Назад в прошлое. 802.1x на коммутаторах 3Com
Общая
Сегодня пришлось столкнуться с очень старым коммутатором от давно почтившей нас компании 3Сom. Было необходимо настроить на коммутаторе 802.1x а так же авторизацию средствами NAP сервера от компании Microsoft на базе Server 2012R2.
На просторах интернета оказалось практически не возможно найти информацию о настройке коммутаторов 3Com и я решил сделать небольшую заметку себе на память (вдруг когда нибудь пригодится).
Настройка политик NAP сервера
Итак: политику настройки доступа к сети и переключения на нужный VLAN после авторизации можно посмотреть тут.
Для настройки авторизации средствами NAP необходимо создать дополнительную политику в условиях которой надо указать группу пользователей которым разрешена авторизация. Метод проверки подлинности установить Проверка открытым текстом (PAP, SPAP)
. В атрибутах RADIUS указать стандартный атрибут Service-Type
с значением Login
. Данная политика универсальна и может применяться для авторизации на коммутаторах Сisco.
Настройка коммутатора 3Com
Настраиваем схему RADIUS сервера
radius scheme ИМЯ
server-type standard
primary authentication IP-адрес первичного сервера
primary accounting IP-адрес первичного сервера
secondary authentication IP-адрес вторичного сервера
secondary accounting IP-адрес вторичного сервера
accounting optional
key authentication ключ RADIUS-клиента
key accounting ключ RADIUS-клиента
timer realtime-accounting 15
timer response-timeout 5
retry 5
user-name-format without-domain
nas-ip IP-адрес коммутатора
calling-station-id mode mode2 uppercase
Настройка домена
domain ИМЯ
scheme radius-scheme ИМЯ RADIUS СХЕМЫ local
scheme lan-access radius-scheme ИМЯ RADIUS СХЕМЫ
scheme login local
accounting lan-access radius-scheme ИМЯ RADIUS СХЕМЫ
authentication login radius-scheme ИМЯ RADIUS СХЕМЫ local
accounting login radius-scheme ИМЯ RADIUS СХЕМЫ local
vlan-assignment-mode string
access-limit enable 60
idle-cut enable 20 2000
После напишем Quite
и укажем домен по умолчанию:
domain default enable ИМЯ ДОМЕНА
Настройка dot1x
Глобально применим настройки
dot1x
dot1x authentication-method eap
После этого настроим нужные нам порты коммутатора:
dot1x port-method portbased
dot1x guest-vlan НОМЕР VLAN
dot1x
dot1x re-authenticate
Нужные VLAN сети необходимо указать коммутатору.
Настройка авторизации
Глобальные команды
ssh authentication-type default password
ssh server authentication-retries 5
Настройка интерфейса
user-interface vty 0 15
authentication-mode scheme
Создать пароль на суперпользователя
super password level 3 ПАРОЛЬ
Отключить срок действия пароля
undo password-control aging enable
Поиск проблем
Для включения Debug на dot1x и RADIUS
debugging radius packet
debugging dot1x all
Для вывода Debug информации
terminal debugging
- Просмотров: 12845