URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23789
[ Назад ]

Исходное сообщение
"cisco ap как аутентификатор в связке с RADIUS-сервером"

Отправлено XeV , 16-Май-12 08:22 
Здравствуйте.
В компании имеются точки доступа cisco ap1130
Постоянно приходят клиенты со своими ноутбуками на несколько часов, необходимо давать им выход в интернет.
Ранее мне посоветовали на форуме сделать схему с использованием 802.1x
Но в таком случае я так понимаю давать точкой доступа гостевой vlan (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь сам порт в который воткнута точка так переводить в другой vlan. Но это по понятным причинам не подходит
Подскажите так ли это?как можно решить сей вопрос?

Содержание

Сообщения в этом обсуждении
"cisco ap как аутентификатор в связке с RADIUS-сервером"
Отправлено eek , 16-Май-12 09:13 
> как можно решить сей вопрос?

Обратитесь в интегратор с четким тех заданием.



"cisco ap как аутентификатор в связке с RADIUS-сервером"
Отправлено XeV , 16-Май-12 09:16 
>> как можно решить сей вопрос?
> Обратитесь в интегратор с четким тех заданием.

этот вариант по понятным причинам не приемлим.


"cisco ap как аутентификатор в связке с RADIUS-сервером"
Отправлено Николай_kv , 16-Май-12 10:20 
> Здравствуйте.
> В компании имеются точки доступа cisco ap1130
> Постоянно приходят клиенты со своими ноутбуками на несколько часов, необходимо давать им
> выход в интернет.
> Ранее мне посоветовали на форуме сделать схему с использованием 802.1x
> Но в таком случае я так понимаю давать точкой доступа гостевой vlan
> (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь
> сам порт в который воткнута точка так переводить в другой vlan.
> Но это по понятным причинам не подходит
> Подскажите так ли это?как можно решить сей вопрос?

Судя по всему вы плохо поняли работу 802.1x.

вам эта строка конфига ни о чем не говорит?

dot1x guest-vlan 35 !и
dot1x auth-fail vlan 35

Guest VLAN — VLAN в который помещаются клиенты не поддерживающие 802.1X.


"cisco ap как аутентификатор в связке с RADIUS-сервером"
Отправлено XeV , 16-Май-12 11:13 
>[оверквотинг удален]
>> Но в таком случае я так понимаю давать точкой доступа гостевой vlan
>> (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь
>> сам порт в который воткнута точка так переводить в другой vlan.
>> Но это по понятным причинам не подходит
>> Подскажите так ли это?как можно решить сей вопрос?
> Судя по всему вы плохо поняли работу 802.1x.
> вам эта строка конфига ни о чем не говорит?
>  dot1x guest-vlan 35 !и
>  dot1x auth-fail vlan 35
> Guest VLAN — VLAN в который помещаются клиенты не поддерживающие 802.1X.

так работает только на коммутаторе!с коммутаторами проблем действительно нет!
Вопрос как заставить точку доступа это делать?


"cisco ap как аутентификатор в связке с RADIUS-сервером"
Отправлено Pve1 , 17-Май-12 12:07 
> Здравствуйте.
> В компании имеются точки доступа cisco ap1130
> Постоянно приходят клиенты со своими ноутбуками на несколько часов, необходимо давать им
> выход в интернет.
> Ранее мне посоветовали на форуме сделать схему с использованием 802.1x
> Но в таком случае я так понимаю давать точкой доступа гостевой vlan
> (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь
> сам порт в который воткнута точка так переводить в другой vlan.
> Но это по понятным причинам не подходит
> Подскажите так ли это?как можно решить сей вопрос?

На указанной точке доступа можно сделать несколько сетей с разными SSID в разных VLAN.

МОжно некоторые вообще без шифрования делать.

Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов назначать.

Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее в гостевой влан.

МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.


"cisco ap как аутентификатор в связке с RADIUS-сервером"
Отправлено XeV , 17-Май-12 13:38 
>[оверквотинг удален]
>> Но это по понятным причинам не подходит
>> Подскажите так ли это?как можно решить сей вопрос?
> На указанной точке доступа можно сделать несколько сетей с разными SSID в
> разных VLAN.
> МОжно некоторые вообще без шифрования делать.
> Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов
> назначать.
> Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее
> в гостевой влан.
> МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.

Спасибо за развернутый ответ!
> На указанной точке доступа можно сделать несколько сетей с разными SSID в
> разных VLAN.

