Acum lucrez la un proiect pentru implementarea unei soluții Microsoft NAP într-o organizație mare. Microsoft NAP este planificat să fie utilizat împreună cu echipamentele active din rețeaua Cisco, pentru a accesa clienții la rețeaua de date corporativă - așa-numitul scenariu de executare 802.1X. De asemenea, Microsoft NAP este planificat să fie utilizat în organizarea accesului VPN la rețeaua corporativă.
La implementarea acestui proiect (802.1X) au apărut mai multe probleme. Manualul Microsoft pentru implementarea infrastructurii NAP abordează necesitatea de a sprijini echipamentele de rețea RADIUS cu atribute pentru VLAN-uri:
Un switch de nivel 2 sau de strat 3 care acceptă autentificarea bazată pe portul 802.1X și atributele tunelului RADIUS pentru atribuirea VLAN.
Se pare că nu toate echipamentele Cisco (ca să nu mai vorbim de alți producători, cum ar fi 3Com, D-Link etc.) acceptă modificarea atribuire IEEE 802.1x - VLAN. A fost posibil să se constate că următoarele dispozitive Cisco ar trebui să suporte această funcție (lista nu este completă - exact ceea ce a fost posibil să se verifice):
- 2940 IOS 12,1 (22) EA4
- 2960 IOS 12,2 (25) SED
- 2980 CatOS 8.4GLX
- 3550 IOS 12.1 (14) EA1
- 3560 IOS 12,2 (25) SED
- 3750 IOS 12,2 (25) SED
- 4000 CatOS 8.4GLX sau IOS 12.1 (19) EW
- 4500 CatOS 8.4GLX sau IOS 12.1 (19) EW
- 6500 CatOS 7.2 sau iOS 12.1 (13) E4
Pe dispozitivele Cisco, trebuie să faceți următoarele: aaa authentication dot1x raza de grup implicită none
dot1x sistem-auth-control
!
interfață FastEthernet0 / 5
schimbarea modului de acces
dot1x port-control auto
dot1x oaspete-vlan 50
spanning-tree portfast
!
radius-server gazdă 10.1.200.254 auth-port 1812 acct-port 1813 cheie KEY
Pe serverul RADIUS (de asemenea, NAP), trebuie să definiți următoarele atribute pentru utilizatori:
Tip tunel [64] = VLAN
Tunel-mediu-tip [65] = 802
Tunel-Grup privat-Id [81] = NAME_OF-VLAN
Aceasta este problema cu partea de rețea. La configurarea Microsoft NAP, a existat o problemă cu partea client a acestui produs. În general, Microsoft NAP rulează pe sisteme de operare începând cu Microsoft Windows XP SP3 și versiuni ulterioare. În Windows XP SP3, aveți tot ce aveți nevoie pentru a lucra cu NAP, cu excepția consolei grafice, pentru a configura funcțiile NAP. Această consolă, în general, nu este necesară în rețeaua corporativă - deoarece toate setările pentru computerele client sunt distribuite centralizat prin politicile de grup. Deci, pentru ca NAP să funcționeze corect, este necesar ca serviciul Agent NAP să pornească automat pe computerele client - în mod implicit este dezactivat. Nu este dificil să se includă acesta și alte servicii NAP necesare prin intermediul politicii de grup. Cu toate acestea, dacă ați făcut clic accidental sau intenționat pe opțiunea Editați permisiunea (a se vedea figura), în sistemele de operare Windows XP SP3, această acțiune va eșua atunci când serviciul Agent NAP pornește automat.
Citiți și Cum se schimbă numărul de serie al Microsoft Office
La testarea infrastructurii NAP, s-au petrecut mai multe ore de investigare și eliminare a motivelor pentru funcționarea necorespunzătoare a PNA cauzată de un eșec la pornirea agentului NAP.
Sper că pentru cineva această informație, atunci când va implementa infrastructura Microsoft NAP, va fi utilă.
Articolul original în limba engleză.
Articole similare
Trimiteți-le prietenilor: