ਫੇਲਓਵਰ NPS ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਸਿਸਕੋ ਸਵਿੱਚਾਂ 'ਤੇ 802.1X ਦੀ ਸੰਰਚਨਾ ਕਰਨਾ (AD ਦੇ ​​ਨਾਲ ਵਿੰਡੋਜ਼ ਰੇਡੀਅਸ)

ਆਉ ਉਪਯੋਗਕਰਤਾਵਾਂ - ਡੋਮੇਨ ਕੰਪਿਊਟਰਾਂ - ਡਿਵਾਈਸਾਂ ਦੇ ਐਕਸੈਸ ਨਿਯੰਤਰਣ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਵਿੰਡੋਜ਼ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ + ਐਨਪੀਐਸ (ਨੁਕਸ ਸਹਿਣਸ਼ੀਲਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ 2 ਸਰਵਰ) + 802.1x ਸਟੈਂਡਰਡ ਦੀ ਵਰਤੋਂ 'ਤੇ ਵਿਚਾਰ ਕਰੀਏ। ਤੁਸੀਂ ਲਿੰਕ 'ਤੇ, ਵਿਕੀਪੀਡੀਆ 'ਤੇ ਸਟੈਂਡਰਡ ਦੇ ਅਨੁਸਾਰ ਸਿਧਾਂਤ ਤੋਂ ਜਾਣੂ ਹੋ ਸਕਦੇ ਹੋ: ਆਈਈਈਈ 802.1 ਐਕਸ

ਕਿਉਂਕਿ ਮੇਰੀ "ਪ੍ਰਯੋਗਸ਼ਾਲਾ" ਸੰਸਾਧਨਾਂ ਵਿੱਚ ਸੀਮਿਤ ਹੈ, NPS ਅਤੇ ਡੋਮੇਨ ਕੰਟਰੋਲਰ ਦੀਆਂ ਭੂਮਿਕਾਵਾਂ ਅਨੁਕੂਲ ਹਨ, ਪਰ ਮੈਂ ਸਿਫ਼ਾਰਸ਼ ਕਰਦਾ ਹਾਂ ਕਿ ਤੁਸੀਂ ਅਜੇ ਵੀ ਅਜਿਹੀਆਂ ਮਹੱਤਵਪੂਰਨ ਸੇਵਾਵਾਂ ਨੂੰ ਵੱਖ ਕਰੋ।

ਮੈਨੂੰ Windows NPS ਕੌਂਫਿਗਰੇਸ਼ਨਾਂ (ਨੀਤੀਆਂ) ਨੂੰ ਸਮਕਾਲੀ ਕਰਨ ਦੇ ਮਿਆਰੀ ਤਰੀਕੇ ਨਹੀਂ ਪਤਾ, ਇਸਲਈ ਅਸੀਂ ਟਾਸਕ ਸ਼ਡਿਊਲਰ ਦੁਆਰਾ ਲਾਂਚ ਕੀਤੀਆਂ PowerShell ਸਕ੍ਰਿਪਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਾਂਗੇ (ਲੇਖਕ ਮੇਰਾ ਸਾਬਕਾ ਸਹਿਯੋਗੀ ਹੈ)। ਡੋਮੇਨ ਕੰਪਿਊਟਰਾਂ ਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਅਤੇ ਉਹਨਾਂ ਡਿਵਾਈਸਾਂ ਲਈ ਜੋ ਨਹੀਂ ਕਰ ਸਕਦੇ ਹਨ 802.1x (ਫੋਨ, ਪ੍ਰਿੰਟਰ, ਆਦਿ), ਸਮੂਹ ਨੀਤੀ ਨੂੰ ਕੌਂਫਿਗਰ ਕੀਤਾ ਜਾਵੇਗਾ ਅਤੇ ਸੁਰੱਖਿਆ ਸਮੂਹ ਬਣਾਏ ਜਾਣਗੇ।

ਲੇਖ ਦੇ ਅੰਤ ਵਿੱਚ, ਮੈਂ ਤੁਹਾਨੂੰ 802.1x ਦੇ ਨਾਲ ਕੰਮ ਕਰਨ ਦੀਆਂ ਕੁਝ ਪੇਚੀਦਗੀਆਂ ਬਾਰੇ ਦੱਸਾਂਗਾ - ਤੁਸੀਂ ਕਿਵੇਂ ਪ੍ਰਬੰਧਨ ਰਹਿਤ ਸਵਿੱਚਾਂ, ਗਤੀਸ਼ੀਲ ACLs, ਆਦਿ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ। ਮੈਂ ਫੜੀਆਂ ਗਈਆਂ “ਗਲਤੀਆਂ” ਬਾਰੇ ਜਾਣਕਾਰੀ ਸਾਂਝੀ ਕਰਾਂਗਾ। .

ਆਉ ਵਿੰਡੋਜ਼ ਸਰਵਰ 2012R2 (2016 ਵਿੱਚ ਸਭ ਕੁਝ ਇੱਕੋ ਜਿਹਾ ਹੈ) 'ਤੇ ਫੇਲਓਵਰ NPS ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਅਤੇ ਸੰਰਚਿਤ ਕਰਨ ਦੇ ਨਾਲ ਸ਼ੁਰੂ ਕਰੀਏ: ਸਰਵਰ ਮੈਨੇਜਰ -> ਰੋਲ ਅਤੇ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਸ਼ਾਮਲ ਕਰੋ ਵਿਜ਼ਾਰਡ ਦੁਆਰਾ, ਸਿਰਫ ਨੈੱਟਵਰਕ ਨੀਤੀ ਸਰਵਰ ਦੀ ਚੋਣ ਕਰੋ।

ਜਾਂ PowerShell ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ:

Install-WindowsFeature NPAS -IncludeManagementTools

ਇੱਕ ਛੋਟਾ ਜਿਹਾ ਸਪਸ਼ਟੀਕਰਨ - ਦੇ ਲਈ ਸੁਰੱਖਿਅਤ EAP (PEAP) ਤੁਹਾਨੂੰ ਨਿਸ਼ਚਤ ਤੌਰ 'ਤੇ ਸਰਵਰ ਦੀ ਪ੍ਰਮਾਣਿਕਤਾ (ਵਰਤਣ ਦੇ ਉਚਿਤ ਅਧਿਕਾਰਾਂ ਦੇ ਨਾਲ) ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਵਾਲੇ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਦੀ ਜ਼ਰੂਰਤ ਹੋਏਗੀ, ਜੋ ਕਿ ਕਲਾਇੰਟ ਕੰਪਿਊਟਰਾਂ 'ਤੇ ਭਰੋਸੇਯੋਗ ਹੋਵੇਗਾ, ਫਿਰ ਤੁਹਾਨੂੰ ਸਭ ਤੋਂ ਵੱਧ ਭੂਮਿਕਾ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਹੋਏਗੀ। ਸਰਟੀਫਿਕੇਸ਼ਨ ਅਥਾਰਟੀ. ਪਰ ਅਸੀਂ ਇਹ ਮੰਨ ਲਵਾਂਗੇ CA ਤੁਹਾਡੇ ਕੋਲ ਪਹਿਲਾਂ ਹੀ ਇਹ ਸਥਾਪਿਤ ਹੈ ...

ਚਲੋ ਦੂਜੇ ਸਰਵਰ 'ਤੇ ਵੀ ਅਜਿਹਾ ਹੀ ਕਰੀਏ। ਚਲੋ C:Scripts ਸਕਰਿਪਟ ਲਈ ਇੱਕ ਫੋਲਡਰ ਦੋਨਾਂ ਸਰਵਰਾਂ ਤੇ ਅਤੇ ਦੂਜੇ ਸਰਵਰ ਤੇ ਇੱਕ ਨੈਟਵਰਕ ਫੋਲਡਰ ਬਣਾਈਏ। SRV2NPS-config$

ਆਉ ਪਹਿਲੇ ਸਰਵਰ ਤੇ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਬਣਾਈਏ C:ScriptsExport-NPS-config.ps1 ਹੇਠ ਦਿੱਤੀ ਸਮੱਗਰੀ ਦੇ ਨਾਲ:

Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"

ਇਸ ਤੋਂ ਬਾਅਦ, ਟਾਸਕ ਸ਼ੈਡਿਊਲਰ ਵਿੱਚ ਟਾਸਕ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੀਏ: “ਨਿਰਯਾਤ-Nps ਕੌਂਫਿਗਰੇਸ਼ਨ"

powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"

ਸਾਰੇ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਚਲਾਓ - ਉੱਚ ਅਧਿਕਾਰਾਂ ਨਾਲ ਚਲਾਓ
ਰੋਜ਼ਾਨਾ - ਹਰ 10 ਮਿੰਟਾਂ ਵਿੱਚ ਕੰਮ ਨੂੰ ਦੁਹਰਾਓ। 8 ਘੰਟਿਆਂ ਦੇ ਅੰਦਰ

ਬੈਕਅੱਪ NPS 'ਤੇ, ਸੰਰਚਨਾ ਦੇ ਆਯਾਤ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ (ਨੀਤੀਆਂ):
ਆਉ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਬਣਾਈਏ:

echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1

ਅਤੇ ਇਸਨੂੰ ਹਰ 10 ਮਿੰਟਾਂ ਵਿੱਚ ਚਲਾਉਣ ਲਈ ਇੱਕ ਕੰਮ:

powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"

ਸਾਰੇ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਚਲਾਓ - ਉੱਚ ਅਧਿਕਾਰਾਂ ਨਾਲ ਚਲਾਓ
ਰੋਜ਼ਾਨਾ - ਹਰ 10 ਮਿੰਟਾਂ ਵਿੱਚ ਕੰਮ ਨੂੰ ਦੁਹਰਾਓ। 8 ਘੰਟਿਆਂ ਦੇ ਅੰਦਰ

ਹੁਣ, ਜਾਂਚ ਕਰਨ ਲਈ, ਆਓ RADIUS ਕਲਾਇੰਟਸ (IP ਅਤੇ ਸ਼ੇਅਰਡ ਸੀਕਰੇਟ), ਦੋ ਕੁਨੈਕਸ਼ਨ ਬੇਨਤੀ ਨੀਤੀਆਂ ਵਿੱਚ ਇੱਕ ਸਰਵਰ(!) ਵਿੱਚ ਕੁਝ ਸਵਿੱਚਾਂ ਨੂੰ NPS ਵਿੱਚ ਜੋੜੀਏ: ਵਾਇਰਡ-ਕਨੈਕਟ (ਸਥਿਤੀ: “NAS ਪੋਰਟ ਕਿਸਮ ਈਥਰਨੈੱਟ ਹੈ”) ਅਤੇ ਵਾਈਫਾਈ-ਐਂਟਰਪ੍ਰਾਈਜ਼ (ਸ਼ਰਤ: "NAS ਪੋਰਟ ਕਿਸਮ IEEE 802.11 ਹੈ"), ਅਤੇ ਨਾਲ ਹੀ ਨੈੱਟਵਰਕ ਨੀਤੀ ਸਿਸਕੋ ਨੈੱਟਵਰਕ ਡਿਵਾਈਸਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰੋ (ਨੈੱਟਵਰਕ ਐਡਮਿਨ):

Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15

ਸਵਿੱਚ ਸਾਈਡ 'ਤੇ, ਹੇਠ ਲਿਖੀਆਂ ਸੈਟਿੰਗਾਂ:

aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
 server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
 server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
 exec-timeout 5 0
 transport input ssh
 escape-character 99
line vty 5 15
 exec-timeout 5 0
 logging synchronous
 transport input ssh
 escape-character 99

ਸੰਰਚਨਾ ਤੋਂ ਬਾਅਦ, 10 ਮਿੰਟਾਂ ਬਾਅਦ, ਸਾਰੇ ਗਾਹਕ ਨੀਤੀ ਪੈਰਾਮੀਟਰ ਬੈਕਅੱਪ NPS 'ਤੇ ਦਿਖਾਈ ਦੇਣੇ ਚਾਹੀਦੇ ਹਨ ਅਤੇ ਅਸੀਂ ਇੱਕ ActiveDirectory ਖਾਤੇ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਵਿੱਚਾਂ ਵਿੱਚ ਲੌਗਇਨ ਕਰਨ ਦੇ ਯੋਗ ਹੋਵਾਂਗੇ, domainsg-network-admins ਸਮੂਹ (ਜੋ ਅਸੀਂ ਪਹਿਲਾਂ ਤੋਂ ਬਣਾਇਆ ਸੀ) ਦਾ ਮੈਂਬਰ।

ਚਲੋ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਸੈਟ ਅਪ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦੇ ਹਾਂ - ਗਰੁੱਪ ਅਤੇ ਪਾਸਵਰਡ ਪਾਲਿਸੀਆਂ ਬਣਾਓ, ਲੋੜੀਂਦੇ ਗਰੁੱਪ ਬਣਾਓ।

ਸਮੂਹ ਨੀਤੀ ਕੰਪਿਊਟਰ-8021x-ਸੈਟਿੰਗ:

Computer Configuration (Enabled)
   Policies
     Windows Settings
        Security Settings
          System Services
     Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies

NPS-802-1x

Name	NPS-802-1x
Description	802.1x
Global Settings
SETTING	VALUE
Use Windows wired LAN network services for clients	Enabled
Shared user credentials for network authentication	Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access	Enabled
Enforce use of IEEE 802.1X authentication for network access	Disabled
IEEE 802.1X Settings
Computer Authentication	Computer only
Maximum Authentication Failures	10
Maximum EAPOL-Start Messages Sent	 
Held Period (seconds)	 
Start Period (seconds)	 
Authentication Period (seconds)	 
Network Authentication Method Properties
Authentication method	Protected EAP (PEAP)
Validate server certificate	Enabled
Connect to these servers	 
Do not prompt user to authorize new servers or trusted certification authorities	Disabled
Enable fast reconnect	Enabled
Disconnect if server does not present cryptobinding TLV	Disabled
Enforce network access protection	Disabled
Authentication Method Configuration
Authentication method	Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any)	Enabled

ਆਓ ਇੱਕ ਸੁਰੱਖਿਆ ਸਮੂਹ ਬਣਾਈਏ sg-computers-8021x-vl100, ਜਿੱਥੇ ਅਸੀਂ ਉਹਨਾਂ ਕੰਪਿਊਟਰਾਂ ਨੂੰ ਜੋੜਾਂਗੇ ਜੋ ਅਸੀਂ vlan 100 ਵਿੱਚ ਵੰਡਣਾ ਚਾਹੁੰਦੇ ਹਾਂ ਅਤੇ ਇਸ ਗਰੁੱਪ ਲਈ ਪਹਿਲਾਂ ਬਣਾਈ ਗਈ ਗਰੁੱਪ ਨੀਤੀ ਲਈ ਫਿਲਟਰਿੰਗ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹਾਂ:

