| Пред. тема :: След. тема |
| Автор |
Сообщение |
Splean
Сообщения: 873
Зарегистрирован: 24.03.2005
Команда: Валькирия
В игре: 2005
|
 Splean » 16.01.2012 11:59
|
|
|
|
Коллеги, а нет ли среди нас человека, знающего как связываются в узел 3 аббревиатуры в названии темы? нужна небольшая консультация.
как мало ты знаешь о алкошахматах, бессмысленных и беспощадных!!! © Gomezz
Ни одна проамериканская маргинальная предательская тварь не помешает нам создавать в стране атмосферу любви и терпимости.
|
|
| Вернуться к началу |
|
 |
Scif
Сообщения: 5192
Зарегистрирован: 01.08.2006
Откуда: Ярославль-Москва
|
|
Scif » 16.01.2012 12:13
|
|
|
splean писал(а):Коллеги, а нет ли среди нас человека, знающего как связываются в узел 3 аббревиатуры в названии темы? нужна небольшая консультация.
Только в теории.
802.1X - это "Контроль доступа к сети, основанный на RADIUS".
он про одно, про сложновыдуманные сети.
NAP - это такая хитрая приблуда для того, чтобы клиенту в DHCP выдавать нужный адрес и маску в зависимости от того, что накручено на его компе. он немного про другое.
курсы 6420А, module 11 lesson 2 Radius overview, lesson 3 - network policy server
6419A volume 2 module 12 configuring network access protection «Our job is not to die for our country, our job is to make the other son-of-a-bitch die for his» © George S. Patton.
Уметь помирать — это еще не все военное дело, а самое большее — полдела. Чтоб немцы помирали, вот что от нас требуется. © Федор Федорович Серпилин. Живые и мертвые. К. Симонов.
|
|
| Вернуться к началу |
|
|
Splean
Сообщения: 873
Зарегистрирован: 24.03.2005
Команда: Валькирия
В игре: 2005
|
|
Splean » 16.01.2012 13:54
|
|
|
кто они по отдельности - знаю. но, поскольку с радиусами практически не сталкивался, а нагуглить именно то, что мне нужно не получается - реквестирую помощь  мне нужно связкой NAP+Catalist+RADIUS обрубать коннект к сети без выполнения условий политики безопасности. я сделал отказ выдачи адреса на dhcp, но не могу найти, как именно сеть на уровне влана отключать, или переключать в изолированные сети. как мало ты знаешь о алкошахматах, бессмысленных и беспощадных!!! © Gomezz
Ни одна проамериканская маргинальная предательская тварь не помешает нам создавать в стране атмосферу любви и терпимости.
|
|
| Вернуться к началу |
|
|
Dinine
Сообщения: 79
Зарегистрирован: 02.10.2006
Команда: AAD-01
|
|
Dinine » 16.01.2012 15:10
|
|
|
А Циска какая?
А Радиус зачем? Имхо, не решит данной проблемы, а лишь усложнит жизнь пользователям (ибо всё равно пользователь сможет передать свой пароль Радиуса другому человеку).
А версия IOS какая?
На Lite, на 2-м левеле точно вариантов обойтись без радиуса, если мне не изменяет память, нет.
На Base посмотреть, точно на память не помню, но там есть как минимум ACL - можно портами порулить, для решения данной задачи, но это творческий процесс. 
На третьем левеле проще - Циско подумала за вас. Сервер лицензирования на самой Циске, но только, если мне не изменяет память на 3-ем левеле, при этом он умеет рулить портами(ап/даун) других Цисок(включая 2-й левел).
Про IBNS вам сюды:
http://www.cisco.com/en/US/products/ps6638/products_ios_protocol_group_home.html |
|
| Вернуться к началу |
|
|
Scif
Сообщения: 5192
Зарегистрирован: 01.08.2006
Откуда: Ярославль-Москва
|
|
Scif » 16.01.2012 15:28
|
|
|
что-то типа NAP + SHV ?