Это всмысле примерно вот так?
1. Бью интерфейс Ge 0 на 2 саба с инкапсуляцией dot1q и vlan 10 и 20
2. Бью интерфейс Radio 0 на 2 саба с инкапсуляцией dot1q и vlan 10 и 20, и 2 разными SSID.
3. Создаю 2 бриджа, и привязываю Ge 0.1 к Radio 0.1 бриджем 1, Ge 0.1 к Radio 0.2 бриджем 2
4. На коммутаторе перевожу порт от 1141 в режим tagged и включаю его в обе подсети.
> Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов
> назначать.
> Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее
> в гостевой влан.

Думал так сделать, но
Я так понимаю тут нужно будет каждому юзеру ставить сертификат чтобы аутентифицироватся на радиусе как устройство чтобы получить доступ в сеть?это неочень подходит.
> МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.

А в таком случае разве можно определять vlan?


"cisco ap как аутентификатор в связке с RADIUS-сервером"
Отправлено Pve1 , 18-Май-12 11:17 
В целом по multi SSID -  ты все правильно понял.
Еще для управления рекомендуется создать отдельный VLAN - он обязательно на точка нативный.

> Думал так сделать, но
> Я так понимаю тут нужно будет каждому юзеру ставить сертификат чтобы аутентифицироватся
> на радиусе как устройство чтобы получить доступ в сеть?это неочень подходит.

Есть 2 современных и широко используемых метода:
1.) EAP-TLS - аутентификация по сертификатам. Самый безопасный, но очень сложный в поддержке и реализкации, особенно в разнообразном парке устройств, требующий высокой квалификации сотрудтиков поддержки. Периодически возникают проблемы.
2.) EAP-MSCHAP-v2 - аутентификация по логину/хешу пароля. Аутентификаци проходит внутри SSL тунеля, постороенного на базе сертификата сервера. По сути тоже весьма безопасный вариант, и много лучше PSK.  Бес проблемно работает с большинством современных устройств и гаджетов.  Машинная аутентификация для доменных компов так же нормально работает на основе учетной записи компьютера.


>> МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.
> А в таком случае разве можно определять vlan?

Для автономных точек, на сколько я знаю - нет.  А зачем для гостей назначать VLAN? У тебя же и так отдельный SSID в отдельном VLAN?



"cisco ap как аутентификатор в связке с RADIUS-сервером"
Отправлено XeV , 18-Май-12 12:38 
>Есть 2 современных и широко используемых метода:
>1.) EAP-TLS - аутентификация по сертификатам. Самый безопасный, но очень сложный в >поддержке и реализкации, особенно в разнообразном парке устройств, требующий высокой >квалификации сотрудтиков поддержки. Периодически возникают проблемы.
>2.) EAP-MSCHAP-v2 - аутентификация по логину/хешу пароля. Аутентификаци проходит внутри >SSL тунеля, постороенного на базе сертификата сервера. По сути тоже весьма безопасный >вариант, и много лучше PSK.  Бес проблемно работает с большинством современных устройств >и гаджетов.  Машинная аутентификация для доменных компов так же нормально работает на >основе учетной записи компьютера.

Тут я так понимаю нужны дополнителоьные манипуляции со стороны клиента, тоесть добавление ему новой сети, неподходит так как необходимо максимально просто все реальзовать. Человек пришел - подключился, без доп. настроек

> Для автономных точек, на сколько я знаю - нет.  А зачем
> для гостей назначать VLAN? У тебя же и так отдельный SSID
> в отдельном VLAN?

у меня все точки вещают разные ssid но с vlan1 который по умолчанию.
Сейчас пытаюсь сделать чтобы точка вещала 2 ссида с разными vlan но чуствую пустой номер все это.

Подскажи пжл каким способом лучше реализовать?
Необходимо чтобы люди с ноутбуками пришедшие в компанию подключались к точке и получали гостевой vlan тоесть другую подсеть отличную от той которую получают юзеры компании!
И все!
Вопрос безопасности не интересует вообще!
Лижбы работало...


"cisco ap как аутентификатор в связке с RADIUS-сервером"
Отправлено Pve1 , 18-Май-12 15:32 
Да сделай отдельную сеть SSID в отдельном DMZ VLAN для гостей с WPA-PSK.
Карточки с паролем на ресепшене выдавать.

"cisco ap как аутентификатор в связке с RADIUS-сервером"
Отправлено XeV , 21-Май-12 08:43 
> Да сделай отдельную сеть SSID в отдельном DMZ VLAN для гостей с
> WPA-PSK.
> Карточки с паролем на ресепшене выдавать.

ну опять же все упирается в точку доступа которая должна вещать 2 ssid с разными vlan. у меня пока с этим затруднения, DHCP в них почему то не отдается.
вот конфиг точки

ap#sh run
Building configuration...

Current configuration : 3146 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 xxxxxxxxxxxxxxxxxx
!
led display alternate
ip subnet-zero
!
!
no aaa new-model
dot11 mbssid
dot11 vlan-name AIR vlan 1
dot11 vlan-name GUEST vlan 102
!
dot11 ssid AIR
   vlan 1
   authentication open
   authentication key-management wpa
   mbssid guest-mode
   wpa-psk ascii 7 xxxxxxxxxxx
!
dot11 ssid GUEST
   vlan 102
   authentication open
   authentication key-management wpa
   mbssid guest-mode
   wpa-psk ascii 7 xxxxxxxxx
!
power inline negotiation prestandard source
!
!
username admin password 7 xxxxxxxx
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 102 mode ciphers tkip
!
encryption vlan 1 mode ciphers tkip
!
ssid AIR
!
ssid GUEST
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
ip address 192.168.1.246 255.255.255.0
no ip unreachables
no ip proxy-arp
no ip route-cache
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.102
encapsulation dot1Q 102
ip address 192.168.2.100 255.255.255.0
no ip route-cache
no cdp enable
bridge-group 102
bridge-group 102 subscriber-loop-control
bridge-group 102 block-unknown-source
no bridge-group 102 source-learning
no bridge-group 102 unicast-flooding
bridge-group 102 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
no dfs band block
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
channel dfs
station-role root access-point
world-mode legacy
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
hold-queue 160 in
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0.102
encapsulation dot1Q 102
no ip route-cache
bridge-group 102
bridge-group 102 subscriber-loop-control
bridge-group 102 block-unknown-source
no bridge-group 102 source-learning
no bridge-group 102 unicast-flooding
bridge-group 102 spanning-disabled
!
interface BVI1
ip address 192.168.1.247 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.251
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
!
end

vlan 1 b vlan 102 подняты на главном маршрутизаторе. в 102 раздает циска DHCP а в vlan1 - DC.
а вот порт коммутатора просто в транк, так как распилить интерфейс не получается изза отсутсвия адекватной команднеой строки...


"cisco ap как аутентификатор в связке с RADIUS-сервером"
Отправлено root0 , 25-Май-12 10:23 
Вот правильный конфиг с mbssid

dot11 vlan-name Native vlan 1
dot11 vlan-name ODS-Fisch.Access-v648 vlan 648
!
dot11 ssid Interlink
   vlan 1
   authentication open
   authentication key-management wpa version 2
   infrastructure-ssid
   wpa-psk ascii 7 xxx
   no ids mfp client
!
dot11 ssid Interlink-N
   vlan 648
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode dtim-period 1
   wpa-psk ascii 7 xxx
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
encryption vlan 1 mode ciphers aes-ccm
!
encryption vlan 648 mode ciphers aes-ccm
!
ssid Interlink
!
ssid Interlink-N
!
traffic-metrics aggregate-report
mbssid
speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
power local 11
packet max-retries 3 0 fail-threshold 100 500 priority 5 drop-packet
packet max-retries 3 0 fail-threshold 100 500 priority 6 drop-packet
packet speed  5.5 11.0 6.0 12.0 24.0 priority 6
channel least-congested 2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462
station-role root access-point
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.648
encapsulation dot1Q 648
no ip route-cache
no cdp enable
bridge-group 255
bridge-group 255 subscriber-loop-control
bridge-group 255 block-unknown-source
no bridge-group 255 source-learning
no bridge-group 255 unicast-flooding
bridge-group 255 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
no cdp enable
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface FastEthernet0.648
encapsulation dot1Q 648
no ip route-cache
no cdp enable
bridge-group 255
no bridge-group 255 source-learning
bridge-group 255 spanning-disabled


"cisco ap как аутентификатор в связке с RADIUS-сервером"
Отправлено XeV , 25-Май-12 10:51 
>[оверквотинг удален]
>  no bridge-group 1 source-learning
>  bridge-group 1 spanning-disabled
> !
> interface FastEthernet0.648
>  encapsulation dot1Q 648
>  no ip route-cache
>  no cdp enable
>  bridge-group 255
>  no bridge-group 255 source-learning
>  bridge-group 255 spanning-disabled

Спасибо! У меня конфиг получился один в один, только раздать DHCP в первый vlan не получилось. Пришлось делать 2, один гостевой а другой под вайфай клиентов в оба раздает адреса cisco 1841. Тема закрыта!


"cisco ap как аутентификатор в связке с RADIUS-сервером"
Отправлено root0 , 25-Май-12 11:15 
Если быть внимательным то конфиг не один в один - у Вас неправильный вот и не работает DHCP в первом влане :) Если что-то не получается то зайди через веб морду там более расширенная информация :)