انجمن مدیران و راهبران شبکه

انجمن مدیران و راهبران شبکه

Network Managers and Administrators
انجمن مدیران و راهبران شبکه

انجمن مدیران و راهبران شبکه

Network Managers and Administrators

پیکربندی پروتکل 802.1x بر روی سوئیچ به منظور کنترل احراز هویت کاربران قبل از ورود و بهره برداری از بستر شبکه


IEEE 802.1X is an IEEE Standard

for Port-based Network Access Control (PNAC)





دوباره علیک شب یلداتون هم پیشاپیش مبارک

خدمتتون عارضم که این پروتکل 802.1X یکی از اون پروتکل های خیلی خیلی کاربردی در جهت امن سازی و کنترل دسترسی در لایه Access شبکه سوئیچینگ و لایه 2 مدل مرجع OSI هستش.
نحوه عملکرد این پروتکل خیلی ساده ولی بسیار کلیدی و بدردبخوره. داستان از این قراره که وقتی روی سوئیچ این پیکربندی رو انجام بدین عملا هر پورت شبکه سوئیچ به دو sub-interface تبدیل میشه که شامل موارد زیر هستن:
  • controlled port
  • uncontrolled port

بر روی پورت اول، همین طور که از اسمش هم مشخصه تا زمانی که عملیات Authentication بصورت موفق انجام نشه هیچ ترافیکی عبور نخواهد کرد. یعنی اینکه کاربر عملا تا زمانی که نام کاربری و کلمه عبور معتبری بر روی سرور Authentication نداشته باشه امکان استفاده از شبکه رو هم نخواهد داشت.

بر روی پورت دوم ( uncontrolled port) تنها اطلاعات پروتکل های  EAPOL ، STP و CDP  اجازه عبور خواهند داشت که برای موارد کنترلی و از جمله فرآیند احراز هویت سوئیچ مورد استفاده قرار می گیرند.


برای اجرای این پیکربندی وجود سه عنصر زیر لازم و ملزوم یکدیگرند:

  • supplicant یا کامپیوتر کاربر
  • Authenticator یا همون سوئیچ
  • Authentication Server که باید از پروتکل RADIUS پشتیبانی کنه
با اتصال کامپیوتر کاربر به پورت سوئیچ، Authenticator یا همون سوئیچ از طریق یکی از پروتکل های استاندارد زیر نسبت به اخذ اطلاعات نام کاربری و کلمه عبور کاربر اقدام خواهد کرد. این 4 پروتکل معمول عبارتند از:
  • LEAP مختص به سیسکو
  • EAP-FAST
  • PEAP
  • EAP-LTS
سوئیچ هم که فقط با پروتکل RADIUS با سرور Authentication تعامل داره. اگه سرور به سوئیچ OK بده اونوقته که سوئیچ پورت شبکه کاربر رو به حالت Authorized می بره و ترافیک برای کاربر بر روی پورت برقرار می شه.

نکته : این 802.1x از اون پروتکل هایی هستش که علاوه بر سوئیچ ، سیستم عامل کاربر هم باید برای پشتیبانی از اون تنظیم و پیکربندی بشه. یعنی باید برید روی تنظیمات کارت شبکه کلاینت هم این پروتکل رو فعال کنید.

نحوه پیکربندی سوئیچ سیسکو :

پیکربندی این مدل پروتکل ها طبق معمول با دستورات aaa شروع میشه


Room(config)#aaa new-model
Room(config)#aaa authentication dot1x default group radius local
Room(config)#dot1x system-auth-control
بعد مثلا میریم رو پورت شماره 6
Room(config)#interface fastEthernet 0/6
Room(config-if)#dot1x port-control auto

دیگه همین البته قطعا تنظیمات مربوط به سرور RADIUS و نوع پروتکل EAPOL مورد استفاده رو هم باید تنظیم کرد که تو پست های قبلی بهش اشاره شده.

موفق باشید

نظرات 2 + ارسال نظر
masoud سه‌شنبه 26 آذر‌ماه سال 1392 ساعت 23:04 http://purelove67.blogsky.com/

سلام
از میکروتیک هم چیزی میدونین؟
یا نظرتون چیه دربارش


برای جواب برمیگردم

تا اندازه ای باهاش آشنایی دارم که پروژه های خودم رو باهاش انجام دادم. بنظرم دستگاه خیلی کار راه اندازیه. تقریبا همه جور کاری می شه باهاش کرد فقط تو بعضی پروژه ها مثل Web Proxy ضعیفه.

حمیدرضا یکشنبه 11 مرداد‌ماه سال 1394 ساعت 16:00

با سلام و وقت بخیر

آقای مهندس من میخام پروژه 802.1x را در سازمان خود راه اندازی کنم.
سناریوی من بدین شکل است:
یک سرور 2008R2 و یک سوئیچ 2960 سیسکو دارم و میخام کلیه سیستم هایی که مک آدرس آنها در اکتیو دایرکتوری ذخیره شده است اجازه استفاده از منابع شبکه را داشته باشند و اجازه جابجایی سیستم های خود را در طول شبکه را نیز داشته باشند اما چنانچه سیستمی که عضو اکتیو دایرکتوری نبود و کابل LAN خود را به سوئیچ متصل کرد، سوئیچ مک آدرس آن را با مک آدرس های موجود در اکتیو دایرکتوری مقایسه کند و اگر عضو آن نبود، پورت مربوطه Down شود.

اگر امکانش هست راهنماییم کنید که چه کارهایی باید انجام دهم.
اگر هم فایل یا فیلمی در این زمینه دارید ممنون میشم در اختیارم قرار بدید.

متشکرم

سلام دوست عزیز, حقیقتا من در خصوص سناریوی شما تجربه ای تا حالا نداشتم. خودم هم 802.1x رو با Cisco ACS پیاده کردم و با NPS ماکروسافت آشنایی زیادی ندارم ولی از دوستان که پرس و جو کردم ظاهرا سناریوی شما قابل پیاده سازی است.

برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد