Windows Active Directory + NPS (á¡ááŸá¬ážáá¶ááá¯ááºáááºááŸáá
á±ááẠáá¬áᬠ2 áá¯) + áá¯á¶ážá
áœá²áá°áá»á¬ážá áááºáá±á¬ááºááááºážáá»á¯ááºááŸá¯ááŸáá·áº á
á
áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážáá»á¬ážá¡ááœáẠ802.1x á
á¶ááŸá¯ááºáž - ááá¯ááááºážááœááºááŒá°áá¬áá»á¬áž - á
ááºáá
á¹á
ááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážááᯠáááºááœá±á·ááœáẠá
ááºážá
á¬ážááŒáá·áºááŒáá«á
áá¯á·á áá®áá®áá®ážáá®ážáá¬ážááŸá á
á¶ááŸá¯ááºážá¡ááá¯ááºáž áá®á¡áá¯áá®ááᯠááá·áºááºááœáẠáááºááááá¯ááºáááºá
áá»áœááºá¯ááºá "áá¬ááºááœá²áááºáž" ááẠá¡áááºážá¡ááŒá áºáá»á¬ážááœáẠá¡ááá·áºá¡áááºááŸááá±á¬ááŒá±á¬áá·áº NPS ááŸáá·áº domain controller á á¡áááºážááá¹ááá»á¬ážááẠáááá¬áááŒá áºááá¯ááºáá±á¬áºáááºáž ááá¯áá²á·ááá¯á·áá±á¬ á¡áá±ážááŒá®ážáá±á¬áááºáá±á¬ááºááŸá¯áá»á¬ážááᯠááœá²ááŒá¬ážáá¬ážááẠá¡ááŒá¶ááŒá¯á¡ááºáá«áááºá
Windows NPS ááœá²á·á ááºážááŸá¯áá¯á¶á á¶áá»á¬áž (áá°áá«ááá»á¬áž) ááᯠáá áºááŒáá¯ááºáááºážáá¯ááºáá±á¬ááºááẠá á¶áááºážáááºážáá»á¬ážááᯠáá»áœááºá¯ááºááááá«á ááá¯á·ááŒá±á¬áá·áº á¡áá¯ááºáá»áááºááá¬ážá á®á ááºáá°á០áá¯ááºááœáŸááºáá±á¬ PowerShell scripts áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá«ááẠ(á á¬áá±ážáá°ááẠáá»áœááºá¯ááºá áá¯ááºáá±á¬áºááá¯ááºáááºáá±á¬ááºážááŒá áºáááº)á ááá¯ááááºážááœááºááŒá°áá¬áá»á¬ážá á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážá¡ááœáẠááŸáá·áº ááááá¯ááºáá±á¬ á ááºáá á¹á ááºážáá»á¬ážá¡ááœáẠ802.1x (áá¯ááºážáá»á¬ážá ááááºáᬠá áááºááŒáá·áº)á á¡á¯ááºá á¯áá°áá«áááᯠááŒááºáááºááŒá®áž áá¯á¶ááŒá¯á¶áá±ážá¡ááœá²á·áá»á¬ážááᯠáááºáá®ážáá«áááºá
áá±á¬ááºážáá«ážáá¡áá¯á¶ážááœááºá 802.1x ááŸáá·áºá¡áá¯ááºáá¯ááºááŒááºážáááŸá¯ááºááœá±ážááŸá¯á¡áá»áá¯á·ááá¯áááºááŒá±á¬ááŒáá«ááẠ- áááºá
á®áá¶ááá·áºááœá²ááá¬ážáá±á¬ááá¯ááºáá»á¬ážá dynamic ACLs á
áááºááá¯á·ááá¯áááºááá¯á·á¡áá¯á¶ážááŒá¯ááááºáááºážá .
Windows Server 2012R2 ááœáẠfailover NPS ááᯠááá·áºááœááºážááŒááºážááŸáá·áº ááŒááºáááºááŒááºážááá¯á·ááŒáá·áº á
áááºááŒáá«á
áá¯á· (2016 ááœáẠá¡áá¬á¡á¬ážáá¯á¶ážááẠá¡áá°áá°áááºááŒá
áºáááº): Server Manager -> Add Roles and Features Wizard ááŸáááá·áº Network Policy Server ááá¯áᬠááœá±ážáá»ááºáá«á
ááá¯á·ááá¯áẠPowerShell ááá¯á¡áá¯á¶ážááŒá¯áááº-
Install-WindowsFeature NPAS -IncludeManagementTools
áá±ážáááºáá±á¬ááŸááºážáááºážáá»áẠ- á¡ááá¯á· áá¬ááœááºáá¬ážáá±á¬ EAP (PEAP) áá¯á¶ážá áœá²áá°ááœááºááŒá°áá¬áá»á¬ážááœáẠáá¯á¶ááŒááºáááá·áº áá¬áá¬á á á áºááŸááºááŒá±á¬ááºáž á¡áááºááŒá¯ááá·áº áááºááŸááºáá áºáᯠááá¯á¡ááºáááºááŸá¬ áá±áá»á¬áá«áááºá ááá¯á·áá±á¬áẠá¡áááºážááá¹áááᯠááá·áºááœááºážááẠááá¯á¡ááºáá±áááá·áºáááºá áááºááŸááºáá¡á¬áá¬ááá¯ááº. áá«áá±ááá·áº áá»áœááºáá±á¬áºááá¯á· áá°ááá«áááá·áºáááºá CA áááºáááºááŒá®ážáá¬ážáá«...
áá¯ááááá¬áá¬ááœáẠá¡áá¬ážáá°áá¯ááºááŒáá«á áá¯á·á áá¬áá¬ááŸá áºáá¯áá¯á¶ážááœáẠC:Scripts script á¡ááœáẠááá¯ááºáá«áá áºáᯠáááºáá®ážááŒáá«á áá¯á· SRV2NPS-config$
ááááá¬áá¬ááœáẠPowerShell script ááá¯áááºáá®ážááŒáá«á áá¯á· C:ScriptsExport-NPS-config.ps1 á¡á±á¬ááºáá«á¡ááŒá±á¬ááºážá¡áá¬ááŸáá·áºá¡áá°
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"
áááºážáá±á¬ááºá Task Sheduler ááœáẠáá¬áááºááᯠconfigure áá¯ááºááŒáá«á áá¯á·- "Export-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
á¡áá¯á¶ážááŒá¯áá°á¡á¬ážáá¯á¶ážá¡ááœáẠáá¯ááºáá±á¬ááºáá« - á¡ááŒáá·áºáá¯á¶ážá¡ááœáá·áºá¡áá±ážááŒáá·áº áá¯ááºáá±á¬ááºáá«á
áá±á·á
áẠ- á¡áá¯ááºáá
áºáá¯ááᯠ10 áááá
áºááá¯ááºáž ááŒááºáá¯ááºáá«á 8 áá¬áá®á¡ááœááºáž
á¡ááẠNPS ááœááºá ááá·áºááœááºážááŸá¯ááœá²á·á
ááºážáá¯á¶ (áá°áá«ááá»á¬áž) ááᯠá
á®á
ááºáááºááŸááºáá«-
PowerShell script ááá¯áááºáá®ážááŒáá«á
áá¯á·á
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1
ááŸáá·áº áááºážááᯠ10 áááá áºááá¯ááºáž áá¯ááºáá±á¬ááºááẠáá¬áááºáá áºáá¯á
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
á¡áá¯á¶ážááŒá¯áá°á¡á¬ážáá¯á¶ážá¡ááœáẠáá¯ááºáá±á¬ááºáá« - á¡ááŒáá·áºáá¯á¶ážá¡ááœáá·áºá¡áá±ážááŒáá·áº áá¯ááºáá±á¬ááºáá«á
áá±á·á
áẠ- á¡áá¯ááºáá
áºáá¯ááᯠ10 áááá
áºááá¯ááºáž ááŒááºáá¯ááºáá«á 8 áá¬áá®á¡ááœááºáž
ááá¯á á áºáá±ážáááºá áá¬áá¬áá»á¬ážáá²á០(!) áá áºáá¯ááœáẠNPS ááá¯á· RADIUS áá±á¬ááºáááºáá»á¬áž (IP ááŸáá·áº Shared Secret) ááŸá ááá¯ááºá¡áá»áá¯á· (!) áá»áááºáááºááŸá¯áá±á¬ááºážááá¯ááŸá¯ áá°áá«áááŸá áºáá¯ááᯠáá±á«ááºážááá·áºááŒáá«á áá¯á·á WIRED-áá»áááºáááºáá«á (á¡ááŒá±á¡áá±- âNAS port á¡áá»áá¯ážá¡á á¬ážááẠEthernetâ) ááŸáá·áº WiFi-áá¯ááºáááºáž (á¡ááŒá±á¡áá±- âNAS port á¡áá»áá¯ážá¡á á¬ážááẠIEEE 802.11â) á¡ááŒáẠááœááºáááºáá°áá«á Cisco ááœááºáááºá ááºáá á¹á ááºážáá»á¬ážááᯠáááºáá±á¬ááºááŒáá·áºááŸá¯áá«á (ááœááºáááºá á®áá¶ááá·áºááœá²áá°áá»á¬áž)
УÑлПвОÑ:
ÐÑÑÐ¿Ð¿Ñ Windows - domainsg-network-admins
ÐгÑаМОÑеМОÑ:
ÐеÑÐŸÐŽÑ Ð¿ÑПвеÑкО пПЎлОММПÑÑО - ÐÑПвеÑка ПÑкÑÑÑÑÐŒ ÑекÑÑПЌ (PAP, SPAP)
ÐаÑаЌеÑÑÑ:
ÐÑÑОбÑÑÑ RADIUS: СÑаМЎаÑÑ - Service-Type - Login
ÐавОÑÑÑОе ÐŸÑ Ð¿ÐŸÑÑавÑОка - Cisco-AV-Pair - Cisco - shell:priv-lvl=15
ááá¯ááºáááºááœááºá á¡á±á¬ááºáá«áááºáááºáá»á¬áž-
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99
ááœá²á·á ááºážááŸá¯ááŒá®ážáá±á¬ááºá 10 áááá áºá¡ááŒá¬ááœááºá clientspolicy parameters áá»á¬ážá¡á¬ážáá¯á¶ážááẠbackup NPS ááœááºáá±á«áºáá¬áááºááŒá áºááŒá®ážá áá»áœááºá¯ááºááá¯á·ááẠdomainsg-network-admins á¡á¯ááºá á¯ááẠ(áá»áœááºá¯ááºááá¯á·ááŒáá¯áááºáááºáá®ážáá¬ážáá±á¬) ActiveDirectory á¡áá±á¬áá·áºááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºáá»á¬ážááá¯á· áá»áœááºá¯ááºááá¯á·áááºáá±á¬ááºááá¯ááºáá«áááºá
Active Directory ááᯠá áááºáááºááŸááºááŒááºážááá¯á· áááºááœá¬ážááŒáá«á áá¯á· - á¡ááœá²á·ááŸáá·áº á áá¬ážááŸáẠáá°áá«ááá»á¬ážááᯠáááºáá®ážáá«á ááá¯á¡ááºáá±á¬ á¡á¯ááºá á¯áá»á¬ážááᯠáááºáá®ážáá«á
á¡á¯ááºá á¯áá°áá«á ááœááºáá»á°áá¬áá»á¬áž-8021x-áááºáááºáá»á¬áž:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
áá¯á¶ááŒá¯á¶áá±ážá¡ááœá²á·áá
áºáᯠáááºáá®ážááŒáá«á
áá¯á· sg-computers-8021x-vl100áá»áœááºá¯ááºááá¯á·ááẠvlan 100 ááá¯á· ááŒáá·áºáá±ááá¯áá±á¬ ááœááºáá»á°áá¬áá»á¬ážááᯠáá±á«ááºážááá·áºáᬠá€á¡ááœá²á·á¡ááœáẠááááºáááºáá®ážáá¬ážáá±á¬ á¡ááœá²á·áá°áá«áá¡ááœáẠá
