Рассмотрим настройку еще одного интересного протокола
аутентификации. Это 802.1х используя его можно предотвращать нежелательный доступ в сеть анонимных пользователей. Подключиться можно только зная логин и пароль. Если использовать, RADIUS-сервер,
то пароли будут храниться централизовано, что сильно упрощает управление ими.
Более того, Windows для авторизации может использовать доменное имя и пароль. И
если их синхронизировать с данными на сервере RADIUS, то пользователь даже подозревать
не будет, столь серьезной защите периметра сети. Так что дело серьезное, пора
разобраться.
1. Первым делом нужно включить новую модель авторизации.
Новая, это вам не старая.
Catalyst(config)#aaa new-modelCatalyst(config)#
2. Далее нужно определить RADIUS сервер и ключ для авторизации на
нем. Используем сервер из предыдущей статьи
Catalyst(config)#radius-server host 192.168.10.1 key ciscoCatalyst(config)#
3. Определяем метод аутентификации для 802.1х. Все будет
проходить через RADIUS-сервер.
Catalyst(config)#aaa authentication dot1x default group radius localCatalyst(config)#
Тут кроме ключевого слова radius указано еще и local. Это означает, что при
недоступности сервера будет использоваться локальная база пользователей.
4. Включаем поддержку протокола 802.1х
Catalyst(config)#dot1x system-auth-controlCatalyst(config)#
5. Конфигурируем интерфейсы для 802.1х
Catalyst(config)#int fa0/9Catalyst(config-if)#dot1x port-control ?auto PortState will be set to AUTOforce-authorized PortState set to Authorizedforce-unauthorized PortState will be set to UnAuthorizedCatalyst(config-if)#dot1x port-control auto
Auto
– порт использует 802.1х для ваторизации
force-authorized – порт
авторизирует всех подключенных клиентов, аутентификация не обязательна. Это
режим по-умолчнию.
force-unauthorized – порт никого не
авторизирует.
6. Если вы планируете подключить несколько хостов к порту
(например, используя ряд виртуальных машин у себя на хосте или вместе с ПК
подключается телефон) укажите в этом случае параметр
Catalyst(config-if)#dot1x host-mode multi-hostCatalyst(config-if)#
На этом настройка завершена. Теперь при подключении ПК с Windows XP вы
увидите такую картину
Окно авторизации выглядит так.
Если параметры верны, то порт
перейдет в состояние пересылки.
Чтобы включить поддержку 802.1х в Windows XP необходимо:
- запустить службу «Автонастройка
проводного доступа»
- в свойствах подключения выбрать вкладку «проверка подлинности» и внести соответствующие настройки
- в свойствах подключения выбрать вкладку «проверка подлинности» и внести соответствующие настройки
No comments:
Post a Comment