Назад в прошлое. 802.1x на коммутаторах 3Com

Main

Оценка: 84% - 12 Голосов

Общая

Сегодня пришлось столкнуться с очень старым коммутатором от давно почтившей нас компании 3Сom. Было необходимо настроить на коммутаторе 802.1x а так же авторизацию средствами NAP сервера от компании Microsoft на базе Server 2012R2.

На просторах интернета оказалось практически не возможно найти информацию о настройке коммутаторов 3Com и я решил сделать небольшую заметку себе на память (вдруг когда нибудь пригодится).

Настройка политик NAP сервера

Итак: политику настройки доступа к сети и переключения на нужный VLAN после авторизации можно посмотреть тут.

Для настройки авторизации средствами NAP необходимо создать дополнительную политику в условиях которой надо указать группу пользователей которым разрешена авторизация. Метод проверки подлинности установить Проверка открытым текстом (PAP, SPAP). В атрибутах RADIUS указать стандартный атрибут Service-Type с значением Login. Данная политика универсальна и может применяться для авторизации на коммутаторах Сisco.

 

Настройка коммутатора 3Com
Настраиваем схему RADIUS сервера


 radius scheme ИМЯ
 server-type standard
 primary authentication IP-адрес первичного сервера
 primary accounting IP-адрес первичного сервера
 secondary authentication IP-адрес вторичного сервера
 secondary accounting IP-адрес вторичного сервера
 accounting optional
 key authentication ключ RADIUS-клиента
 key accounting ключ RADIUS-клиента
 timer realtime-accounting 15
 timer response-timeout 5
 retry 5
 user-name-format without-domain
 nas-ip IP-адрес коммутатора
 calling-station-id mode mode2 uppercase

 

Настройка домена


 domain ИМЯ
 scheme radius-scheme ИМЯ RADIUS СХЕМЫ local
 scheme lan-access radius-scheme ИМЯ RADIUS СХЕМЫ
 scheme login local
 accounting lan-access radius-scheme ИМЯ RADIUS СХЕМЫ
 authentication login radius-scheme ИМЯ RADIUS СХЕМЫ local
 accounting login radius-scheme ИМЯ RADIUS СХЕМЫ local
 vlan-assignment-mode string
 access-limit enable 60
 idle-cut enable 20 2000

После напишем Quite и укажем домен по умолчанию:


 domain default enable ИМЯ ДОМЕНА

 

Настройка dot1x

Глобально применим настройки


 dot1x
 dot1x authentication-method eap

 

После этого настроим нужные нам порты коммутатора:


 dot1x port-method portbased
 dot1x guest-vlan НОМЕР VLAN
 dot1x
 dot1x re-authenticate

 

Нужные VLAN сети необходимо указать коммутатору.

 

Настройка авторизации

Глобальные команды


 ssh authentication-type default password
 ssh server authentication-retries 5

Настройка интерфейса


 user-interface vty 0 15
 authentication-mode scheme

Создать пароль на суперпользователя


super password level 3 ПАРОЛЬ

 

Отключить срок действия пароля


undo password-control aging enable

 

Поиск проблем

Для включения Debug на dot1x и RADIUS
debugging radius packet
debugging dot1x all

Для вывода Debug информации


terminal debugging

 

  • Просмотров: 11610
Добавить комментарий