ProCurve NAC 800/RADIUS

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.


Пример настройки NAC 800 в качестве RADIUS сервера

Содержание

[править] Настройка без использования IDM

[править] Топология

NAC 800 RADIUS.jpg

[править] Настройка клиента

В качестве клиента используется компьютер с Windows XP.

Аутентификация MD5-Challenge.

[править] Настройка NAC 800

NAC 800 работает в режиме CS.

В файле /etc/raddb/users создан один пользователь с именем procurve и паролем procurve.

procurve Auth-Type := EAP, User-Password =="procurve"

[править] Использование встроенного RADIUS сервера для аутентификации

Для того чтобы NAC 800 обрабатывал запросы RADIUS необходимо добавить пользователей в файле /etc/raddb/users. Формат записей в файле: Аутентификаци по паролю:

<user name> Auth-Type := Local, User-Password =="password"

EAP, PEAP, или MD5-Challenge аутентификация (методы,которые использует windows 802.1X):

<user name> Auth-Type := EAP, User-Password =="password"

Рестарт RADIUS сервера из консоли:

  1. Зайти по ssh на NAC800 под пользователем root, пароль по умолчанию procurve
  2. Ввести команду
service radiusd restart

В файле SAFreeRadiusConnector.conf можно настроить атрибуты RADIUS сервера и VLAN.


[править] Настройка коммутатора

  1. Создать VLAN'ы и добавить в них соответствующие порты.
  2. Настроить маршрутизацию между VLAN:
    1. Включить ip routing
    2. Задать ip адреса в VLAN
  3. Задать ip helper-address в тех VLAN, в которых адреса будут получаться по DHCP.
  4. Настроить 802.1X (подробнее о настройке на странице 802.1X и RADIUS).

[править] Конфигурационный файл коммутатора

hostname "sw5"
interface 10
   no lacp
exit
ip routing
snmp-server community "public" Unrestricted
vlan 1
   name "DEFAULT_VLAN"
   untagged 2-10,12-19,21-29,31-48
   ip address 10.0.58.4 255.0.0.0
   no untagged 1,11,20,30
   exit
vlan 10
   name "VLAN10"
   untagged 1
   ip address 192.168.10.2 255.255.255.0
   exit
vlan 11
   name "VLAN11"
   untagged 11
   ip address 192.168.11.2 255.255.255.0
   exit
vlan 20
   name "VLAN20"
   untagged 20
   ip address 192.168.20.2 255.255.255.0
   ip helper-address 192.168.11.1
   exit
vlan 30
   name "VLAN30"
   untagged 30
   ip address 192.168.30.2 255.255.255.0
   ip helper-address 192.168.11.1
   exit
aaa authentication port-access eap-radius
radius-server host 192.168.10.1
aaa port-access authenticator 10
aaa port-access authenticator 10 auth-vid 20
aaa port-access authenticator 10 unauth-vid 30
aaa port-access authenticator active
aaa port-access 10
ip ssh
password manager

[править] Настройка с использованием IDM

[править] Топология

NAC800 RADIUS IDM.jpg

[править] Настройка клиента

В качестве клиента используется компьютер с Windows XP.

Аутентификация MD5-Challenge.

[править] Настройка NAC 800

[править] Настройка проверки целостности без IDM

[править] Топология

NAC800 RADIUS integrity.jpg

[править] Настройка коммутатора

На коммутаторе, кроме предыдущих настроек, надо настроить зеркалирование DHCP трафика на порт 2 NAC 800.

[править] Настройка зеркалирования трафика

Порт на котором находится DHCP сервер и порт на который зеркалируется трафик (соединенный с портом 2 NAC 800) должны быть в одном VLAN.

Указание порта на который будет зеркалироваться трафик:

sw5(config)# mirror-port 12

Настройка интерфейса на котором находится DHCP сервер:

sw5(config)# int eth 11
sw5(eth-11)# monitor