āĻāĻ˛ā§āĻ¨ āĻ
āĻ¨ā§āĻļā§āĻ˛āĻ¨ā§ Windows Active Directory + NPS (2 āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻĢāĻ˛ā§āĻ āĻāĻ˛āĻžāĻ°ā§āĻ¨ā§āĻ¸) + 802.1x āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ā§āĻĄāĻžāĻ°ā§āĻĄ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻĻā§āĻ° āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻāĻŦāĻ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ - āĻĄā§āĻŽā§āĻ¨ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ° - āĻĄāĻŋāĻāĻžāĻāĻ¸āĻā§āĻ˛āĻŋāĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻŦāĻŋāĻŦā§āĻāĻ¨āĻž āĻāĻ°āĻž āĻ¯āĻžāĻāĨ¤ āĻāĻĒāĻ¨āĻŋ āĻ˛āĻŋāĻā§āĻā§ āĻāĻāĻāĻŋāĻĒāĻŋāĻĄāĻŋāĻ¯āĻŧāĻžāĻ° āĻŽāĻžāĻ¨ āĻ
āĻ¨ā§āĻ¯āĻžāĻ¯āĻŧā§ āĻ¤āĻ¤ā§āĻ¤ā§āĻŦā§āĻ° āĻ¸āĻžāĻĨā§ āĻĒāĻ°āĻŋāĻāĻŋāĻ¤ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨:
āĻ¯ā§āĻšā§āĻ¤ā§ āĻāĻŽāĻžāĻ° "āĻ˛ā§āĻ¯āĻžāĻŦāĻ°ā§āĻāĻ°āĻŋ" āĻ¸āĻŽā§āĻĒāĻĻā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻ¸ā§āĻŽāĻŋāĻ¤, āĻ¤āĻžāĻ NPS āĻāĻŦāĻ āĻĄā§āĻŽā§āĻ¨ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛āĻžāĻ°ā§āĻ° āĻā§āĻŽāĻŋāĻāĻž āĻ¸āĻžāĻŽāĻā§āĻāĻ¸ā§āĻ¯āĻĒā§āĻ°ā§āĻŖ, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻāĻŽāĻŋ āĻ¸ā§āĻĒāĻžāĻ°āĻŋāĻļ āĻāĻ°āĻāĻŋ āĻ¯ā§ āĻāĻĒāĻ¨āĻŋ āĻāĻ āĻ§āĻ°āĻ¨ā§āĻ° āĻā§āĻ°ā§āĻ¤ā§āĻŦāĻĒā§āĻ°ā§āĻŖ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻžāĻā§āĻ˛āĻŋāĻā§ āĻāĻ˛āĻžāĻĻāĻž āĻāĻ°ā§āĻ¨ā§ˇ
āĻāĻŽāĻŋ Windows NPS-āĻāĻ° āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ (āĻ¨ā§āĻ¤āĻŋāĻā§āĻ˛āĻŋ) āĻ¸āĻŋāĻā§āĻā§āĻ°ā§āĻ¨āĻžāĻāĻ āĻāĻ°āĻžāĻ° āĻŽāĻžāĻ¨āĻ āĻāĻĒāĻžāĻ¯āĻŧāĻā§āĻ˛āĻŋ āĻāĻžāĻ¨āĻŋ āĻ¨āĻž, āĻ¤āĻžāĻ āĻāĻŽāĻ°āĻž āĻāĻžāĻ¸ā§āĻ āĻļāĻŋāĻĄāĻŋāĻāĻ˛āĻžāĻ°ā§āĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻžāĻ˛ā§ āĻāĻ°āĻž PowerShell āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻāĻā§āĻ˛āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻŦ (āĻ˛ā§āĻāĻ āĻāĻŽāĻžāĻ° āĻĒā§āĻ°āĻžāĻā§āĻ¤āĻ¨ āĻ¸āĻšāĻāĻ°ā§āĻŽā§)āĨ¤ āĻĄā§āĻŽā§āĻ¨ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°ā§āĻ° āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻŦāĻ āĻĄāĻŋāĻāĻžāĻāĻ¸āĻā§āĻ˛āĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻ¯ā§āĻā§āĻ˛āĻŋ āĻā§āĻāĻžāĻŦā§ āĻāĻžāĻ¨āĻŋ āĻ¨āĻž 802.1x (āĻĢā§āĻ¨, āĻĒā§āĻ°āĻŋāĻ¨ā§āĻāĻžāĻ°, āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋ), āĻā§āĻ°ā§āĻĒ āĻ¨ā§āĻ¤āĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻž āĻšāĻŦā§ āĻāĻŦāĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻā§āĻ°ā§āĻĒ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻŦā§āĨ¤
āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§ā§āĻ° āĻļā§āĻˇā§ āĻāĻŽāĻŋ 802.1x āĻāĻ° āĻ¸āĻžāĻĨā§ āĻāĻžāĻ āĻāĻ°āĻžāĻ° āĻāĻŋāĻā§ āĻāĻāĻŋāĻ˛āĻ¤āĻž āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻāĻĨāĻž āĻŦāĻ˛āĻŦ - āĻāĻĒāĻ¨āĻŋ āĻā§āĻāĻžāĻŦā§ āĻ
āĻŦā§āĻ¯āĻŦāĻ¸ā§āĻĨāĻžāĻĒāĻŋāĻ¤ āĻ¸ā§āĻāĻ, āĻāĻ¤āĻŋāĻļā§āĻ˛ ACL, āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤ āĻāĻŽāĻŋ āĻ§āĻ°āĻž "āĻā§āĻ˛āĻāĻ¸" āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻ¤āĻĨā§āĻ¯ āĻļā§āĻ¯āĻŧāĻžāĻ° āĻāĻ°āĻŦ ...
āĻāĻāĻ¨ā§āĻĄā§āĻ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° 2012R2-āĻ āĻĢā§āĻāĻ˛āĻāĻāĻžāĻ° āĻāĻ¨āĻĒāĻŋāĻāĻ¸ āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻŦāĻ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻž āĻļā§āĻ°ā§ āĻāĻ°āĻž āĻ¯āĻžāĻ (2016 āĻ¸āĻžāĻ˛ā§ āĻ¸āĻŦāĻāĻŋāĻā§ āĻāĻāĻ): āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻŽā§āĻ¯āĻžāĻ¨ā§āĻāĻžāĻ° -> āĻā§āĻŽāĻŋāĻāĻž āĻāĻŦāĻ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻ¯ā§āĻ āĻāĻ°ā§āĻ¨ āĻāĻāĻāĻžāĻ°ā§āĻĄā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§, āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ¨ā§āĻ¤āĻŋ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻ¨āĻŋāĻ°ā§āĻŦāĻžāĻāĻ¨ āĻāĻ°ā§āĻ¨āĨ¤
āĻ
āĻĨāĻŦāĻž PowerShell āĻāĻ° āĻ¸āĻžāĻĨā§:
Install-WindowsFeature NPAS -IncludeManagementTools
āĻāĻāĻāĻŋ āĻā§āĻ āĻ¸ā§āĻĒāĻˇā§āĻā§āĻāĻ°āĻŖ - āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻ¸ā§āĻ°āĻā§āĻˇāĻŋāĻ¤ EAP (PEAP) āĻāĻĒāĻ¨āĻžāĻ° āĻ āĻŦāĻļā§āĻ¯āĻ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§āĻ° āĻ¸āĻ¤ā§āĻ¯āĻ¤āĻž āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ°ā§āĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ āĻšāĻŦā§ (āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°ā§āĻ° āĻāĻĒāĻ¯ā§āĻā§āĻ¤ āĻ āĻ§āĻŋāĻāĻžāĻ° āĻ¸āĻš), āĻ¯āĻž āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°āĻā§āĻ˛āĻŋāĻ¤ā§ āĻŦāĻŋāĻļā§āĻŦāĻ¸ā§āĻ¤ āĻšāĻŦā§, āĻ¤āĻžāĻ°āĻĒāĻ°ā§ āĻāĻĒāĻ¨āĻžāĻā§ āĻ¸āĻŽā§āĻāĻŦāĻ¤ āĻā§āĻŽāĻŋāĻāĻžāĻāĻŋ āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§ āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ° āĻāĻ°ā§āĻ¤ā§āĻĒāĻā§āĻˇ. āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻāĻŽāĻ°āĻž āĻ¤āĻž āĻ§āĻ°ā§ āĻ¨ā§āĻŦ CA āĻāĻĒāĻ¨āĻŋ āĻāĻ¤āĻŋāĻŽāĻ§ā§āĻ¯ā§ āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻ°ā§āĻā§āĻ¨...
āĻĻā§āĻŦāĻŋāĻ¤ā§āĻ¯āĻŧ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ āĻāĻāĻ āĻāĻžāĻ āĻāĻ°āĻž āĻ¯āĻžāĻāĨ¤ āĻāĻāĻ¯āĻŧ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ C:Scripts āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ° āĻāĻŦāĻ āĻĻā§āĻŦāĻŋāĻ¤ā§āĻ¯āĻŧ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ āĻāĻāĻāĻŋ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ° āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻ¯āĻžāĻ SRV2NPS-config$
āĻĒā§āĻ°āĻĨāĻŽ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ āĻāĻāĻāĻŋ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ°āĻļā§āĻ˛ āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻ¯āĻžāĻ C:ScriptsExport-NPS-config.ps1 āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻ¸āĻš:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"
āĻāĻ° āĻĒāĻ°ā§, āĻāĻžāĻ¸ā§āĻ āĻļāĻŋāĻĄāĻŋāĻāĻ˛āĻžāĻ°ā§ āĻāĻžāĻ¸ā§āĻ āĻ¸ā§āĻ āĻāĻĒ āĻāĻ°ā§āĻ¨: "āĻāĻā§āĻ¸āĻĒā§āĻ°ā§āĻ-āĻāĻ¨āĻĒāĻŋāĻāĻ¸ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
āĻ¸āĻāĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻžāĻ˛āĻžāĻ¨ - āĻ¸āĻ°ā§āĻŦā§āĻā§āĻ āĻ¸ā§āĻŦāĻŋāĻ§āĻž āĻ¸āĻš āĻāĻžāĻ˛āĻžāĻ¨
āĻĒā§āĻ°āĻ¤āĻŋāĻĻāĻŋāĻ¨ - āĻĒā§āĻ°āĻ¤āĻŋ 10 āĻŽāĻŋāĻ¨āĻŋāĻā§ āĻāĻžāĻ¸ā§āĻāĻāĻŋ āĻĒā§āĻ¨āĻ°āĻžāĻŦā§āĻ¤ā§āĻ¤āĻŋ āĻāĻ°ā§āĻ¨āĨ¤ 8 āĻāĻ¨ā§āĻāĻžāĻ° āĻŽāĻ§ā§āĻ¯ā§
āĻŦā§āĻ¯āĻžāĻāĻāĻĒ NPS-āĻ, āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ (āĻ¨ā§āĻ¤āĻŋ) āĻāĻŽāĻĻāĻžāĻ¨āĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°ā§āĻ¨:
āĻāĻāĻāĻŋ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ°āĻļā§āĻ˛ āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1
āĻāĻŦāĻ āĻĒā§āĻ°āĻ¤āĻŋ 10 āĻŽāĻŋāĻ¨āĻŋāĻā§ āĻāĻāĻŋ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻāĻžāĻ:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
āĻ¸āĻāĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻžāĻ˛āĻžāĻ¨ - āĻ¸āĻ°ā§āĻŦā§āĻā§āĻ āĻ¸ā§āĻŦāĻŋāĻ§āĻž āĻ¸āĻš āĻāĻžāĻ˛āĻžāĻ¨
āĻĒā§āĻ°āĻ¤āĻŋāĻĻāĻŋāĻ¨ - āĻĒā§āĻ°āĻ¤āĻŋ 10 āĻŽāĻŋāĻ¨āĻŋāĻā§ āĻāĻžāĻ¸ā§āĻāĻāĻŋ āĻĒā§āĻ¨āĻ°āĻžāĻŦā§āĻ¤ā§āĻ¤āĻŋ āĻāĻ°ā§āĻ¨āĨ¤ 8 āĻāĻ¨ā§āĻāĻžāĻ° āĻŽāĻ§ā§āĻ¯ā§
āĻāĻāĻ¨, āĻ¯āĻžāĻāĻžāĻāĻ¯āĻŧā§āĻ° āĻāĻ¨ā§āĻ¯, āĻāĻ˛ā§āĻ¨ RADIUS āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ (IP āĻāĻŦāĻ Shared Secret), āĻĻā§āĻāĻŋ āĻ¸āĻāĻ¯ā§āĻ āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻ¨ā§āĻ¤āĻŋāĻ¤ā§ āĻāĻāĻāĻŋ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ (!) NPS-āĻ āĻāĻ¯āĻŧā§āĻāĻāĻŋ āĻ¸ā§āĻāĻ āĻ¯ā§āĻ āĻāĻ°āĻž āĻ¯āĻžāĻ: āĻ¤āĻžāĻ°āĻ¯ā§āĻā§āĻ¤ āĻ¸āĻāĻ¯ā§āĻ (āĻļāĻ°ā§āĻ¤: "NAS āĻĒā§āĻ°ā§āĻā§āĻ° āĻ§āĻ°āĻ¨ āĻāĻĨāĻžāĻ°āĻ¨ā§āĻ") āĻāĻŦāĻ āĻāĻ¯āĻŧāĻžāĻāĻĢāĻžāĻ-āĻāĻ¨ā§āĻāĻžāĻ°āĻĒā§āĻ°āĻžāĻāĻ (āĻļāĻ°ā§āĻ¤: "NAS āĻĒā§āĻ°ā§āĻā§āĻ° āĻ§āĻ°āĻ¨ āĻšāĻ˛ IEEE 802.11") āĻāĻŦāĻ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ¨ā§āĻ¤āĻŋ āĻ¸āĻŋāĻ¸āĻā§ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻĄāĻŋāĻāĻžāĻāĻ¸ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°ā§āĻ¨ (āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ ā§āĻ¯āĻžāĻĄāĻŽāĻŋāĻ¨):
ĐŖŅĐģОвиŅ:
ĐŅŅĐŋĐŋŅ Windows - domainsg-network-admins
ĐĐŗŅĐ°ĐŊиŅĐĩĐŊиŅ:
ĐĐĩŅОдŅ ĐŋŅОвĐĩŅĐēи ĐŋОдĐģиĐŊĐŊĐžŅŅи - ĐŅОвĐĩŅĐēĐ° ĐžŅĐēŅŅŅŅĐŧ ŅĐĩĐēŅŅĐžĐŧ (PAP, SPAP)
ĐĐ°ŅĐ°ĐŧĐĩŅŅŅ:
ĐŅŅийŅŅŅ RADIUS: ĐĄŅĐ°ĐŊĐ´Đ°ŅŅ - Service-Type - Login
ĐавиŅŅŅиĐĩ ĐžŅ ĐŋĐžŅŅавŅиĐēĐ° - Cisco-AV-Pair - Cisco - shell:priv-lvl=15
āĻ¸ā§āĻāĻā§āĻ° āĻĒāĻžāĻļā§, āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻ¸ā§āĻāĻŋāĻāĻ¸:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99
āĻ¸ā§āĻ āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§, 10 āĻŽāĻŋāĻ¨āĻŋāĻā§āĻ° āĻĒāĻ°ā§, āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ¨ā§āĻ¤āĻŋ āĻ¸ā§āĻāĻŋāĻāĻ¸ āĻŦā§āĻ¯āĻžāĻāĻāĻĒ NPS-āĻ āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤ āĻšāĻāĻ¯āĻŧāĻž āĻāĻāĻŋāĻ¤ āĻāĻŦāĻ āĻāĻŽāĻ°āĻž ActiveDirectory āĻ ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ¸ā§āĻāĻāĻā§āĻ˛āĻŋāĻ¤ā§ āĻ˛āĻ āĻāĻ¨ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°āĻŋ, domainsg-network-admins āĻā§āĻ°ā§āĻĒā§āĻ° āĻ¸āĻĻāĻ¸ā§āĻ¯ (āĻ¯āĻž āĻāĻŽāĻ°āĻž āĻāĻā§ āĻĨā§āĻā§āĻ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻāĻŋ)āĨ¤
āĻāĻ˛ā§āĻ¨ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻž āĻ¯āĻžāĻ - āĻāĻāĻāĻŋ āĻā§āĻ°ā§āĻĒ āĻāĻŦāĻ āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ āĻ¨ā§āĻ¤āĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨, āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻā§āĻ°ā§āĻĒ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨āĨ¤
āĻā§āĻ°ā§āĻĒ āĻ¨ā§āĻ¤āĻŋ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°-8021x-āĻ¸ā§āĻāĻŋāĻāĻ¸:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻā§āĻˇā§āĻ ā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨ sg-computers-8021x-vl100, āĻ¯ā§āĻāĻžāĻ¨ā§ āĻāĻŽāĻ°āĻž vlan 100 āĻ āĻŦāĻŋāĻ¤āĻ°āĻŖ āĻāĻ°āĻ¤ā§ āĻāĻžāĻ āĻāĻŽāĻ¨ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ° āĻ¯ā§āĻ āĻāĻ°āĻŦ āĻāĻŦāĻ āĻāĻ āĻā§āĻ°ā§āĻĒā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĒā§āĻ°ā§āĻŦā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻā§āĻ°ā§āĻĒ āĻ¨ā§āĻ¤āĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻĢāĻŋāĻ˛ā§āĻāĻžāĻ°āĻŋāĻ āĻ¸ā§āĻ āĻāĻĒ āĻāĻ°āĻŦ:
āĻāĻĒāĻ¨āĻŋ "āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻāĻŦāĻ āĻļā§āĻ¯āĻŧāĻžāĻ°āĻŋāĻ āĻ¸ā§āĻ¨ā§āĻāĻžāĻ° (āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻāĻŦāĻ āĻāĻ¨ā§āĻāĻžāĻ°āĻ¨ā§āĻ āĻ¸ā§āĻāĻŋāĻāĻ¸) - āĻ
ā§āĻ¯āĻžāĻĄāĻžāĻĒā§āĻāĻžāĻ° āĻ¸ā§āĻāĻŋāĻāĻ¸ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°ā§āĻ¨ (āĻ
ā§āĻ¯āĻžāĻĄāĻžāĻĒā§āĻāĻžāĻ° āĻ¸ā§āĻāĻŋāĻāĻ¸ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻž) - āĻ
ā§āĻ¯āĻžāĻĄāĻžāĻĒā§āĻāĻžāĻ°ā§āĻ° āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯āĻā§āĻ˛āĻŋ" āĻā§āĻ˛āĻžāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ¨ā§āĻ¤āĻŋāĻāĻŋ āĻ¸āĻĢāĻ˛āĻāĻžāĻŦā§ āĻāĻžāĻ āĻāĻ°ā§āĻā§ āĻ¤āĻž āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨, āĻ¯ā§āĻāĻžāĻ¨ā§ āĻāĻŽāĻ°āĻž "āĻĒā§āĻ°āĻŽāĻžāĻŖāĻŋāĻāĻ°āĻŖ" āĻā§āĻ¯āĻžāĻŦ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻŦ:
āĻ¯āĻāĻ¨ āĻāĻĒāĻ¨āĻŋ āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻšāĻ¨ āĻ¯ā§ āĻ¨ā§āĻ¤āĻŋāĻāĻŋ āĻ¸āĻĢāĻ˛āĻāĻžāĻŦā§ āĻĒā§āĻ°āĻ¯āĻŧā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§, āĻāĻĒāĻ¨āĻŋ NPS āĻāĻŦāĻ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ˛ā§āĻā§āĻ˛ āĻ¸ā§āĻāĻā§āĻ° āĻĒā§āĻ°ā§āĻāĻā§āĻ˛āĻŋāĻ¤ā§ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ¨ā§āĻ¤āĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻāĻāĻŋāĻ¯āĻŧā§ āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤
āĻāĻ¸ā§āĻ¨ āĻāĻāĻāĻŋ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ¨ā§āĻ¤āĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻŋ negag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
āĻ¸ā§āĻāĻ āĻĒā§āĻ°ā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻ¸ā§āĻāĻŋāĻāĻ¸ (āĻĻāĻ¯āĻŧāĻž āĻāĻ°ā§ āĻŽāĻ¨ā§ āĻ°āĻžāĻāĻŦā§āĻ¨ āĻ¯ā§ "āĻŽāĻžāĻ˛ā§āĻāĻŋ-āĻĄā§āĻŽā§āĻ¨" āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖā§āĻ° āĻ§āĻ°āĻ¨āĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧ - āĻĄā§āĻāĻž āĻāĻŦāĻ āĻāĻ¯āĻŧā§āĻ¸, āĻāĻŦāĻ āĻŽā§āĻ¯āĻžāĻ āĻ āĻŋāĻāĻžāĻ¨āĻž āĻĻā§āĻŦāĻžāĻ°āĻž āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖā§āĻ° āĻ¸āĻŽā§āĻāĻžāĻŦāĻ¨āĻžāĻ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ "āĻā§āĻ°āĻžāĻ¨āĻāĻŋāĻļāĻ¨ āĻĒāĻŋāĻ°āĻŋāĻ¯āĻŧāĻĄ" āĻāĻ° āĻ¸āĻŽāĻ¯āĻŧ, āĻāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻŦā§āĻ§āĻāĻŽā§āĻ¯ āĻšāĻ¯āĻŧ āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋ:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan āĻāĻāĻĄāĻŋ "āĻā§āĻ¯āĻŧāĻžāĻ°ā§āĻ¨ā§āĻāĻžāĻāĻ¨" āĻ¨āĻ¯āĻŧ, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻāĻāĻ āĻāĻāĻĄāĻŋ āĻ¯ā§āĻāĻžāĻ¨ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ° āĻ¸āĻĢāĻ˛āĻāĻžāĻŦā§ āĻ˛āĻ āĻāĻ¨ āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§ āĻ āĻŦāĻļā§āĻ¯āĻ āĻĒāĻžāĻŦā§ - āĻ¯āĻ¤āĻā§āĻˇāĻŖ āĻ¨āĻž āĻāĻŽāĻ°āĻž āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°āĻŋ āĻ¯ā§ āĻ¸āĻŦāĻāĻŋāĻā§ āĻ¯ā§āĻŽāĻ¨ āĻāĻāĻŋāĻ¤ āĻ¤ā§āĻŽāĻ¨ āĻāĻžāĻ āĻāĻ°ā§āĨ¤ āĻāĻāĻ āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ°āĻā§āĻ˛āĻŋ āĻ āĻ¨ā§āĻ¯āĻžāĻ¨ā§āĻ¯ āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻ¯āĻāĻ¨ āĻāĻāĻāĻŋ āĻ āĻŦā§āĻ¯āĻŦāĻ¸ā§āĻĨāĻžāĻĒāĻŋāĻ¤ āĻ¸ā§āĻāĻ āĻāĻ āĻĒā§āĻ°ā§āĻā§ āĻĒā§āĻ˛āĻžāĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧ āĻāĻŦāĻ āĻāĻĒāĻ¨āĻŋ āĻāĻžāĻ¨ āĻ¯ā§ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻĄāĻŋāĻāĻžāĻāĻ¸ āĻāĻāĻŋāĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻĨāĻžāĻā§ āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻā§āĻ˛āĻžāĻ¨ ("āĻā§āĻ¯āĻŧāĻžāĻ°āĻžāĻ¨ā§āĻāĻŋāĻ¨") āĻāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻĒāĻĄāĻŧā§ āĻ¨āĻž āĻ¤āĻž āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻā§āĻ¤ āĻšāĻ¯āĻŧ āĻ¨āĻžāĨ¤
802.1x āĻšā§āĻ¸ā§āĻ-āĻŽā§āĻĄ āĻŽāĻžāĻ˛ā§āĻāĻŋ-āĻĄā§āĻŽā§āĻ¨ āĻŽā§āĻĄā§ āĻĒā§āĻ°ā§āĻ āĻ¸ā§āĻāĻŋāĻāĻ¸ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°ā§āĻ¨
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit
āĻāĻĒāĻ¨āĻŋ āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨ āĻ¯ā§ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ° āĻĢā§āĻ¨ āĻāĻŽāĻžāĻ¨ā§āĻĄā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ¸āĻĢāĻ˛āĻāĻžāĻŦā§ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ āĻĒāĻžāĻ¸ āĻāĻ°ā§āĻā§:
sh authentication sessions int Gi1/0/39 det
āĻāĻāĻ¨ āĻāĻāĻāĻŋ āĻā§āĻ°ā§āĻĒ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻ¯āĻžāĻ (āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, sg-fgpp-mab ) āĻĢā§āĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ¤ā§ āĻāĻŦāĻ āĻāĻāĻŋāĻ¤ā§ āĻāĻāĻāĻŋ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻĄāĻŋāĻāĻžāĻāĻ¸ āĻ¯ā§āĻā§āĻ¤ āĻāĻ°ā§āĻ¨ (āĻāĻŽāĻžāĻ° āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, āĻāĻāĻŋ āĻā§āĻ°ā§āĻ¯āĻžāĻ¨ā§āĻĄāĻ¸ā§āĻā§āĻ°āĻŋāĻŽ GXP2160 āĻŽāĻžāĻ¸ āĻ āĻŋāĻāĻžāĻ¨āĻž āĻ¸āĻš 000b.82ba.a7b1 āĻāĻŦāĻ acc. āĻ ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻ āĻĄā§āĻŽā§āĻāĻ¨ 00b82baa7b1).
āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻā§āĻˇā§āĻ ā§āĻ° āĻāĻ¨ā§āĻ¯, āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ āĻ¨ā§āĻ¤āĻŋ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧāĻ¤āĻž āĻāĻŽ āĻāĻ°ā§āĻ¨ (āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§
āĻāĻāĻŋ āĻāĻŽāĻžāĻĻā§āĻ° āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻĄāĻŋāĻāĻžāĻāĻ¸ā§āĻ° āĻŽāĻžāĻ¸-āĻ āĻŋāĻāĻžāĻ¨āĻž āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ° āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻŦā§āĨ¤ āĻāĻ° āĻĒāĻ°ā§ āĻāĻŽāĻ°āĻž 802.1x āĻŽā§āĻĨāĻĄ āĻŽā§āĻ¯āĻžāĻŦ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ¨ā§āĻ¤āĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°āĻŋ, āĻāĻ¸ā§āĻ¨ āĻāĻāĻŋāĻā§ neag-devices-8021x-voice āĻŦāĻ˛āĻŋāĨ¤ āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋāĻā§āĻ˛āĻŋ āĻ¨āĻŋāĻŽā§āĻ¨āĻ°ā§āĻĒ:
- NAS āĻĒā§āĻ°ā§āĻā§āĻ° āĻ§āĻ°āĻ¨ - āĻāĻĨāĻžāĻ°āĻ¨ā§āĻ
- āĻāĻāĻ¨ā§āĻĄā§āĻ āĻā§āĻ°ā§āĻĒ - sg-fgpp-mab
- EAP āĻĒā§āĻ°āĻāĻžāĻ°: āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ (PAP, SPAP)
- RADIUS āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ - āĻŦāĻŋāĻā§āĻ°ā§āĻ¤āĻž āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ: Cisco - Cisco-AV-āĻā§āĻĄāĻŧāĻž - āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻŽāĻžāĻ¨: device-traffic-class=voice
āĻ¸āĻĢāĻ˛ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖā§āĻ° āĻĒāĻ°ā§ (āĻ¸ā§āĻāĻ āĻĒā§āĻ°ā§āĻ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻā§āĻ˛āĻŦā§āĻ¨ āĻ¨āĻž), āĻāĻ¸ā§āĻ¨ āĻĒā§āĻ°ā§āĻ āĻĨā§āĻā§ āĻ¤āĻĨā§āĻ¯ āĻĻā§āĻāĻŋ:
sh āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Success
āĻāĻāĻ¨, āĻĒā§āĻ°āĻ¤āĻŋāĻļā§āĻ°ā§āĻ¤āĻŋ āĻ āĻ¨ā§āĻ¯āĻžāĻ¯āĻŧā§, āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖāĻ°ā§āĻĒā§ āĻ¸ā§āĻĒāĻˇā§āĻ āĻ¨āĻ¯āĻŧ āĻāĻŽāĻ¨ āĻāĻ¯āĻŧā§āĻāĻāĻŋ āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ āĻŦāĻŋāĻŦā§āĻāĻ¨āĻž āĻāĻ°ā§āĻ¨āĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻāĻāĻŋ āĻ āĻŦā§āĻ¯āĻŦāĻ¸ā§āĻĨāĻžāĻĒāĻŋāĻ¤ āĻ¸ā§āĻāĻ (āĻ¸ā§āĻāĻ) āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻĻā§āĻ° āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ° āĻāĻŦāĻ āĻĄāĻŋāĻāĻžāĻāĻ¸āĻā§āĻ˛āĻŋāĻā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§āĨ¤ āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, āĻāĻāĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻĒā§āĻ°ā§āĻ āĻ¸ā§āĻāĻŋāĻāĻ¸ āĻāĻ āĻŽāĻ¤ āĻĻā§āĻāĻžāĻŦā§:
802.1x āĻšā§āĻ¸ā§āĻ-āĻŽā§āĻĄ āĻŽāĻžāĻ˛ā§āĻāĻŋ-āĻ āĻĨ āĻŽā§āĻĄā§ āĻĒā§āĻ°ā§āĻ āĻ¸ā§āĻāĻŋāĻāĻ¸ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°ā§āĻ¨
interface GigabitEthernet1/0/1
description *SW â 802.1x â 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! ŅвĐĩĐģиŅиваĐĩĐŧ ĐēĐžĐģ-вО Đ´ĐžĐŋŅŅŅиĐŧŅŅ
ĐŧĐ°Ņ-Đ°Đ´ŅĐĩŅОв
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! â ŅĐĩĐļиĐŧ Đ°ŅŅĐĩĐŊŅиŅиĐēĐ°Ņии
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu
PS āĻāĻāĻāĻŋ āĻā§āĻŦ āĻ āĻĻā§āĻā§āĻ¤ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻ˛āĻā§āĻˇā§āĻ¯ āĻāĻ°āĻž āĻā§āĻā§ - āĻ¯āĻĻāĻŋ āĻĄāĻŋāĻāĻžāĻāĻ¸āĻāĻŋ āĻāĻŽāĻ¨ āĻāĻāĻāĻŋ āĻ¸ā§āĻāĻā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻĨāĻžāĻā§, āĻāĻŦāĻ āĻ¤āĻžāĻ°āĻĒāĻ°ā§ āĻāĻāĻŋ āĻāĻāĻāĻŋ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻŋāĻ¤ āĻ¸ā§āĻāĻā§ āĻĒā§āĻ˛āĻžāĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻ¤āĻŦā§ āĻāĻŽāĻ°āĻž āĻ¸ā§āĻāĻāĻāĻŋ āĻ°āĻŋāĻŦā§āĻ āĻ¨āĻž āĻāĻ°āĻž āĻĒāĻ°ā§āĻ¯āĻ¨ā§āĻ¤ āĻāĻāĻŋ āĻāĻžāĻ āĻāĻ°āĻŦā§ āĻ¨āĻžāĨ¤ āĻāĻŽāĻŋ āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻāĻ°āĻžāĻ° āĻ āĻ¨ā§āĻ¯ āĻāĻĒāĻžāĻ¯āĻŧ āĻā§āĻāĻā§ āĻĒāĻžāĻāĻ¨āĻŋ āĻāĻ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž.
DHCP āĻāĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻāĻŋāĻ¤ āĻāĻ°ā§āĻāĻāĻŋ āĻĒāĻ¯āĻŧā§āĻ¨ā§āĻ (āĻ¯āĻĻāĻŋ ip dhcp āĻ¸ā§āĻ¨ā§āĻĒāĻŋāĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧ) - āĻāĻ āĻŦāĻŋāĻāĻ˛ā§āĻĒāĻā§āĻ˛āĻŋ āĻāĻžāĻĄāĻŧāĻž:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information option
āĻāĻŋāĻā§ āĻāĻžāĻ°āĻŖā§, āĻāĻŽāĻŋ āĻ¸āĻ āĻŋāĻ āĻāĻāĻĒāĻŋ āĻ āĻŋāĻāĻžāĻ¨āĻž āĻĒā§āĻ¤ā§ āĻĒāĻžāĻ°āĻŋ āĻ¨āĻž ... āĻ¯āĻĻāĻŋāĻ āĻāĻāĻŋ āĻāĻŽāĻžāĻĻā§āĻ° DHCP āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§āĻ° āĻāĻāĻāĻŋ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§
āĻāĻāĻžāĻĄāĻŧāĻžāĻ, āĻŽā§āĻ¯āĻžāĻ āĻāĻāĻ¸ āĻāĻŦāĻ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ (āĻ¯āĻžāĻ¤ā§ 802.1x āĻ¸āĻŽāĻ°ā§āĻĨāĻ¨ āĻ¨ā§āĻāĻŋāĻ) āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻā§ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§, āĻāĻŽāĻ¨āĻāĻŋ āĻ¯āĻĻāĻŋ āĻŽā§āĻ¯āĻžāĻ āĻ āĻŋāĻāĻžāĻ¨āĻž āĻĻā§āĻŦāĻžāĻ°āĻž āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻž āĻĨāĻžāĻā§āĨ¤
āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§ā§āĻ° āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻ āĻāĻļā§, āĻāĻŽāĻ°āĻž āĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°āĻ˛ā§āĻ¸ā§āĻ° āĻāĻ¨ā§āĻ¯ 802.1x āĻāĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻŦāĻŋāĻŦā§āĻāĻ¨āĻž āĻāĻ°āĻŦ (āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻāĻāĻŋ āĻ¯ā§ āĻā§āĻ°ā§āĻĒā§āĻ° āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻā§āĻā§āĻ¤ āĻ¤āĻžāĻ° āĻāĻĒāĻ° āĻ¨āĻŋāĻ°ā§āĻāĻ° āĻāĻ°ā§, āĻāĻŽāĻ°āĻž āĻāĻāĻŋāĻā§ āĻāĻĒāĻ¯ā§āĻā§āĻ¤ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§ (āĻāĻ˛āĻžāĻ¨) "āĻ¨āĻŋāĻā§āĻˇā§āĻĒ" āĻāĻ°āĻŦ, āĻ¯āĻĻāĻŋāĻ āĻ¤āĻžāĻ°āĻž āĻ¸āĻāĻ¯ā§āĻ āĻāĻ°āĻŦā§ āĻāĻāĻ SSID)āĨ¤
āĻāĻ¤ā§āĻ¸: www.habr.com