á
áºáá¯ááºááŒááºážááᯠá
á®á
ááºáááºááŸááºáááº-
âNetwork and Sharing Center (Network and Internet Settings) â Adapter áááºáááºáá»á¬áž ááŒá±á¬ááºážáá²ááŒááºáž (Adapter áááºáááºáá»á¬ážááᯠConfiguring Adapter Properties) â Adapter Propertiesâ ááá¯ááœáá·áºááŒááºážááŒáá·áº áá°áá«á á¡á±á¬ááºááŒááºá
áœá¬ áá¯ááºáá±á¬ááºááá¯ááºááŒá®ááŒá
áºááŒá±á¬ááºáž á¡áááºááŒá¯ááá¯ááºáá«áááºá
áá°áá«áááᯠá¡á±á¬ááºááŒááºá
áœá¬ áá»áá·áºáá¯á¶ážááŒá±á¬ááºáž áááºáá¯á¶ááŒááºáá¬áá±á¬á¡áá«ááœááºá áááºááẠNPS ááœáẠááœááºáááºáá°áá«áááᯠá
áá
áºááá·áºááœááºážáááºááŸáá·áº á¡ááá·áºááá¯ááºáá»á¬ážááᯠáááºáá±á¬ááºá¡áá¯á¶ážááŒá¯ááá¯ááºááẠáááºáááºáá¯ááºáá±á¬ááºááá¯ááºáá«áááºá
ááœááºáááºáá°áá«áááᯠáááºáá®ážááŒáá«á áá¯á· neag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
switch port á¡ááœáẠáá¯á¶ááŸááºáááºáááºáá»á¬áž (âmulti-domainâ á
á
áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážá¡áá»áá¯ážá¡á
á¬ážááᯠá¡áá¯á¶ážááŒá¯áá¬ážááŒá±á¬ááºáž áááááŒá¯áá« â Data & Voice ááŸáá·áº mac address á០á
á
áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááá¯ááºááŒá±áááºážááŸááá«áááºá âá¡áá°ážá¡ááŒá±á¬ááºážáá¬áâ á¡ááœááºážááœáẠáááºážááá¯á¡áá¯á¶ážááŒá¯ááẠá¡áááá¹áá«ááºááŸááá«ááẠááá·áºáááºáá»ááºáá»á¬áž
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan id ááẠ"quarantine" áá áºáá¯ááá¯ááºáá±á¬áºáááºážá á¡á¬ážáá¯á¶ážá¡á±á¬ááºááŒááºá áœá¬áááºáá±á¬ááºááŒá®ážáá±á¬ááºá¡áá¯á¶ážááŒá¯áá°áááœááºááŒá°áá¬ááá¯á·ááœá¬ážááá·áºááá·áºáá±áá¬ááŸáá·áºá¡áá°áá°ááŒá áºááẠ- á¡áá¬á¡á¬ážáá¯á¶ážáááºááá·áºááá±á¬ááºá¡áá¯ááºáá¯ááºááŒá±á¬ááºážáá±áá»á¬áááºá¡ááá á¥ááá¬á¡á¬ážááŒáá·áºá á á®áá¶ááá·áºááœá²ááá¬ážáá±á¬ ááá¯ááºááᯠဠport ááœáẠááááºááá¯ážáá¬ážááá·áºá¡áá«á á¡áá±á¬ááºá¡áá¬ážáááá¯ááºáá¯á¶áá±á¬ á ááºáá á¹á ááºážá¡á¬ážáá¯á¶ážááẠá¡áá»áá¯á·áá±á¬ vlan ("quarantine") ááá¯á· áá»áá±á¬ááºá á±ááá¯ááá·áºá¡áá« á€áá°áá®áá±á¬áá±á¬ááºáá»á¬ážááᯠá¡ááŒá¬ážá¡ááŒá±á¡áá±áá»á¬ážááœáẠá¡áá¯á¶ážááŒá¯ááá¯ááºáá«áááºá
802.1x host-mode multi-domain mode ááœáẠport áááºáááºáá»á¬ážááá¯ááŒá±á¬ááºážáá«á
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit
ááá·áºááœááºááŒá°áá¬ááŸáá·áº áá¯ááºážááᯠááœááºááŒá°áá¬ááŒáá·áº á á áºááŸááºááŒá±á¬ááºáž á¡áááºááŒá¯ááŒááºáž á¡á±á¬ááºááŒááºááŒá±á¬ááºáž áá±áá»á¬á á±ááá¯ááºáá«áááºá
sh authentication sessions int Gi1/0/39 det
áá² á¡ááœá²á·áá áºáᯠáááºáá®ážááá¯ááºáá¡á±á¬áẠ(á¥ááá¬á sg-fgpp-mab ) áá¯ááºážáá»á¬ážá¡ááœáẠActive Directory ááœáẠá ááºážáááºáááºá¡ááœáẠá ááºáá áºáá¯áá²ááá¯á· ááá·áºáá« (áá»áœááºá¯ááºááá á¹á ááœáẠáááºážááẠGrandstream GXP2160 ááááºá á¬ááŸáá·áºá¡áá° 000b.82ba.a7b1 ááŸáá·áº resp á¡áá±á¬áá·áº ááá¯ááááºáž 00b82baa7b1).
áááºáá®ážáá¬ážáá±á¬á¡ááœá²á·á¡ááœááºá áá»áœááºá¯ááºááá¯á·ááẠá
áá¬ážááŸááºáá°áá«áááá¯á¡ááºáá»ááºáá»á¬áž (á¡áá¯á¶ážááŒá¯á) áá»áŸá±á¬á·áá»áá«áááºá
ááá¯á·ááŒá±á¬áá·áºá áá»áœááºá¯ááºááá¯á·ááẠá
áá¬ážááŸááºáá»á¬ážá¡ááŒá
Ạdevice mas ááááºá
á¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááœáá·áº ááŒá¯áá«áááºá á¡á²áá«ááŒá®ážáááºáá±á¬á· 802.1x method mab á¡áá±á¬ááºá¡áá¬ážá
áá
á
áºááŒááºážá¡ááœáẠááœááºáááºáá°áá«áááᯠáááºáá®ážááá¯ááºáááºá á¡á²áá«ááᯠneag-devices-8021x-voice ááá¯á·áá±á«áºááŒáá«á
áá¯á·á ááá·áºáááºáá»ááºáá»á¬ážááŸá¬ á¡á±á¬ááºáá«á¡ááá¯ááºážááŒá
áºáááºá
- NAS Port á¡áá»áá¯ážá¡á á¬áž - á¡á®áá¬áááº
- Windows á¡á¯ááºá á¯áá»á¬áž â sg-fgpp-mab
- EAP á¡áá»áá¯ážá¡á á¬ážáá»á¬áž- áá¯ááºááá«áá±á¬ á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬áž (PAPá SPAP)
- RADIUS á¡ááºá¹áá«áááºáá»á¬áž â áá±á¬ááºážáá»áá° áá®ážááá·áº- Cisco â Cisco-AV-Pair â áááºááœáŸááºážáá»ááºáááºááá¯áž- device-traffic-class=voice
á¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºážá¡á±á¬ááºááŒááºááŒá®ážáá±á¬áẠ(ááá¯ááºááᯠáá»áááºáááºááẠááá±á·áá«ááŸáá·áº) ááááºáááºážá០á¡áá»ááºá¡áááºááᯠááŒáá·áºááŒáá«á áá¯á·á
sh authentication se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Success
á¡áá¯ááŒá±á¬áá¬ážáá²á·á¡ááá¯ááºážá áá¯á¶ážáááááá¬áá²á· á¡ááŒá±á¡áá±ááá»áá¯á·ááᯠááŒáá·áºááŒáá¡á±á¬ááºá á¥ááá¬á¡á¬ážááŒáá·áºá áá»áœááºá¯ááºááá¯á·ááẠá¡áá¯á¶ážááŒá¯áá°ááœááºááŒá°áá¬áá»á¬ážááŸáá·áº á ááºáá»á¬ážááᯠá á®áá¶ááá·áºááœá²ááá¬ážáá±á¬ ááá¯áẠ(switch) ááŸáááá·áº áá»áááºáááºááẠááá¯á¡ááºáááºá á€ááá á¹á ááœááºá áááºážá¡ááœáẠport áááºáááºáá»á¬ážááẠá€áá²á·ááá¯á·ááŒá áºáá±áááá·áºáááº-
802.1x host-mode multi-auth mode ááœáẠport áááºáááºáá»á¬ážááá¯ááŒá±á¬ááºážáá«á
interface GigabitEthernet1/0/1
description *SW â 802.1x â 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! ÑвелОÑОваеЌ кПл-вП ЎПпÑÑÑОЌÑÑ
ЌаÑ-аЎÑеÑПв
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! â ÑежОЌ аÑÑеМÑОÑОкаÑОО
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu
PS ááẠá¡ááœááºáá°ážáááºážáá±á¬ áá»áá¯á·ááœááºážáá»ááºáá áºáá¯ááᯠáááááŒá¯áááááº- á¡áááºá á ááºá¡á¬áž ááá¯áá²á·ááá¯á·áá±á¬ ááá¯ááºááŒáá·áº áá»áááºáááºáá¬ážáá»áŸááºá áááºážááᯠá á®áá¶ááá·áºááœá²áá¬ážáá±á¬ ááá¯ááºááá¯á· ááááºááá¯ážáá¬ážáá»áŸáẠááá¯ááºááᯠáá»áœááºá¯ááºááá¯á· (!) ááŒááºáááºá áááºááá·áºá¡áá»áááºá¡áá á¡áá¯ááºááá¯ááºáá±á¬á·áá«á á¡ááŒá¬ážáááºážáááºážááᯠááŸá¬áááœá±á·áá±ážáá«á áá®ááŒá¿áá¬ááᯠááŒá±ááŸááºážááá¯á· áááŸááá±ážáá°ážá
DHCP ááŸáá·áº áááºá ááºáá±á¬ á¡ááŒá¬ážá¡áá»áẠ(ip dhcp snooping ááᯠá¡áá¯á¶ážááŒá¯áá«á) - ááá¯áá²á·ááá¯á·áá±á¬ ááœá±ážáá»ááºá áá¬áá»á¬áž áááŸááá²-
ip dhcp snooping vlan 1-100
no ip dhcp snooping information option
á¡ááŒá±á¬ááºážááŒáá»ááºá¡áá»áá¯á·ááŒá±á¬áá·áº IP ááááºá á¬ááᯠááŸááºáááºá áœá¬ááááá¯ááºáá«... áááºážááẠáá»áœááºá¯ááºááá¯á·á DHCP áá¬áá¬á á¡ááºá¹áá«áááºáá áºáá¯ááŒá áºááá¯ááºáá±á¬áºáááºážá
Mac OS ááŸáá·áº Linux (áá°áááºáž 802.1x áá¶á·ááá¯ážááŸá¯ááŸááá±á¬) Mac ááááºá á¬ááŒáá·áº á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážááᯠááŒááºáááºáá¬ážáá±á¬áºáááºáž á¡áá¯á¶ážááŒá¯áá°ááᯠá á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááẠááŒáá¯ážá á¬ážáá«á
áá±á¬ááºážáá«ážááá±á¬ááºá¡ááá¯ááºážááœááºá Wireless á¡ááœáẠ802.1x á¡áá¯á¶ážááŒá¯ááŸá¯ááᯠááŒáá·áºááŸá¯áá«ááẠ(á¡áá¯á¶ážááŒá¯áá°á¡áá±á¬áá·áºááá¯ááºááá¯ááºááá·áºá¡ááœá²á·áá±á«áºáá°áááºá áááºááá¯ááºáá¬ááœááºááẠ(vlan) ááá¯á· áááºážááá¯á·á¡á¬áž áá»áááºáááºáá±ážáááºááŒá áºáá±á¬áºáááºážá SSID á¡áá°áá°)á
source: www.habr.com