เปเบซเปเบเบดเบเบฒเบฅเบฐเบเบฒเปเบเบเบฒเบเบเบฐเบเบดเบเบฑเบเบเบฒเบเบเปเบฒเปเบเป Windows Active Directory + NPS (2 เปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเปเบเบทเปเบญเบฎเบฑเบเบเบฐเบเบฑเบเบเบงเบฒเบกเบเบปเบเบเบฒเบเบเปเปเบเบงเบฒเบกเบเบดเบ) + 802.1x เบกเบฒเบเบเบฐเบเบฒเบเบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบงเบเบเบธเบกเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเปเบฅเบฐเบเบฒเบเบเบงเบเบชเบญเบเบเบนเปเปเบเป - domain computers - devices . เบเปเบฒเบเบชเบฒเบกเบฒเบเบฎเบนเปเบเบฑเบเบเบฑเบเบเบดเบเบชเบฐเบเบตเบเบฒเบกเบกเบฒเบเบเบฐเบเบฒเบเปเบ Wikipedia, เบเบตเปเบเบฒเบเปเบเบทเปเบญเบกเบเปเป:
เปเบเบทเปเบญเบเบเบฒเบ "เบซเปเบญเบเบเบปเบเบฅเบญเบ" เบเบญเบเบเปเบญเบเบเบทเบเบเปเบฒเบเบฑเบเปเบเบเบฑเบเบเบฐเบเบฒเบเบญเบ, เบเบปเบเบเบฒเบเบเบญเบ NPS เปเบฅเบฐเบเบปเบงเบเบงเบเบเบธเบกเปเบเปเบกเบเปเบกเปเบเปเบเบปเปเบฒเบเบฑเบเปเบเป, เปเบเปเบเปเบญเบเปเบเบฐเบเปเบฒเปเบซเปเปเบเบปเปเบฒเบเบฑเบเปเบเบเบเบฒเบเบเปเบฅเบดเบเบฒเบเบเบตเปเบชเปเบฒเบเบฑเบเบเบฑเปเบเบเปเบฒเบง.
เบเปเบญเบเบเปเปเบฎเบนเปเบงเบดเบเบตเบกเบฒเบเบเบฐเบเบฒเบเปเบเบทเปเบญ synchronize Windows NPS configurations (เบเบฐเปเบเบเบฒเบ), เบเบฑเปเบเบเบฑเปเบเบเบงเบเปเบฎเบปเบฒเบเบฐเปเบเป PowerShell scripts เบเบตเปเปเบเบตเบเบเบปเบงเปเบเบเบเบฒเบเบฐเบฅเบฒเบเบงเบฝเบ (เบเบนเปเบเบฝเบเปเบกเปเบเบญเบฐเบเบตเบเปเบเบทเปเบญเบเบฎเปเบงเบกเบเบฒเบเบเบญเบเบเปเบญเบ). เบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบงเบเบชเบญเบเบเบงเบฒเบกเบเบทเบเบเปเบญเบเบเบญเบเบเบญเบกเบเบดเบงเปเบเบตเปเบเปเบกเบเปเบฅเบฐเบชเปเบฒเบฅเบฑเบเบญเบธเบเบฐเบเบญเบเบเบตเปเบเปเปเบชเบฒเบกเบฒเบ 802.1x (เปเบเบฅเบฐเบชเบฑเบ, เปเบเบทเปเบญเบเบเบดเบก, เปเบฅเบฐเบญเบทเปเบเป), เบเบฐเปเบเบเบฒเบเบเบธเปเบกเบเบฐเบเบทเบเบเบฑเปเบเบเปเบฒเปเบฅเบฐเบเบธเปเบกเบเบงเบฒเบกเบเบญเบเปเบเบเบฐเบเบทเบเบชเปเบฒเบเบเบทเปเบ.
เปเบเบเบญเบเบเปเบฒเบเบเบญเบเบเบปเบเบเบงเบฒเบก, เบเปเบฒเบเบฐเปเบเบปเปเบฒเบเบฐเบเบญเบเบเปเบฒเบเบเปเบฝเบงเบเบฑเบเบเบงเบฒเบกเบชเบฑเบเบชเบปเบเบเบฒเบเบขเปเบฒเบเบเบญเบเบเบฒเบเปเบฎเบฑเบเบงเบฝเบเบเบฑเบ 802.1x - เบงเบดเบเบตเบเบตเปเบเปเบฒเบเบชเบฒเบกเบฒเบเบเปเบฒเปเบเปเบชเบฐเบซเบผเบฑเบเบเบตเปเบเปเปเบชเบฒเบกเบฒเบเบเบฑเบเบเบฒเบเปเบเป, ACLs เปเบเบเปเบเบทเปเบญเบเปเบซเบง, เปเบฅเบฐเบญเบทเปเบเป. เบเปเบญเบเบเบฐเปเบเปเบเบเบฑเบเบเปเปเบกเบนเบเบเปเบฝเบงเบเบฑเบ "เบเบงเบฒเบกเบเบดเบเบเบฒเบ" เบเบตเปเบเบทเบเบเบฑเบ.. .
เปเบซเปเปเบฅเบตเปเบกเบเบปเปเบเบเปเบงเบเบเบฒเบเบเบดเบเบเบฑเปเบเปเบฅเบฐ configuring failover NPS เปเบ Windows Server 2012R2 (เบเบธเบเบชเบดเปเบเบเบธเบเบขเปเบฒเบเปเบกเปเบเบเบทเบเบฑเบเปเบเบเบต 2016): เบเปเบฒเบ Server Manager -> Add Roles and Features Wizard, เปเบฅเบทเบญเบเบเบฝเบเปเบเป Network Policy Server.
เบซเบผเบทเปเบเป PowerShell:
Install-WindowsFeature NPAS -IncludeManagementToolsเบเบงเบฒเบกเบเบฐเบเปเบฒเบเปเบเปเบเบเบฐเบซเบเบฒเบเบเปเบญเบ - เบเบฑเบเบเบฑเปเบเปเบเป เบเปเบญเบเบเบฑเบ EAP (PEAP) เบเปเบฒเบเปเบเปเบเบญเบเบเบฐเบเปเบญเบเบกเบตเปเบเบขเบฑเปเบเบขเบทเบเบเบฒเบเบขเบทเบเบขเบฑเบเบเบงเบฒเบกเบเบทเบเบเปเบญเบเบเบญเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบ (เบกเบตเบชเบดเบเบเบดเบเบตเปเปเบซเบกเบฒเบฐเบชเบปเบกเปเบเบเบฒเบเบเปเบฒเปเบเป), เปเบเบดเปเบเบเบฐเปเบเปเบฎเบฑเบเบเบฒเบเปเบงเปเบงเบฒเบเปเบเปเบเบเบญเบกเบเบดเบงเปเบเบตเบเบญเบเบฅเบนเบเบเปเบฒ, เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบเปเบฒเบเบกเบฑเบเบเบฐเบเปเบญเบเบเบดเบเบเบฑเปเบเบเบปเบเบเบฒเบ. เบญเบปเบเบเบฒเบเบขเบฑเปเบเบขเบทเบ. เปเบเปเบเบงเบเปเบฎเบปเบฒเบเบฐเบชเบปเบกเบกเบธเบเบงเปเบฒ CA เบเปเบฒเบโเปเบเปโเบเบดเบโเบเบฑเปเบโเบกเบฑเบโเปเบฅเปเบง ...
เปเบซเปเปเบฎเบฑเบเปเบเบฑเปเบเบเบฝเบงเบเบฑเบเปเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเบเบตเบชเบญเบ. เปเบซเปเบชเปเบฒเบเปเบเบเปเบเบตเบชเปเบฒเบฅเบฑเบ C:Scripts script เปเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเบเบฑเบเบชเบญเบเปเบฅเบฐเปเบเบเปเบเบตเปเบเบทเบญเบเปเบฒเบเปเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเบเบตเบชเบญเบ SRV2NPS-config$
เบกเบฒเบชเปเบฒเบเบชเบฐเบเบฃเบดเบ PowerShell เบขเบนเปเปเบเปเบเบตเบเปเบงเบตเบเบณเบญเบดเบ C:ScriptsExport-NPS-config.ps1 เปเบเบโเบกเบตโเปเบเบทเปเบญโเปเบโเบเบฑเปเบโเบเปเปโเปเบโเบเบตเปโ:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"เบซเบผเบฑเบเบเบฒเบเบเบตเป, เปเบซเปเบเบงเบเปเบฎเบปเบฒ configure เบงเบฝเบเบเบฒเบเปเบ Task Sheduler: "Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
เบเปเบฒเปเบเบตเบเบเบฒเบเบชเปเบฒเบฅเบฑเบเบเบนเปเปเบเปเบเบฑเบเบซเบกเบปเบ - เบเปเบฒเปเบเบตเบเบเบฒเบเบเบตเปเบกเบตเบชเบดเบเบเบดเบชเบนเบเบชเบธเบ
เบเบฐเบเปเบฒเบงเบฑเบ - เปเบฎเบฑเบเบเปเปเบฒเบงเบฝเบเบเบฒเบเบเบธเบเป 10 เบเบฒเบเบต. เบเบฒเบเปเบ 8 เบเบปเปเบงเปเบกเบ
เปเบ NPS เบชเปเบฒเบฎเบญเบเบเปเปเบกเบนเบ, เบเปเบฒเบเบปเบเบเบฒเบเบเปเบฒเปเบเบปเปเบฒเบเบญเบเบเบฒเบเบเบฑเปเบเบเปเบฒ (เบเบฐเปเบเบเบฒเบ):
เบกเบฒเบชเปเบฒเบเบชเบฐเบเบฃเบดเบ PowerShell:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1เปเบฅเบฐโเบงเบฝเบโเบเบฒเบโเบเบตเปโเบเบฐโเบเบฐโเบเบดโเบเบฑเบโเบกเบฑเบโเบเบธเบเป 10 เบเบฒโเบเบตโ:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
เบเปเบฒเปเบเบตเบเบเบฒเบเบชเปเบฒเบฅเบฑเบเบเบนเปเปเบเปเบเบฑเบเบซเบกเบปเบ - เบเปเบฒเปเบเบตเบเบเบฒเบเบเบตเปเบกเบตเบชเบดเบเบเบดเบชเบนเบเบชเบธเบ
เบเบฐเบเปเบฒเบงเบฑเบ - เปเบฎเบฑเบเบเปเปเบฒเบงเบฝเบเบเบฒเบเบเบธเบเป 10 เบเบฒเบเบต. เบเบฒเบเปเบ 8 เบเบปเปเบงเปเบกเบ
เบเบฝเบงเบเบตเป, เปเบเบทเปเบญเบเบงเบเปเบเบดเปเบ, เปเบซเปเบเบงเบเปเบฎเบปเบฒเปเบเบตเปเบกเปเบชเป NPS เปเบเบซเบเบถเปเบเปเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบ (!) เบชเบญเบเบชเบฒเบกเบชเบฐเบซเบผเบฑเบเปเบเบฅเบนเบเบเปเบฒ RADIUS (IP เปเบฅเบฐ Shared Secret), เบชเบญเบเบเบฐเปเบเบเบฒเบเบเบฒเบเบฎเปเบญเบเบเปเบเบฒเบเปเบเบทเปเบญเบกเบเปเป: WIRED-Connect (เปเบเบทเปเบญเบเปเบ: "เบเบฐเปเบเบเบเบญเบ NAS เปเบกเปเบเบญเบตเปเบเบตเปเบเบฑเบ") เปเบฅเบฐ WiFi-เบงเบดเบชเบฒเบซเบฐเบเบดเบ (เปเบเบทเปเบญเบเปเบ: โเบเบฐเปเบเบเบเบญเบ NAS เปเบกเปเบ IEEE 802.11โ), เปเบเบฑเปเบเบเบฝเบงเบเบฑเบเบเบฑเบเบเบฐเปเบเบเบฒเบเปเบเบทเบญเบเปเบฒเบ. เปเบเบปเปเบฒเปเบเบดเบเบญเบธเบเบฐเบเบญเบเปเบเบทเบญเบเปเบฒเบ Cisco (เบเบนเปเปเบเบดเปเบเปเบเบเปเบเบทเบญเบเปเบฒเบ):
ะฃัะปะพะฒะธั:
ะััะฟะฟั Windows - domainsg-network-admins
ะะณัะฐะฝะธัะตะฝะธั:
ะะตัะพะดั ะฟัะพะฒะตัะบะธ ะฟะพะดะปะธะฝะฝะพััะธ - ะัะพะฒะตัะบะฐ ะพัะบััััะผ ัะตะบััะพะผ (PAP, SPAP)
ะะฐัะฐะผะตััั:
ะััะธะฑััั RADIUS: ะกัะฐะฝะดะฐัั - Service-Type - Login
ะะฐะฒะธัััะธะต ะพั ะฟะพััะฐะฒัะธะบะฐ - Cisco-AV-Pair - Cisco - shell:priv-lvl=15เปเบเบเปเบฒเบเบชเบฐเบซเบผเบฑเบ, เบเบฒเบเบเบฑเปเบเบเปเบฒเบเปเปเปเบเบเบตเป:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99เบซเบผเบฑเบเบเบฒเบเบเบฒเบเบเบฑเปเบเบเปเบฒ, เบซเบผเบฑเบเบเบฒเบ 10 เบเบฒเบเบต, clientspolicyparameters เบเบฑเบเบซเบกเบปเบเบเบงเบเบเบฐเบเบฒเบเบปเบเบขเบนเปเปเบ NPS เบชเปเบฒเบฎเบญเบเบเปเปเบกเบนเบเปเบฅเบฐเบเบงเบเปเบฎเบปเบฒเบเบฐเบชเบฒเบกเบฒเบเปเบเบปเปเบฒเบชเบนเปเบฅเบฐเบเบปเบ switches เปเบเบเปเบเปเบเบฑเบเบเบต ActiveDirectory, เบชเบฐเบกเบฒเบเบดเบเบเบญเบเบเบธเปเบก domainsg-network-admins (เบเบตเปเบเบงเบเปเบฎเบปเบฒเบชเปเบฒเบเบฅเปเบงเบเบซเบเปเบฒ).
เปเบซเปเบเปเบฒเบงเปเบเบชเบนเปเบเบฒเบเบเบฑเปเบเบเปเบฒ Active Directory - เบชเปเบฒเบเบเบธเปเบกเปเบฅเบฐเบเบฐเปเบเบเบฒเบเบฅเบฐเบซเบฑเบเบเปเบฒเบ, เบชเปเบฒเบเบเบธเปเบกเบเบตเปเบเปเบฒเปเบเบฑเบ.
เบเบฐเปเบเบเบฒเบเบเบธเปเบก เบเบญเบกเบเบดเบงเปเบเบต-8021x-Settings:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
เบกเบฒเบชเปเบฒเบเบเบธเปเบกเบเบงเบฒเบกเบเบญเบเปเบ sg-computers-8021x-vl100, เบเปเบญเบเบเบตเปเบเบงเบเปเบฎเบปเบฒเบเบฐเปเบเบตเปเบกเบเบญเบกเบเบดเบงเปเบเบตเบเบตเปเบเบงเบเปเบฎเบปเบฒเบเปเบญเบเบเบฒเบเปเบเบเบขเบฒเบเปเบซเปเบเบฑเบ vlan 100 เปเบฅเบฐเบเปเบฒเบซเบเบปเบเบเปเบฒเบเบฒเบเบเบฑเปเบเบเบญเบเบชเปเบฒเบฅเบฑเบเบเบฐเปเบเบเบฒเบเบเบธเปเบกเบเบตเปเบชเปเบฒเบเบเบถเปเบเบเปเบญเบเบซเบเปเบฒเบเบตเปเบชเปเบฒเบฅเบฑเบเบเบธเปเบกเบเบตเป:
เบเปเบฒเบโเบชเบฒโเบกเบฒเบโเบเบงเบโเบชเบญเบโเปเบเปโเบงเปเบฒโเบเบฐโเปเบโเบเบฒเบโเปเบเปโเปเบฎเบฑเบโเบงเบฝเบโเบขเปเบฒเบโเบชเปเบฒโเปเบฅเบฑเบโเบเบปเบโเปเบเบโเบเบฒเบโเปเบเบตเบ "เปเบเบทเบญโเบเปเบฒเบโเปเบฅเบฐโเบชเบนเบโเบเบฒเบโเปเบเปเบโเบเบฑเบ (เปเบเบทเบญโเบเปเบฒเบโเปเบฅเบฐโเบเบฒเบโเบเบฑเปเบโเบเปเบฒโเบญเบดเบโเปเบเบตโเปเบเบฑเบโ) - เบเบฒเบโเบเปเบฝเบโเปเบเบโเบเบฒเบโเบเบฑเปเบโเบเปเบฒโเบญเบฐโเปเบเบโเปเบเบต (เบเบฒเบโเบเบฑเปเบโเบเปเบฒโเบญเบฐโเปเบเบโเปเบเบตโ) - เบญเบฐโเปเบเบโเปเบเบต Propertiesโ"โ, เบเปเบญเบโเบเบตเปโเบเบงเบโเปเบฎเบปเบฒโเบชเบฒโเบกเบฒเบโเปเบเบดเปเบโเปเบเบ "เบเบฒเบโเบเบงเบโเบชเบญเบโ"โ:
เปเบกเบทเปเบญเบเปเบฒเบเปเบฑเปเบเปเบเบงเปเบฒเบเบฐเปเบเบเบฒเบเบเบฑเปเบเบเปเบฒเบงเบเบทเบเบเบณเปเบเปเบขเปเบฒเบเบชเบณเปเบฅเบฑเบเบเบปเบ, เบเปเบฒเบเบชเบฒเบกเบฒเบเบชเบทเบเบเปเปเบเบฑเปเบเบเปเบฒเบเบฐเปเบเบเบฒเบเปเบเบทเบญเบเปเบฒเบเปเบ NPS เปเบฅเบฐเบเบญเบเบชเบฐเบงเบดเบเบฅเบฐเบเบฑเบเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเปเบเป.
เบกเบฒเบชเปเบฒเบเบเบฐเปเบเบเบฒเบเปเบเบทเบญเบเปเบฒเบ neag-เบเบญเบกเบเบดเบงเปเบเบต-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
เบเบฒเบโเบเบฑเปเบโเบเปเบฒโเบเบปเบโเบเบฐโเบเบดโเบชเปเบฒโเบฅเบฑเบโเบเบฒเบ switch port (เบเบฐโเบฅเบธโเบเบฒโเบชเบฑเบโเปเบเบโเบงเปเบฒ "เบซเบผเบฒเบโเปเบโเปเบกเบโ" เบเบฐโเปเบเบโเบเบฒเบโเบเบงเบโเบชเบญเบโเปเบเปโเบเบทเบโเบเปเบฒโเปเบเป - เบเปเปโเบกเบนเบโเปเบฅเบฐโเบชเบฝเบโ, เปเบฅเบฐโเบเบฑเบโเบกเบตโเบเบงเบฒเบกโเปเบเบฑเบโเปเบโเปเบเปโเบเบญเบโเบเบฒเบโเบเบงเบโเบชเบญเบโเปเบเบโเบเบตเปโเบขเบนเป macโ. เบเบปเบงเบเปเบฒเบเบปเบเบเบฒเบ:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan id เบเปเปเปเบกเปเบ "เบเบฒเบเบเบฑเบเบเบฑเบ", เปเบเปเปเบเบฑเบเบญเบฑเบเบเบฝเบงเบเบฑเบเบเบตเปเบเบญเบกเบเบดเบงเปเบเบตเบเบญเบเบเบนเปเปเบเปเบเบงเบเบเบฐเปเบเบซเบผเบฑเบเบเบฒเบเปเบเบปเปเบฒเบชเบนเปเบฅเบฐเบเบปเบเบขเปเบฒเบเบชเปเบฒเปเบฅเบฑเบเบเบปเบ - เบเบปเบเบเปเบงเบฒเบเบงเบเปเบฎเบปเบฒเปเบเปเปเบเบงเปเบฒเบเบธเบเบชเบดเปเบเบเบธเบเบขเปเบฒเบเปเบฎเบฑเบเบงเบฝเบเบเบฒเบกเบเบตเปเบกเบฑเบเบเบงเบเบเบฐเปเบเบฑเบ. เบเบปเบงเบเปเบฒเบเบปเบเบเบฒเบเบเบฝเบงเบเบฑเบเปเบซเบผเบปเปเบฒเบเบตเปเบชเบฒเบกเบฒเบเบเบทเบเบเปเบฒเปเบเปเปเบเบชเบฐเบเบฒเบเบฐเบเบฒเบเบญเบทเปเบเป, เบเบปเบงเบขเปเบฒเบ, เปเบกเบทเปเบญเบชเบฐเบซเบผเบฑเบเบเบตเปเบเปเปเปเบเปเบเบฑเบเบเบฒเบเบเบทเบเบชเบฝเบเปเบเบปเปเบฒเปเบเปเบเบเบญเบเบเบตเปเปเบฅเบฐเบเปเบฒเบเบเปเบญเบเบเบฒเบเปเบซเปเบญเบธเบเบฐเบเบญเบเบเบฑเบเบซเบกเบปเบเบเบตเปเปเบเบทเปเบญเบกเบเปเปเบเบฑเบเบกเบฑเบเบเบตเปเบเปเปเปเบเปเบเปเบฒเบเบเบฒเบเบเบดเบชเบนเบเบขเบทเบเบขเบฑเบเบเบตเปเบเบฐเบเบปเบเบขเบนเปเปเบ vlan เบเบตเปเปเบเปเบเบญเบ ("เบเบฑเบเบเบฑเบ").
เบชเบฐเบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบเปเบฒเบเบญเบเปเบ 802.1x host-mode multi-domain mode
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitเบเปเบฒเบโเบชเบฒโเบกเบฒเบโเปเบฎเบฑเบโเปเบซเปโเปเบเปโเปเบเบงเปโเบฒโเบเบญเบกโเบเบดเบงโเปเบเบตโเปเบฅเบฐโเปเบเบฅเบฐโเบชเบฑเบโเบเบญเบโเบเปเบฒเบโเบชเบปเบโเบเบปเบโเบชเปเบฒโเปเบฅเบฑเบโเบเปเบฒเบโเบเบฒเบโเบเบงเบโเบชเบญเบโเบเปเบงเบโเบเปเบฒโเบชเบฑเปเบโ:
sh authentication sessions int Gi1/0/39 detเบเบญเบเบเบตเปเปเบซเปเบชเปเบฒเบเบเบธเปเบก (เบเบปเบงเบขเปเบฒเบ: sg-fgpp-mab ) เปเบ Active Directory เบชเปเบฒโเบฅเบฑเบโเปเบเบฅเบฐโเบชเบฑเบโเปเบฅเบฐโเปเบเบตเปเบกโเบซเบเบถเปเบโเบญเบธโเบเบฐโเบเบญเบโเบเบฑเบโเบกเบฑเบโเบชเปเบฒโเบฅเบฑเบโเบเบฒเบโเบเบปเบโเบชเบญเบ (เปเบโเบเปโเบฅเบฐโเบเบตโเบเบญเบโเบเปเบฒโเบเบฐโเปเบเบปเปเบฒโเบกเบฑเบโเปเบเบฑเบโ Grandstream GXP2160 เบเบฑเบเบเบตเปเบขเบนเป mas 000b.82ba.a7b1 เปเบฅเบฐ resp. เบเบฑเบเบเบต เปเบเปเบกเบ 00b82baa7b1).
เบชเปเบฒเบฅเบฑเบเบเบธเปเบกเบเบตเปเบชเปเบฒเบเบเบถเปเบ, เบเบงเบเปเบฎเบปเบฒเบเบฐเบซเบผเบธเบเบฅเบปเบเบเบงเบฒเบกเบเปเบญเบเบเบฒเบเบเบฐเปเบเบเบฒเบเบฅเบฐเบซเบฑเบเบเปเบฒเบ (เบเบฒเบเบเปเบฒเปเบเป เบเปเบฒเบ Active Directory Administration Center -> domain -> System -> Password Settings Container) เบเปเบงเบเบเบปเบงเบเปเบฒเบเบปเบเบเบฒเบเบเปเปเปเบเบเบตเป Password-Settings-for-MAB:
เบเบฑเปเบเบเบฑเปเบ, เบเบงเบเปเบฎเบปเบฒเบเบฐเบญเบฐเบเบธเบเบฒเบเปเบซเปเบเปเบฒเปเบเปเบเบตเปเบขเบนเปเบญเบธเบเบฐเบเบญเบเปเบเบฑเบเบฅเบฐเบซเบฑเบเบเปเบฒเบ. เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบ, เบเบงเบเปเบฎเบปเบฒเบชเบฒเบกเบฒเบเบชเปเบฒเบเบเบฐเปเบเบเบฒเบเปเบเบทเบญเบเปเบฒเบเบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบดเบชเบนเบเบขเบทเบเบขเบฑเบเบงเบดเบเบตเบเบฒเบ 802.1x mab, เปเบซเปเปเบเบซเบฒเบกเบฑเบ neag-devices-8021x-voice. เบเบปเบงเบเปเบฒเบเบปเบเบเบฒเบเปเบกเปเบเบเบฑเปเบเบเปเปเปเบเบเบตเป:
- เบเบฐเปเบเบเบเบญเบ NAS โ เบญเบตเปเบเบตเปเบเบฑเบ
- เบเบธเปเบก Windows โ sg-fgpp-mab
- เบเบฐเปเบเบ EAP: เบเบฒเบเบเบดเบชเบนเบเบขเบทเบเบขเบฑเบเบเบตเปเบเปเปเปเบเปเปเบเบปเปเบฒเบฅเบฐเบซเบฑเบ (PAP, SPAP)
- เบเบธเบเบฅเบฑเบเบชเบฐเบเบฐ RADIUS โ เบชเบฐเปเบเบฒเบฐเบเบนเปเบเบฒเบ: Cisco โ Cisco-AV-Pair โ เบเปเบฒเบเบธเบเบชเบปเบกเบเบฑเบ: device-traffic-class=voice
เบซเบผเบฑเบโเบเบฒเบโเบเบฒเบโเบเบงเบโเบชเบญเบโเบชเบปเบโเบเบปเบโเบชเปเบฒโเปเบฅเบฑเบ (เบเปเปโเบฅเบทเบกโเบเบตเปโเบเบฐโเบเปเบฒโเบเบปเบโเบเปเบฒโเบชเบฐโเบซเบผเบฑเบโเบเบญเบโ)โ, เปเบซเปโเปเบเบดเปเบโเบเปเปโเบกเบนเบโเบเบฒเบโเบเบญเบโ:
sh authentication se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Successเบเบฝเบงเบเบตเป, เบเบฒเบกเบเบตเปเบชเบฑเบเบเบฒเปเบงเป, เปเบซเปเปเบเบดเปเบเบชเบญเบเบชเบฒเบกเบชเบฐเบเบฒเบเบฐเบเบฒเบเบเบตเปเบเปเปเบเบฐเปเบเปเบ. เบเบปเบงเบขเปเบฒเบ, เบเบงเบเปเบฎเบปเบฒเบเปเบฒเปเบเบฑเบเบเปเบญเบเปเบเบทเปเบญเบกเบเปเปเบเบญเบกเบเบดเบงเปเบเบตเบเบนเปเปเบเปเปเบฅเบฐเบญเบธเบเบฐเบเบญเบเปเบเบเบเปเบฒเบเบชเบฐเบงเบดเบเบเบตเปเบเปเปเบกเบตเบเบฒเบเบเบฑเบเบเบฒเบ (เบชเบฐเบซเบผเบฑเบ). เปเบเบเปเบฅเบฐเบเบตเบเบตเป, เบเบฒเบเบเบฑเปเบเบเปเบฒเบเบญเบเบชเปเบฒเบฅเบฑเบเบกเบฑเบเบเบฐเบกเบตเบฅเบฑเบเบชเบฐเบเบฐเบเบตเป:
เบชเบฐเบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบเปเบฒเบเบญเบเปเบ 802.1x host-mode multi-auth mode
interface GigabitEthernet1/0/1
description *SW โ 802.1x โ 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! ัะฒะตะปะธัะธะฒะฐะตะผ ะบะพะป-ะฒะพ ะดะพะฟัััะธะผัั
ะผะฐั-ะฐะดัะตัะพะฒ
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! โ ัะตะถะธะผ ะฐััะตะฝัะธัะธะบะฐัะธะธ
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS เบเบงเบโเปเบฎเบปเบฒโเปเบเปโเบชเบฑเบโเปเบเบโเปเบซเบฑเบ glitch เปเบเบโเบซเบผเบฒเบ - เบเปเบฒโเบซเบฒเบโเบงเปเบฒโเบญเบธโเบเบฐโเบเบญเบโเปเบเปโเบฎเบฑเบโเบเบฒเบโเปเบเบทเปเบญเบกโเบเปเปโเปเบเบโเบเปเบฒเบโเบเบฒเบโเบชเบฐโเบซเบผเบฑเบโเบเบฑเปเบโเบเปเบฒเบงโ, เปเบฅเบฐโเบซเบผเบฑเบโเบเบฒเบโเบเบฑเปเบโเบกเบฑเบโเปเบเปโเบเบทเบโเบชเบฝเบโเปเบเบปเปเบฒโเปเบโเปเบโเบชเบฐโเบงเบดเบโเบเบฒเบโเบเบธเปเบกโเบเบญเบโ, เบซเบผเบฑเบโเบเบฒเบโเบเบฑเปเบโเบกเบฑเบโเบเบฐโเบเปเปโเปเบฎเบฑเบโเบงเบฝเบโเบเบปเบโเบโเปโเบงเบฒโเบเบงเบโเปเบฎเบปเบฒ reboot (!) เบชเบฐโเบซเบผเบฑเบโเปเบเปโ. เปเบเบทเปเบญเปเบเปเปเบเบเบฑเบเบซเบฒเบเบตเปเปเบเบทเปเบญ.
เบเบธเบเบญเบทเปเบเบเบตเปเบเปเบฝเบงเบเปเบญเบเบเบฑเบ DHCP (เบเปเบฒ ip dhcp snooping เบเบทเบเบเปเบฒเปเบเป) - เปเบเบเบเปเปเบกเบตเบเบฒเบเปเบฅเบทเบญเบเบเบฑเปเบเบเปเบฒเบง:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionเบเปเบงเบเปเบซเบเบเบปเบเบเบฒเบเบขเปเบฒเบเบเบตเปเบเปเบญเบเบเปเปเบชเบฒเบกเบฒเบเปเบเปเบฎเบฑเบเบเบตเปเบขเบนเป IP เบขเปเบฒเบเบเบทเบเบเปเบญเบ ... เปเบเบดเบเปเบกเปเบเบงเปเบฒเบเบตเปเบญเบฒเบเบเบฐเปเบเบฑเบเบเบธเบเบชเบปเบกเบเบฑเบเบเบญเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบ DHCP เบเบญเบเบเบงเบเปเบฎเบปเบฒ
เปเบฅเบฐ Mac OS & Linux (เปเบเบดเปเบเบกเบตเบเบฒเบเบชเบฐเบซเบเบฑเบเบชเบฐเบซเบเบนเบ 802.1x เปเบเบเบเบทเปเบเปเบกเบทเบญเบ) เบเบฐเบเบฒเบเบฒเบกเบเบดเบชเบนเบเบขเบทเบเบขเบฑเบเบเบนเปเปเบเป, เปเบเบดเบเปเบกเปเบเบงเปเบฒเบเบฒเบเบเบดเบชเบนเบเบขเบทเบเบขเบฑเบเปเบเบเบเบตเปเบขเบนเป Mac เบเบฐเบเบทเบเบเบฑเปเบเบเปเบฒ.
เปเบเบชเปเบงเบเบเปเปเปเบเบเบญเบเบเบปเบเบเบงเบฒเบก, เบเบงเบเปเบฎเบปเบฒเบเบฐเปเบเบดเปเบเบเบฒเบเบเปเบฒเปเบเป 802.1x เบชเปเบฒเบฅเบฑเบ Wireless (เบเบถเปเบเบเบฑเบเบเบธเปเบกเบเบตเปเบเบฑเบเบเบตเบเบนเปเปเบเปเปเบเบฑเบ, เบเบงเบเปเบฎเบปเบฒเบเบฐ "เบเบดเปเบก" เบกเบฑเบเปเบเบปเปเบฒเปเบเปเบเปเบเบทเบญเบเปเบฒเบเบเบตเปเบชเบญเบเบเปเบญเบเบเบฑเบ (vlan), เปเบเบดเบเปเบกเปเบเบงเปเบฒเบเบงเบเปเบเบปเบฒเบเบฐเปเบเบทเปเบญเบกเบเปเปเบเบฑเบ. SSID เบเบฝเบงเบเบฑเบ).
เปเบซเบผเปเบเบเปเปเบกเบนเบ: www.habr.com