Пред. тема :: След. тема |
Автор |
Сообщение |
Splean
![Splean](/components/com_comprofiler/plugin/templates/default/images/avatar/tnnophoto_n.png)
Сообщения: 873 Зарегистрирован: 24.03.2005
Команда: Валькирия В игре: 2005
|
Splean » 16.01.2012 11:59
|
|
|
Коллеги, а нет ли среди нас человека, знающего как связываются в узел 3 аббревиатуры в названии темы? нужна небольшая консультация.
как мало ты знаешь о алкошахматах, бессмысленных и беспощадных!!! © Gomezz
Ни одна проамериканская маргинальная предательская тварь не помешает нам создавать в стране атмосферу любви и терпимости.
|
|
Вернуться к началу |
|
![](images/spacer.gif) |
Scif
![Scif](/components/com_comprofiler/plugin/templates/default/images/avatar/tnnophoto_n.png)
Сообщения: 5192 Зарегистрирован: 01.08.2006 Откуда: Ярославль-Москва
|
Scif » 16.01.2012 12:13
|
|
|
splean писал(а):Коллеги, а нет ли среди нас человека, знающего как связываются в узел 3 аббревиатуры в названии темы? нужна небольшая консультация.
Только в теории.
802.1X - это "Контроль доступа к сети, основанный на RADIUS".
он про одно, про сложновыдуманные сети.
NAP - это такая хитрая приблуда для того, чтобы клиенту в DHCP выдавать нужный адрес и маску в зависимости от того, что накручено на его компе. он немного про другое.
курсы 6420А, module 11 lesson 2 Radius overview, lesson 3 - network policy server
6419A volume 2 module 12 configuring network access protection
«Our job is not to die for our country, our job is to make the other son-of-a-bitch die for his» © George S. Patton.
Уметь помирать — это еще не все военное дело, а самое большее — полдела. Чтоб немцы помирали, вот что от нас требуется. © Федор Федорович Серпилин. Живые и мертвые. К. Симонов.
|
|
Вернуться к началу |
|
![](images/spacer.gif) |
Splean
![Splean](/components/com_comprofiler/plugin/templates/default/images/avatar/tnnophoto_n.png)
Сообщения: 873 Зарегистрирован: 24.03.2005
Команда: Валькирия В игре: 2005
|
Splean » 16.01.2012 13:54
|
|
|
кто они по отдельности - знаю. но, поскольку с радиусами практически не сталкивался, а нагуглить именно то, что мне нужно не получается - реквестирую помощь ![Smile :)](./images/smilies/icon_smile.gif) мне нужно связкой NAP+Catalist+RADIUS обрубать коннект к сети без выполнения условий политики безопасности. я сделал отказ выдачи адреса на dhcp, но не могу найти, как именно сеть на уровне влана отключать, или переключать в изолированные сети.
как мало ты знаешь о алкошахматах, бессмысленных и беспощадных!!! © Gomezz
Ни одна проамериканская маргинальная предательская тварь не помешает нам создавать в стране атмосферу любви и терпимости.
|
|
Вернуться к началу |
|
![](images/spacer.gif) |
Dinine
![Dinine](/images/comprofiler/tn6257_509cbafe17634.gif)
Сообщения: 79 Зарегистрирован: 02.10.2006
Команда: AAD-01
|
Dinine » 16.01.2012 15:10
|
|
|
А Циска какая?
А Радиус зачем? Имхо, не решит данной проблемы, а лишь усложнит жизнь пользователям (ибо всё равно пользователь сможет передать свой пароль Радиуса другому человеку).
А версия IOS какая?
На Lite, на 2-м левеле точно вариантов обойтись без радиуса, если мне не изменяет память, нет.
На Base посмотреть, точно на память не помню, но там есть как минимум ACL - можно портами порулить, для решения данной задачи, но это творческий процесс.
На третьем левеле проще - Циско подумала за вас. ![Wink ;)](./images/smilies/icon_wink.gif) Сервер лицензирования на самой Циске, но только, если мне не изменяет память на 3-ем левеле, при этом он умеет рулить портами(ап/даун) других Цисок(включая 2-й левел).
Про IBNS вам сюды:
http://www.cisco.com/en/US/products/ps6638/products_ios_protocol_group_home.html
|
|
Вернуться к началу |
|
![](images/spacer.gif) |
Scif
![Scif](/components/com_comprofiler/plugin/templates/default/images/avatar/tnnophoto_n.png)
Сообщения: 5192 Зарегистрирован: 01.08.2006 Откуда: Ярославль-Москва
|
Scif » 16.01.2012 15:28
|
|
|
что-то типа NAP + SHV ?
http://technet.microsoft.com/en-us/libr ... 4150(WS.10).aspx
NAP + Radius
http://technet.microsoft.com/en-us/libr ... 6900(WS.10).aspx
и
http://xgu.ru/wiki/802.1X_в_Cisco
Настройка динамического размещения порта коммутатора в VLAN'е по результатам аутентификации
Поддержка протокола 802.1X позволяет коммутатору помещать порт в различные VLAN'ы в зависимости от результатов аутентификации клиента. Для этого необходимо: Настроить RADIUS-сервер таким образом чтобы он передавал информацию и о принадлежности пользователя к VLAN'у Настроить пулы адресов на DHCP-сервере Настроить на коммутаторе авторизацию на RADIUS-сервере для присвоения номера VLAN'а Настроить на коммутаторе соответствующие VLAN'ы Настройка на коммутаторе авторизации на RADIUS-сервере для присвоения номера VLAN'а: Switch(config)# aaa authorization network default group radius Коммутаторы Cisco поддерживают следующие виды VLAN'ов: Пользовательский VLAN — обычный VLAN созданный администратором Guest VLAN — VLAN в который помещаются клиенты не поддерживающие 802.1X. Коммутатор помещает клиента в guest VLAN когда клиент не отправляет пакеты EAPOL или не отвечает на EAPOL Запрос/Identity Restricted VLAN — в этот VLAN помещаются клиенты не прошедшие аутентификацию Описание процедуры настройки VLAN'ов на коммутаторе Cisco можно прочитать на странице VLAN. Настройка существующего VLAN'а в качестве guest VLAN'а на интерфейсе: Switch(config-if)# dot1x guest-vlan {vlan-id} Настройка существующего VLAN'а в качестве restricted VLAN'а на интерфейсе: Switch(config-if)# dot1x auth-fail vlan {vlan-id}
«Our job is not to die for our country, our job is to make the other son-of-a-bitch die for his» © George S. Patton.
Уметь помирать — это еще не все военное дело, а самое большее — полдела. Чтоб немцы помирали, вот что от нас требуется. © Федор Федорович Серпилин. Живые и мертвые. К. Симонов.
|
|
Вернуться к началу |
|
![](images/spacer.gif) |
Splean
![Splean](/components/com_comprofiler/plugin/templates/default/images/avatar/tnnophoto_n.png)
Сообщения: 873 Зарегистрирован: 24.03.2005
Команда: Валькирия В игре: 2005
|
Splean » 16.01.2012 15:41
|
|
|
Скиф, спасибо - буду курить.
Dinine, циски 3лвл, но я не очень хорошо понимаю, как это сервер лицензирования циски будет чекать включенный фаервол или обновления антивиря.
как мало ты знаешь о алкошахматах, бессмысленных и беспощадных!!! © Gomezz
Ни одна проамериканская маргинальная предательская тварь не помешает нам создавать в стране атмосферу любви и терпимости.
|
|
Вернуться к началу |
|
![](images/spacer.gif) |
Dinine
![Dinine](/images/comprofiler/tn6257_509cbafe17634.gif)
Сообщения: 79 Зарегистрирован: 02.10.2006
Команда: AAD-01
|
Dinine » 16.01.2012 15:46
|
|
|
splean писал(а):Dinine, циски 3лвл, но я не очень хорошо понимаю, как это сервер лицензирования циски будет чекать включенный фаервол или обновления антивиря.
Он "чекает", эээ, ммм, второй(третий?) левел модели OSI. Мак легко поменять.
|
|
Вернуться к началу |
|
![](images/spacer.gif) |
copper
![copper](/components/com_comprofiler/plugin/templates/default/images/avatar/tnnophoto_n.png)
Сообщения: 128 Зарегистрирован: 02.05.2006
Команда: MARLON
|
copper » 18.01.2012 10:19
|
|
|
splean писал(а):кто они по отдельности - знаю. но, поскольку с радиусами практически не сталкивался, а нагуглить именно то, что мне нужно не получается - реквестирую помощь ![Smile :)](./images/smilies/icon_smile.gif) мне нужно связкой NAP+Catalist+RADIUS обрубать коннект к сети без выполнения условий политики безопасности. я сделал отказ выдачи адреса на dhcp, но не могу найти, как именно сеть на уровне влана отключать, или переключать в изолированные сети.
А как сеть-то организована? Vlan per client? Не проще ли скриптом по SNMP клиентский порт отключить? Опять же если через 802.1x как? Port based, host based? Radius-сервер какой?
|
|
Вернуться к началу |
|
![](images/spacer.gif) |
Splean
![Splean](/components/com_comprofiler/plugin/templates/default/images/avatar/tnnophoto_n.png)
Сообщения: 873 Зарегистрирован: 24.03.2005
Команда: Валькирия В игре: 2005
|
Splean » 19.01.2012 10:35
|
|
|
по традиции технета - искал я вот эту ссылку http://amaksimov.wordpress.com/tag/radius/
спасибо всем ![Smile :)](./images/smilies/icon_smile.gif)
как мало ты знаешь о алкошахматах, бессмысленных и беспощадных!!! © Gomezz
Ни одна проамериканская маргинальная предательская тварь не помешает нам создавать в стране атмосферу любви и терпимости.
|
|
Вернуться к началу |
|
![](images/spacer.gif) |
|