7/AppData/Local/Temp/enhtmlclip/Image(4).png
Мне тоже надо настроить .1x на DGS-1510-28 , но только сервер Win 2012 (не R2)
И также присоединяюсь к вопросу читателя - как быть если на одном
порту комп и телефон, комп через телефон, voice vlan идёт на порт TAGGED,
а рабочий vlan для компа конечно же UNTAGGED.
Непонятно как тут на Blogger.com связываться с людьми,
напишите, если не сложно мне на почту buranded@gmail.com