http://technet.microsoft.com/en-us/libr ... 4150(WS.10).aspx
NAP + Radius
http://technet.microsoft.com/en-us/libr ... 6900(WS.10).aspx
и
http://xgu.ru/wiki/802.1X_в_Cisco
Настройка динамического размещения порта коммутатора в VLAN'е по результатам аутентификации
Поддержка протокола 802.1X позволяет коммутатору помещать порт в различные VLAN'ы в зависимости от результатов аутентификации клиента. Для этого необходимо:
Настроить RADIUS-сервер таким образом чтобы он передавал информацию и о принадлежности пользователя к VLAN'у
Настроить пулы адресов на DHCP-сервере
Настроить на коммутаторе авторизацию на RADIUS-сервере для присвоения номера VLAN'а
Настроить на коммутаторе соответствующие VLAN'ы
Настройка на коммутаторе авторизации на RADIUS-сервере для присвоения номера VLAN'а:
Switch(config)# aaa authorization network default group radius
Коммутаторы Cisco поддерживают следующие виды VLAN'ов:
Пользовательский VLAN — обычный VLAN созданный администратором
Guest VLAN — VLAN в который помещаются клиенты не поддерживающие 802.1X. Коммутатор помещает клиента в guest VLAN когда клиент не отправляет пакеты EAPOL или не отвечает на EAPOL Запрос/Identity
Restricted VLAN — в этот VLAN помещаются клиенты не прошедшие аутентификацию
Описание процедуры настройки VLAN'ов на коммутаторе Cisco можно прочитать на странице VLAN.
Настройка существующего VLAN'а в качестве guest VLAN'а на интерфейсе:
Switch(config-if)# dot1x guest-vlan {vlan-id}
Настройка существующего VLAN'а в качестве restricted VLAN'а на интерфейсе:
Switch(config-if)# dot1x auth-fail vlan {vlan-id}
«Our job is not to die for our country, our job is to make the other son-of-a-bitch die for his» © George S. Patton.
Уметь помирать — это еще не все военное дело, а самое большее — полдела. Чтоб немцы помирали, вот что от нас требуется. © Федор Федорович Серпилин. Живые и мертвые. К. Симонов.
|
|
| Вернуться к началу |
|
|
Splean
Сообщения: 873
Зарегистрирован: 24.03.2005
Команда: Валькирия
В игре: 2005
|
|
Splean » 16.01.2012 15:41
|
|
|
|
Скиф, спасибо - буду курить.
Dinine, циски 3лвл, но я не очень хорошо понимаю, как это сервер лицензирования циски будет чекать включенный фаервол или обновления антивиря.
как мало ты знаешь о алкошахматах, бессмысленных и беспощадных!!! © Gomezz
Ни одна проамериканская маргинальная предательская тварь не помешает нам создавать в стране атмосферу любви и терпимости.
|
|
| Вернуться к началу |
|
|
Dinine
Сообщения: 79
Зарегистрирован: 02.10.2006
Команда: AAD-01
|
|
Dinine » 16.01.2012 15:46
|
|
|
splean писал(а):Dinine, циски 3лвл, но я не очень хорошо понимаю, как это сервер лицензирования циски будет чекать включенный фаервол или обновления антивиря.
Он "чекает", эээ, ммм, второй(третий?) левел модели OSI. Мак легко поменять. |
|
| Вернуться к началу |
|
|
copper
Сообщения: 128
Зарегистрирован: 02.05.2006
Команда: MARLON
|
|
copper » 18.01.2012 10:19
|
|
|
splean писал(а):кто они по отдельности - знаю. но, поскольку с радиусами практически не сталкивался, а нагуглить именно то, что мне нужно не получается - реквестирую помощь мне нужно связкой NAP+Catalist+RADIUS обрубать коннект к сети без выполнения условий политики безопасности. я сделал отказ выдачи адреса на dhcp, но не могу найти, как именно сеть на уровне влана отключать, или переключать в изолированные сети.
А как сеть-то организована? Vlan per client? Не проще ли скриптом по SNMP клиентский порт отключить? Опять же если через 802.1x как? Port based, host based? Radius-сервер какой? |
|
| Вернуться к началу |
|
|
Splean
Сообщения: 873
Зарегистрирован: 24.03.2005
Команда: Валькирия
В игре: 2005
|
|
Splean » 19.01.2012 10:35
|
|
|
по традиции технета - искал я вот эту ссылку http://amaksimov.wordpress.com/tag/radius/
спасибо всем как мало ты знаешь о алкошахматах, бессмысленных и беспощадных!!! © Gomezz
Ни одна проамериканская маргинальная предательская тварь не помешает нам создавать в стране атмосферу любви и терпимости.
|
|
| Вернуться к началу |
|
|
|
