Спонсор: D-Link
Опубликован: 25.06.2013 | Уровень: для всех | Доступ: платный | ВУЗ: Московский государственный технический университет им. Н.Э. Баумана
Практическая работа 13:

Функции обеспечения безопасности и ограничения доступа к сети

< Лекция 6 || Практическая работа 13: 123456789 || Практическая работа 14 >

Пример настройки 802.1Х Guest VLAN

В качестве примера использования и настройки функции 802.1Х Guest VLAN рассмотрим схему сети компании ( рис. 19.21), в которой неаутентифицированным пользователям, находящимся в VLAN 10, разрешен доступ в Интернет. После успешной аутентификации пользователей порты, к которым они подключены, будут добавлены в VLAN 20.

Пример использования 802.1Х Guest VLAN

Рис. 19.21. Пример использования 802.1Х Guest VLAN

Настройка коммутатора DGS-3627

  • Создать на коммутаторе VLAN v10 и v20.
    config vlan default delete 1-24
    create vlan v10 tag 10 
    config vlan v10 add untagged 13-24
    create vlan v20 tag 20 
    config vlan v20 add untagged 1-12
    config ipif System ipaddress 192.168.0.1/24 vlan v10
    
  • Активизировать функции 802.1Х и Guest VLAN.
    enable 802.1x
    create 802.1x guest_vlan v10
    config 802.1x guest_vlan ports 13-24 state enable
    
  • Настроить коммутатор в качестве аутентификатора и задать параметры сервера RADIUS.
    config 802.1x capability ports 13-24 authenticator config radius add 1 192.168.0.10 key 123456 default
    

Настройка параметров на сервере RADIUS включает установку следующих пользовательских атрибутов:

Tunnel-Medium-Type (65) = 802\\Tunnel-Pvt-Group-ID (81) = 20 \gets VID\\
Tunnel-Type (64) = VLAN
Пользовательские атрибуты на сервере RADIUS

Рис. 19.22. Пользовательские атрибуты на сервере RADIUS

Проверить конфигурацию коммутатора можно с помощью следующих команд:

DGS-3627#show 802.1x auth_configuration
Command: show 802.1x auth_configuration
802.1X                    : Enabled
Authentication Mode       : Port_based
Authentication Protocol   : RADIUS_EAP

Port number       : 1
Capability        : None
AdminCrlDir       : Both
OpenCrlDir        : Both
Port Control      : Auto
QuietPeriod       : 60 sec
TxPeriod          : 30 sec
Supp Timeout      : 30 sec
Server Timeout    : 30 sec
MaxReq            : 2 times
ReAuthPeriod      : 3600 sec
ReAuthenticate    : Disabled

DGS-3627#show 802.1x guest_vlan
Command: show 802.1x guest_vlan

Guest VLAN Setting

Guest VLAN : v10
Enable Guest VLAN Ports : 13-24

DGS-3627#show radius
Command: show radius
Idx  IP Address    Auth-Port  Acct-Port  Status  Key
1    192.168.0.10  1812       1813       Active  123456

Total Entries: 1

Пока клиент, подключенный к порту 22, не прошел аутентификацию, текущая конфигурация VLAN и состояние аутентификации 802.1Х на коммутаторе будут следующими:

DGS-3627#show vlan
VID: 1   VLAN Name   : default
VLAN Type: Static Advertisement : Enabled
Member Ports             : 25-27
Static Ports             : 25-27
Current Tagged Ports     :
Current Untagged Ports   : 25-27
Static Tagged Ports      :
Static Untagged Ports    : 25-27
Forbidden Ports          :

VID: 10 VLAN Name        : v10
VLAN Type: Static Advertisement : Disabled
Member Ports             : 13-24
Static Ports             : 13-24
Current Tagged Ports     :
Current Untagged Ports   : 13-24
Static Tagged Ports      :
Static Untagged Ports    : 13-24
Forbidden Ports          :

VID: 20 VLAN Name        : v20
VLAN Type: Static Advertisement : Disabled
Member Ports             : 1-12
Static Ports             : 1-12
Current Tagged Ports     :
Current Untagged Ports   : 1-12
Static Tagged Ports      :
Static Untagged Ports    : 1-12
Forbidden Ports          :

Total Entries    : 3

DGS-3627#show 802.1x auth_state
Command: show 802.1x auth_state
Port  Auth PAE State  Backend State  Port State
1     ForceAuth       Success        Authorized
2     ForceAuth       Success        Authorized
3     ForceAuth       Success        Authorized
4     ForceAuth       Success        Authorized
5     ForceAuth       Success        Authorized
6     ForceAuth       Success        Authorized
7     ForceAuth       Success        Authorized
8     ForceAuth       Success        Authorized
9     ForceAuth       Success        Authorized
10    ForceAuth       Success        Authorized
11    ForceAuth       Success        Authorized
12    ForceAuth       Success        Authorized
13    Disconnected    Idle           Unauthorized
14    Disconnected    Idle           Unauthorized
          .........
22    Connecting      Idle           Unauthorized

После аутентификации клиента текущие настройки VLAN и состояние аутентификации 802.1Х изменятся следующим образом:

DGS-3627#show vlan
VID: 1   VLAN Name   : default
VLAN Type: Static Advertisement : Enabled
Member Ports             : 25-27
Static Ports             : 25-27
Current Tagged Ports     :
Current Untagged Ports   : 25-27
Static Tagged Ports      :
Static Untagged Ports    : 25-27
Forbidden Ports          :

VID: 10 VLAN Name        : v10
VLAN Type: Static Advertisement : Disabled
Member Ports             : 13-21,23-24
Static Ports             : 13-21,23-24
Current Tagged Ports     :
Current Untagged Ports   : 13-21,23-24
Static Tagged Ports      :
Static Untagged Ports    : 13-21,23-24
Forbidden Ports          :

VID: 20 VLAN Name        : v20
VLAN Type: Static Advertisement : Disabled
Member Ports             : 1-12,22
Static Ports             : 1-12,22
Current Tagged Ports     :
Current Untagged Ports   : 1-12,22
Static Tagged Ports      :
Static Untagged Ports    : 1-12,22
Forbidden Ports          :

Total Entries    : 3

DGS-3627#show 802.1x auth_state
Command: show 802.1x auth_state
Port  Auth PAE State  Backend State  Port State
1     ForceAuth       Success        Authorized
2     ForceAuth       Success        Authorized
3     ForceAuth       Success        Authorized
4     ForceAuth       Success        Authorized
5     ForceAuth       Success        Authorized
6     ForceAuth       Success        Authorized
7     ForceAuth       Success        Authorized
8     ForceAuth       Success        Authorized
9     ForceAuth       Success        Authorized
10    ForceAuth       Success        Authorized
11    ForceAuth       Success        Authorized
12    ForceAuth       Success        Authorized
13    Disconnected    Idle           Unauthorized
14    Disconnected    Idle           Unauthorized
          .........
22    Authenticated   Idle           Unauthorized
< Лекция 6 || Практическая работа 13: 123456789 || Практическая работа 14 >
Сергей Некрасов
Сергей Некрасов

Вы уверены, что строка верна?

config vlan v2 add untagged 9-16

Как в таком случае пользователи v2 получат доступ к разделяемым ресурсам? По-моему, должно быть

config vlan v2 add untagged 9-24

Антон Донсков
Антон Донсков

Есть ли какой-либо эмулятор  DES-3200-28 т.к. читать то это читать, а практика оно лучше, а за неимением железки, которая для простого смертного все таки денег стоит, как то тоскливо....