Сетевое железо - статьи

купить хамам узнать цены

Входим в сеть - часть 2


Настраиваем функции авто*QoS/VLAN

А теперь вернемся к политикам, определенным в настройках службы IAS. Как уже упоминалось, было определено две политики – vlan1 и demo. Эти названия не случайны, так как мы хотим, чтобы пользователи, которые попадают под действие политики vlan1, автоматически оказывались в виртуальной ЛВС под номером 1. В этом случае в свойствах данной политики в разделе Advanced необходимо добавить следующие параметры и установить их значения, которые автоматически возвращаются коммутатору RADIUS-сервером при успешной аутентификации пользователя:

  • Tunnel-Medium type – 802;
  • Tunnel-Pvt Group ID – 1 (номер VLAN);
  • Tunnel-Type – (VLAN).

Для того чтобы пользователи попадали под действие профиля QoS demo, необходимо указать значение атрибута Filter-id profile = demo. После этого пользователи, определенные в Active Directory и попадающие под действие политики vlan1, автоматически окажутся во VLAN под номером 1 и в профиле QoS demo при сетевой аутентификации. Для проверки работоспособности данного режима нами был запущен ftp-сервер (Windows 2000 Server) и ftp-клиент (Windows XP). До установки указанных параметров в политике vlan1 скорость передачи данных между ними составляла порядка 100 Мбит/с, а после установки – около 980 Кбит/с.

Последним этапом является настройка аутентификации не только пользователей через RADIUSсервер, но и администраторов, подключающихся к коммутатору через консольный порт или Web/Telnet. Для этого в настройках коммутатора (security/device) необходимо разрешить аутентификацию с помощью RADIUS (enable RADIUS auth).

Далее в Active Directory надо создать пользователя, которому разрешен доступ к управлению устройством, например, admin, и определить для него в IAS политику, в которой необходимо установить, чтобы RADIUS-сервер возвращал коммутатору при успешной аутентификации параметр Vendor Specific Attribute. В свойствах данного поля необходимо установить код производителя 43 (3Com), номер атрибута (1) и десятичное значение этого атрибута от 1 до 3:

  • Monitor (1) позволяет пользователю производить мониторинг установок коммутатора;
  • Manager (2) дает возможность производить изменение отдельных установок коммутатора;
  • Administrator (3) дает пользователю полный доступ к установкам коммутатора.

Теперь даже при подключении к коммутатору по консольному порту будет производиться аутентификация администратора по сети через RADIUS-сервер.

В целом же можно констатировать тот факт, что с внедрением технологии 802.1x сбываются мечты системного администратора – теперь не надо устанавливать сетевые параметры для сотен и даже тысяч пользователей вручную. При этом перевести пользователя из одной VLAN в другую можно одним движением мышки без необходимости изменения настроек сетевых устройств. И это кроме того, что протокол 802.1x помогает значительно повысить уровень безопасности самой сети, защитив ее от несанкционированного доступа.




Начало  Назад  Вперед



Книжный магазин