ਤੁਸੀਂ "ਨੈੱਟਵਰਕ ਅਤੇ ਸ਼ੇਅਰਿੰਗ ਸੈਂਟਰ (ਨੈੱਟਵਰਕ ਅਤੇ ਇੰਟਰਨੈਟ ਸੈਟਿੰਗਾਂ) - ਅਡਾਪਟਰ ਸੈਟਿੰਗਾਂ ਨੂੰ ਬਦਲਣਾ (ਅਡਾਪਟਰ ਸੈਟਿੰਗਾਂ ਦੀ ਸੰਰਚਨਾ ਕਰਨਾ) - ਅਡਾਪਟਰ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ" ਨੂੰ ਖੋਲ੍ਹ ਕੇ ਪੁਸ਼ਟੀ ਕਰ ਸਕਦੇ ਹੋ ਕਿ ਨੀਤੀ ਨੇ ਸਫਲਤਾਪੂਰਵਕ ਕੰਮ ਕੀਤਾ ਹੈ, ਜਿੱਥੇ ਅਸੀਂ "ਪ੍ਰਮਾਣੀਕਰਨ" ਟੈਬ ਦੇਖ ਸਕਦੇ ਹਾਂ:

ਜਦੋਂ ਤੁਹਾਨੂੰ ਯਕੀਨ ਹੋ ਜਾਂਦਾ ਹੈ ਕਿ ਨੀਤੀ ਸਫਲਤਾਪੂਰਵਕ ਲਾਗੂ ਹੋ ਗਈ ਹੈ, ਤਾਂ ਤੁਸੀਂ NPS ਅਤੇ ਐਕਸੈਸ ਲੈਵਲ ਸਵਿੱਚ ਪੋਰਟਾਂ 'ਤੇ ਨੈੱਟਵਰਕ ਨੀਤੀ ਸਥਾਪਤ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧ ਸਕਦੇ ਹੋ।

ਚਲੋ ਇੱਕ ਨੈੱਟਵਰਕ ਨੀਤੀ ਬਣਾਈਏ neag-computers-8021x-vl100:

Conditions:
  Windows Groups - sg-computers-8021x-vl100
  NAS Port Type - Ethernet
Constraints:
  Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
  NAS Port Type - Ethernet
Settings:
  Standard:
   Framed-MTU 1344
   TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
   TunnelPrivateGroupId  100
   TunnelType  Virtual LANs (VLAN)

ਸਵਿੱਚ ਪੋਰਟ ਲਈ ਖਾਸ ਸੈਟਿੰਗਾਂ (ਕਿਰਪਾ ਕਰਕੇ ਨੋਟ ਕਰੋ ਕਿ "ਮਲਟੀ-ਡੋਮੇਨ" ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ - ਡੇਟਾ ਅਤੇ ਵੌਇਸ, ਅਤੇ ਮੈਕ ਐਡਰੈੱਸ ਦੁਆਰਾ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਸੰਭਾਵਨਾ ਵੀ ਹੈ। "ਪਰਿਵਰਤਨ ਅਵਧੀ" ਦੇ ਦੌਰਾਨ ਇਸਦੀ ਵਰਤੋਂ ਕਰਨਾ ਸਮਝਦਾਰੀ ਬਣਾਉਂਦਾ ਹੈ ਪੈਰਾਮੀਟਰ:

authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100

vlan ਆਈਡੀ "ਕੁਆਰੰਟੀਨ" ਨਹੀਂ ਹੈ, ਪਰ ਉਹੀ ਹੈ ਜਿੱਥੇ ਉਪਭੋਗਤਾ ਦੇ ਕੰਪਿਊਟਰ ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਲੌਗਇਨ ਕਰਨ ਤੋਂ ਬਾਅਦ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ - ਜਦੋਂ ਤੱਕ ਸਾਨੂੰ ਯਕੀਨ ਨਹੀਂ ਹੁੰਦਾ ਕਿ ਸਭ ਕੁਝ ਉਸੇ ਤਰ੍ਹਾਂ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ ਜਿਵੇਂ ਕਿ ਇਹ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ। ਇਹ ਉਹੀ ਮਾਪਦੰਡ ਹੋਰ ਸਥਿਤੀਆਂ ਵਿੱਚ ਵਰਤੇ ਜਾ ਸਕਦੇ ਹਨ, ਉਦਾਹਰਨ ਲਈ, ਜਦੋਂ ਇੱਕ ਅਪ੍ਰਬੰਧਿਤ ਸਵਿੱਚ ਇਸ ਪੋਰਟ ਵਿੱਚ ਪਲੱਗ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਤੁਸੀਂ ਚਾਹੁੰਦੇ ਹੋ ਕਿ ਇਸ ਨਾਲ ਕਨੈਕਟ ਕੀਤੇ ਸਾਰੇ ਉਪਕਰਣ ਇੱਕ ਖਾਸ vlan ("ਕੁਆਰੰਟੀਨ") ਵਿੱਚ ਆਉਣ ਲਈ ਪ੍ਰਮਾਣੀਕਰਨ ਪਾਸ ਨਹੀਂ ਕੀਤੇ ਗਏ ਹਨ।

802.1x ਹੋਸਟ-ਮੋਡ ਮਲਟੀ-ਡੋਮੇਨ ਮੋਡ ਵਿੱਚ ਪੋਰਟ ਸੈਟਿੰਗਾਂ ਨੂੰ ਬਦਲੋ

default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit

ਤੁਸੀਂ ਇਹ ਯਕੀਨੀ ਬਣਾ ਸਕਦੇ ਹੋ ਕਿ ਤੁਹਾਡੇ ਕੰਪਿਊਟਰ ਅਤੇ ਫ਼ੋਨ ਨੇ ਕਮਾਂਡ ਨਾਲ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਪਾਸ ਕਰ ਲਿਆ ਹੈ:

sh authentication sessions int Gi1/0/39 det

ਹੁਣ ਇੱਕ ਸਮੂਹ ਬਣਾਉ (ਉਦਾਹਰਨ ਲਈ, sg-fgpp-mab ) ਫੋਨਾਂ ਲਈ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਅਤੇ ਟੈਸਟਿੰਗ ਲਈ ਇਸ ਵਿੱਚ ਇੱਕ ਡਿਵਾਈਸ ਜੋੜੋ (ਮੇਰੇ ਕੇਸ ਵਿੱਚ ਇਹ ਹੈ ਗ੍ਰੈਂਡਸਟ੍ਰੀਮ GXP2160 ਮਾਸ ਪਤੇ ਦੇ ਨਾਲ 000b.82ba.a7b1 ਅਤੇ resp. ਖਾਤਾ ਡੋਮੇਨ 00b82baa7b1).

ਬਣਾਏ ਗਏ ਸਮੂਹ ਲਈ, ਅਸੀਂ ਪਾਸਵਰਡ ਨੀਤੀ ਲੋੜਾਂ ਨੂੰ ਘਟਾਵਾਂਗੇ (ਵਰਤਦੇ ਹੋਏ ਵਧੀਆ ਪਾਸਵਰਡ ਨੀਤੀਆਂ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਐਡਮਿਨਿਸਟ੍ਰੇਟਿਵ ਸੈਂਟਰ -> ਡੋਮੇਨ -> ਸਿਸਟਮ -> ਪਾਸਵਰਡ ਸੈਟਿੰਗਜ਼ ਕੰਟੇਨਰ ਦੁਆਰਾ) ਹੇਠਾਂ ਦਿੱਤੇ ਪੈਰਾਮੀਟਰਾਂ ਨਾਲ MAB ਲਈ ਪਾਸਵਰਡ-ਸੈਟਿੰਗਸ:

ਇਸ ਤਰ੍ਹਾਂ, ਅਸੀਂ ਪਾਸਵਰਡ ਵਜੋਂ ਡਿਵਾਈਸ ਮਾਸ ਐਡਰੈੱਸ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦੇਵਾਂਗੇ। ਇਸ ਤੋਂ ਬਾਅਦ ਅਸੀਂ 802.1x ਮੈਥਡ ਮੈਬ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਇੱਕ ਨੈੱਟਵਰਕ ਨੀਤੀ ਬਣਾ ਸਕਦੇ ਹਾਂ, ਚਲੋ ਇਸਨੂੰ neag-devices-8021x-voice ਕਹਿੰਦੇ ਹਾਂ। ਪੈਰਾਮੀਟਰ ਹੇਠ ਲਿਖੇ ਅਨੁਸਾਰ ਹਨ:

• NAS ਪੋਰਟ ਦੀ ਕਿਸਮ - ਈਥਰਨੈੱਟ
• ਵਿੰਡੋਜ਼ ਗਰੁੱਪ - sg-fgpp-mab
• EAP ਕਿਸਮਾਂ: ਅਣ-ਇਨਕ੍ਰਿਪਟਡ ਪ੍ਰਮਾਣੀਕਰਨ (PAP, SPAP)
• ਰੇਡੀਅਸ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ - ਵਿਕਰੇਤਾ ਵਿਸ਼ੇਸ਼: ਸਿਸਕੋ - ਸਿਸਕੋ-ਏਵੀ-ਜੋੜਾ - ਵਿਸ਼ੇਸ਼ਤਾ ਮੁੱਲ: ਡਿਵਾਈਸ-ਟ੍ਰੈਫਿਕ-ਕਲਾਸ = ਆਵਾਜ਼

ਸਫਲ ਪ੍ਰਮਾਣਿਕਤਾ ਤੋਂ ਬਾਅਦ (ਸਵਿੱਚ ਪੋਰਟ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨਾ ਨਾ ਭੁੱਲੋ), ਆਓ ਪੋਰਟ ਤੋਂ ਜਾਣਕਾਰੀ ਨੂੰ ਵੇਖੀਏ:

sh ਪ੍ਰਮਾਣੀਕਰਨ se int Gi1/0/34

----------------------------------------
            Interface:  GigabitEthernet1/0/34
          MAC Address:  000b.82ba.a7b1
           IP Address:  172.29.31.89
            User-Name:  000b82baa7b1
               Status:  Authz Success
               Domain:  VOICE
       Oper host mode:  multi-domain
     Oper control dir:  both
        Authorized By:  Authentication Server
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  0000000000000EB2000B8C5E
      Acct Session ID:  0x00000134
               Handle:  0xCE000EB3

Runnable methods list:
       Method   State
       dot1x    Failed over
       mab      Authc Success

ਹੁਣ, ਜਿਵੇਂ ਕਿ ਵਾਅਦਾ ਕੀਤਾ ਗਿਆ ਹੈ, ਆਓ ਅਸੀਂ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸਪੱਸ਼ਟ ਨਾ ਹੋਣ ਵਾਲੀਆਂ ਕੁਝ ਸਥਿਤੀਆਂ ਨੂੰ ਵੇਖੀਏ. ਉਦਾਹਰਨ ਲਈ, ਸਾਨੂੰ ਇੱਕ ਅਣ-ਪ੍ਰਬੰਧਿਤ ਸਵਿੱਚ (ਸਵਿੱਚ) ਰਾਹੀਂ ਉਪਭੋਗਤਾ ਕੰਪਿਊਟਰਾਂ ਅਤੇ ਡਿਵਾਈਸਾਂ ਨੂੰ ਜੋੜਨ ਦੀ ਲੋੜ ਹੈ। ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਇਸਦੇ ਲਈ ਪੋਰਟ ਸੈਟਿੰਗਾਂ ਇਸ ਤਰ੍ਹਾਂ ਦਿਖਾਈ ਦੇਣਗੀਆਂ:

802.1x ਹੋਸਟ-ਮੋਡ ਮਲਟੀ-ਅਥ ਮੋਡ ਵਿੱਚ ਪੋਰਟ ਸੈਟਿੰਗਾਂ ਨੂੰ ਬਦਲੋ

interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8  ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth  ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu

PS ਅਸੀਂ ਇੱਕ ਬਹੁਤ ਹੀ ਅਜੀਬ ਗੜਬੜ ਦੇਖੀ - ਜੇਕਰ ਡਿਵਾਈਸ ਅਜਿਹੇ ਇੱਕ ਸਵਿੱਚ ਦੁਆਰਾ ਕਨੈਕਟ ਕੀਤੀ ਗਈ ਸੀ, ਅਤੇ ਫਿਰ ਇਸਨੂੰ ਇੱਕ ਪ੍ਰਬੰਧਿਤ ਸਵਿੱਚ ਵਿੱਚ ਪਲੱਗ ਕੀਤਾ ਗਿਆ ਸੀ, ਤਾਂ ਇਹ ਉਦੋਂ ਤੱਕ ਕੰਮ ਨਹੀਂ ਕਰੇਗਾ ਜਦੋਂ ਤੱਕ ਅਸੀਂ ਸਵਿੱਚ ਨੂੰ ਰੀਬੂਟ(!) ਨਹੀਂ ਕਰਦੇ। ਮੈਨੂੰ ਕੋਈ ਹੋਰ ਤਰੀਕੇ ਨਹੀਂ ਮਿਲੇ ਹਨ। ਅਜੇ ਤੱਕ ਇਸ ਸਮੱਸਿਆ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ.

DHCP ਨਾਲ ਸਬੰਧਤ ਇੱਕ ਹੋਰ ਬਿੰਦੂ (ਜੇ ip dhcp ਸਨੂਪਿੰਗ ਵਰਤੀ ਜਾਂਦੀ ਹੈ) - ਅਜਿਹੇ ਵਿਕਲਪਾਂ ਤੋਂ ਬਿਨਾਂ:

ip dhcp snooping vlan 1-100
no ip dhcp snooping information option

ਕਿਸੇ ਕਾਰਨ ਕਰਕੇ ਮੈਂ IP ਪਤਾ ਸਹੀ ਤਰ੍ਹਾਂ ਪ੍ਰਾਪਤ ਨਹੀਂ ਕਰ ਸਕਦਾ ਹਾਂ... ਹਾਲਾਂਕਿ ਇਹ ਸਾਡੇ DHCP ਸਰਵਰ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਹੋ ਸਕਦੀ ਹੈ

ਅਤੇ Mac OS ਅਤੇ Linux (ਜਿਸ ਵਿੱਚ ਮੂਲ 802.1x ਸਮਰਥਨ ਹੈ) ਉਪਭੋਗਤਾ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ, ਭਾਵੇਂ ਮੈਕ ਐਡਰੈੱਸ ਦੁਆਰਾ ਪ੍ਰਮਾਣਿਕਤਾ ਕੌਂਫਿਗਰ ਕੀਤੀ ਗਈ ਹੋਵੇ।

ਲੇਖ ਦੇ ਅਗਲੇ ਹਿੱਸੇ ਵਿੱਚ, ਅਸੀਂ ਵਾਇਰਲੈੱਸ ਲਈ 802.1x ਦੀ ਵਰਤੋਂ ਨੂੰ ਦੇਖਾਂਗੇ (ਉਸ ਸਮੂਹ ਦੇ ਅਧਾਰ ਤੇ ਜਿਸ ਨਾਲ ਉਪਭੋਗਤਾ ਖਾਤਾ ਸਬੰਧਤ ਹੈ, ਅਸੀਂ ਇਸਨੂੰ ਅਨੁਸਾਰੀ ਨੈਟਵਰਕ (vlan) ਵਿੱਚ "ਫੋ" ਦੇਵਾਂਗੇ, ਹਾਲਾਂਕਿ ਉਹ ਇਸ ਨਾਲ ਜੁੜਨਗੇ। ਉਹੀ SSID)।

ਸਰੋਤ: www.habr.com