MAC-аутентификация в ProCurve

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

На той странице описаны принципы работы, настройка и просмотр настроек MAC-аутентификации на коммутаторах HP ProCurve. Некоторые общие настройки, которые относятся не только к MAC-аутентификации, но и другим методам (Web- и 802.1X) описаны на странице Аутентификация при доступе к сети. В том числе там описаны:

  • Настройка параметров RADIUS-сервера
  • Параметры и таймеры аутентификации
  • Правила динамического размещения порта коммутатора в VLAN'е по результатам аутентификации


Короткий URL: ProCurve MAC authentication

Содержание

[править] Принцип работы

MAC-аутентификация — метод аутентификации, который предоставляет доступ в сеть, аутентифицируя компьютер, а не пользователя. Когда компьютер подключается к коммутатору (непосредственно или через другой коммутатор), коммутатор отправляет MAC-адрес компьютера на RADIUS-сервер для прохождения аутентификации.

Коммутатор отправляет на RADIUS-сервер, вместо имени пользователя и пароля, MAC-адрес компьютера. Соответственно в базе данных пользователей должен быть пользователь с именем — MAC-адрес компьютера и паролем — MAC-адрес компьютера.

От клиента не требуется никаких действий и на компьютере клиента не нужны никакие дополнительные настройки. Коммутатор сам запоминает MAC-адрес и отправляет запрос на RADIUS-сервер.

Несмотря на то, что клиент не вводит имя пользователя и пароль, в базе данных пользователей обязательно надо создать соответствующих пользователей.

MAC-аутентификация может применяться для таких устройств как принтеры, сервера.

[править] Подготовка к использованию MAC-аутентификации

Шаги по подготовке к использованию MAC-аутентификации:

  • Определить на каких портах будет включена MAC-аутентификация;
  • Определить какие VLANы будут использоваться — если устройство должно после прохождения попасть в какой-то VLAN, то этот VLAN должен быть создан на коммутаторе;
  • Определить каким образом будет порт назначаться в VLAN:
    • динамически через RADIUS-сервер,
    • попадать в авторизованный VLAN на коммутаторе,
    • оставаться в статическом VLAN настроенном на порту;
  • Проверить, что CHAP включен на RADIUS-сервере — для MAC-аутентификации коммутатор использует CHAP;
  • Проверить, что на RADIUS-сервере настроены политики доступа;
  • Проверить, что в базе данных пользователей есть нужные пользователи.

[править] Настройка MAC-аутентификации

Настройка MAC-аутентификации на портах 1-5:

switch(config)# aaa port-access mac-based 1-5

Настройка формата MAC-адреса:

switch(config)# aaa port-access mac-based addr-format <no-delimiter | single-dash | multi-dash | multi-colon> 

Формат MAC-адреса важен потому что он используется как имя пользователя и пароль. Этот формат должен корректно обрабатывать RADIUS-сервер. Например, Microsoft IAS совместим с форматом no-delimiter.

Доступные форматы и как выглядит MAC-адрес AA:BB:CC:DD:EE:FF в этих форматах:

  • no-delimiter — aabbccddeeff (значение по умолчанию);
  • single-dash — aabbcc-ddeeff;
  • multi-dash — aa-bb-cc-dd-ee-ff;
  • multi-colon — aa:bb:cc:dd:ee:ff.

[править] Настройка дополнительных параметров

[править] VLAN для авторизованных пользователей

По умолчанию такой VLAN не создан.

Указание VLAN'а для авторизованных пользователей. Для портов 6-10 авторизованный VLAN 100:

switch(config)# aaa port-access mac-based 6-10 auth-vid 100

Если на авторизованном порту появляется компьютер, который прошёл аутентификацию, но ему динамически назначен VLAN отличный от того, в который уже назначен порт после авторизации первого компьютера, коммутатор блокирует доступ последнему компьютеру до тех пор, пока не закончится сессия первого компьютера.

[править] VLAN для неавторизованных пользователей

Указание VLAN'а для неавторизованных пользователей. Для портов 6-10 неавторизованный VLAN 200:

switch(config)# aaa port-access mac-based 6-10 unauth-vid 200

[править] Увеличение максимального количества авторизованных клиентов на порту

Указание максимального количества авторизованных MAC-адресов на порту (по умолчанию 1):

switch(config)# aaa port-access mac-based <port-list> addr-limit <1-32>

По умолчанию количество адресов — 1, а максимальное значение — 32. Если на коммутаторе на одном порту настроена аутентификация и 802.1X и MAC, то это суммарное количество клиентов для обоих методов.

[править] Управление аутентифицированными клиентами

[править] Административная реаутентификация клиентов

Инициировать реаутентификацию клиентов на указанных портах:

switch(config)# aaa port-access mac-based <port-list> reauthenticate

[править] Перемещение клиентов

По умолчанию, если клиент перемещается с одного порта на другой, то ему надо проходить повторную аутентификацию. Это поведение можно изменить, разрешив клиенту перемещаться между некоторыми портами без необходимости повторно аутентифицироваться.

Позволить клиентам перемещаться между указанными портами (как минимум должны быть указаны два порта), на которых настроена MAC-аутентификация:

switch(config)# aaa port-access mac-based <port-list> addr-moves

[править] Изменение параметров и таймеров аутентификации

Описание значения этих параметров и таймеров приведено в разделе Параметры и таймеры аутентификации.

Интервал времени (logoff-period) после которого неактивная сессия обрывается (по умолчанию 300 секунд):

switch(config)# aaa port-access mac-based <port-list> logoff-period <60-9999999>

Интервал времени от момента прохождения аутентификации (reauth-period), по истечению которого клиент будет повторно аутентифицирован (по умолчанию 300 секунд):

switch(config)# aaa port-access mac-based <port-list> reauth-period <0-9999999>

Если установить этот интервал в 0, то реаутентификация будет отключена.

Количество попыток (max-retries) для пользователя ввести правильно имя и пароль (по умолчанию 3):

switch(config)# aaa port-access mac-based <port-list> max-retries <1-10>

Время, которое коммутатор ждёт (quiet-period) прежде чем отправит повторный запрос на аутентификацию клиенту, который её не прошел (по умолчанию 60 секунд):

switch(config)# aaa port-access mac-based <port-list> quiet-period <1-65535>


Количество запросов (max-requests) на RADIUS-сервер, если он недоступен (по умолчанию 2):

switch(config)# aaa port-access mac-based <port-list> max-requests <1-10>

Интервал времени (server-timeout) в течение которого коммутатор ждёт ответа от RADIUS-сервера (по умолчанию 30 секунд):

switch(config)# aaa port-access mac-based <port-list> server-timeout <1-300>

[править] Просмотр настроек

Проверить настройки:

switch(config)# show aaa port-access mac-based config 

Посмотреть какие компьютеры (с какими MAC-адресами) подключены к портам с включенной MAC-аутентификацией:

switch(config)# show aaa port-access mac-based clients

Посмотреть количество подключенных компьютеров, аутентифицированы они или нет, присвоенный номер VLAN, назначен ли ACL на порт:

switch(config)# show aaa port-access mac-based
show port-access mac-based [port-list]
show port-access mac-based clients [port-list]
show port-access mac-based clients <port-list> detailed
show port-access mac-based config [port-list]
show port-access mac-based config <port-list> detailed
show port-access mac-based config [port-list] auth-server