ProCurve NAC 800/RADIUS
Материал из Xgu.ru
Пример настройки NAC 800 в качестве RADIUS сервера
Содержание |
[править] Настройка без использования IDM
[править] Топология
[править] Настройка клиента
В качестве клиента используется компьютер с Windows XP.
Аутентификация MD5-Challenge.
[править] Настройка NAC 800
NAC 800 работает в режиме CS.
В файле /etc/raddb/users создан один пользователь с именем procurve и паролем procurve.
procurve Auth-Type := EAP, User-Password =="procurve"
[править] Использование встроенного RADIUS сервера для аутентификации
Для того чтобы NAC 800 обрабатывал запросы RADIUS необходимо добавить пользователей в файле /etc/raddb/users. Формат записей в файле: Аутентификаци по паролю:
<user name> Auth-Type := Local, User-Password =="password"
EAP, PEAP, или MD5-Challenge аутентификация (методы,которые использует windows 802.1X):
<user name> Auth-Type := EAP, User-Password =="password"
Рестарт RADIUS сервера из консоли:
- Зайти по ssh на NAC800 под пользователем root, пароль по умолчанию procurve
- Ввести команду
service radiusd restart
В файле SAFreeRadiusConnector.conf можно настроить атрибуты RADIUS сервера и VLAN.
[править] Настройка коммутатора
- Создать VLAN'ы и добавить в них соответствующие порты.
- Настроить маршрутизацию между VLAN:
- Включить ip routing
- Задать ip адреса в VLAN
- Задать ip helper-address в тех VLAN, в которых адреса будут получаться по DHCP.
- Настроить 802.1X (подробнее о настройке на странице 802.1X и RADIUS).
[править] Конфигурационный файл коммутатора
hostname "sw5" interface 10 no lacp exit ip routing snmp-server community "public" Unrestricted vlan 1 name "DEFAULT_VLAN" untagged 2-10,12-19,21-29,31-48 ip address 10.0.58.4 255.0.0.0 no untagged 1,11,20,30 exit vlan 10 name "VLAN10" untagged 1 ip address 192.168.10.2 255.255.255.0 exit vlan 11 name "VLAN11" untagged 11 ip address 192.168.11.2 255.255.255.0 exit vlan 20 name "VLAN20" untagged 20 ip address 192.168.20.2 255.255.255.0 ip helper-address 192.168.11.1 exit vlan 30 name "VLAN30" untagged 30 ip address 192.168.30.2 255.255.255.0 ip helper-address 192.168.11.1 exit aaa authentication port-access eap-radius radius-server host 192.168.10.1 aaa port-access authenticator 10 aaa port-access authenticator 10 auth-vid 20 aaa port-access authenticator 10 unauth-vid 30 aaa port-access authenticator active aaa port-access 10 ip ssh password manager
[править] Настройка с использованием IDM
[править] Топология
[править] Настройка клиента
В качестве клиента используется компьютер с Windows XP.
Аутентификация MD5-Challenge.
[править] Настройка NAC 800
[править] Настройка проверки целостности без IDM
[править] Топология
[править] Настройка коммутатора
На коммутаторе, кроме предыдущих настроек, надо настроить зеркалирование DHCP трафика на порт 2 NAC 800.
[править] Настройка зеркалирования трафика
Порт на котором находится DHCP сервер и порт на который зеркалируется трафик (соединенный с портом 2 NAC 800) должны быть в одном VLAN.
Указание порта на который будет зеркалироваться трафик:
sw5(config)# mirror-port 12
Настройка интерфейса на котором находится DHCP сервер:
sw5(config)# int eth 11 sw5(eth-11)# monitor
ProCurve | ||
---|---|---|
Основы | ProCurve Adaptive Edge | ProCurve ProActive Defense | ProCurve Network Access Control | ProCurve Wireless | |
Программы | ProCurve Manager | ProCurve Identity Driven Manager | ProCurve Network Immunity Manager | ProCurve Mobility Manager | |
Устройства | ProCurve Switch | ProCurve Router | ProCurve ONE Module | ProCurve TMS Module | ProCurve NAC 800 | ProCurve Access Point | ProCurve WESM | |
Настройка | ||
Безопасность | ProCurve Security | Доступ к коммутатору ProCurve | DHCP snooping | Dynamic ARP Protection | IP Source Guard | Port security | Аутентификация при доступе к сети | 802.1X в ProCurve | Web-аутентификация в ProCurve | MAC-аутентификация в ProCurve | |
Канальный уровень | CDP | LLDP | VLAN в ProCurve | GVRP | STP в ProCurve | ProCurve Mesh | Агрегирование каналов | Зеркалирование трафика | QinQ | |
Сетевой уровень | RIP в ProCurve | OSPF в ProCurve | VRRP в ProCurve | XRRP в ProCurve | QoS в ProCurve | Multicast в ProCurve | PIM в ProCurve | |
Разное | Опция 82 DHCP | SNMP в ProCurve |