نمایش نتایج: از شماره 1 تا 14 از مجموع 14
سپاس ها 32سپاس
  • 8 توسط aliafzalan
  • 8 توسط Hakimi
  • 5 توسط yogishiip
  • 3 توسط Hakimi
  • 1 توسط th95
  • 4 توسط th95
  • 3 توسط yogishiip

موضوع: سوال در خصوص مراحل و روند پیاده سازی Dot1x

  
  1. #1
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20

    سوال در خصوص مراحل و روند پیاده سازی Dot1x

    با سلام به همه دوستان
    بحث خیلی خوبی داشتیم با جناب حکیمی و دوستان دیگه در مورد امکانات Dot1x

    ر.ک. : استفاده از Dot1x چه مزایایی دارد

    من میخوام این قضیه رو آزمایشی پیاده سازی کنم اما واقعیتش راه ورود به مساله رو نمیدونم
    اگه جناب حکیمی یا سایر دوستان لطف کنند یک روند و رویه یا شاید بهتره بگیم Road Map (از این کلماتی که جدیدا مد شده) در اختیار بذارند خیلی ممنون میشم.
    طبعا Detail نمیخوام ولی به صورت کلی راهنمایی کنید بسیار ممنون میشم
    برای مثال بفرمایید :
    1- ویندوز سرور 2003 یا 2008 ات رو راه بنداز و DC کن
    2- روی همون ویندوز CA راه بنداز (یا یک ویندوز دیگه)
    3- SecureACS رو همونجا نصب کن (اگر می شود و اگر نه که جای دیگه)
    4- روی سوییچ به طور کلی با استفاده از این دستورات Dot1x رو برای فلان پورت فعال کن و Auth رو اینطوری بده به ACS
    5- ارتباط CA با ACS و سوییچ اینطوری باید فعال بشه
    و ...

    اگر هم داکیومنتی کلی در این مورد وجود داشته باشه که بسیار عالیه

    پیشاپیش این رو بگم که خیلی انتظار پاسخ حداقل دقیقش رو ندارم چون میدونم این Solution خیلی تجاری و پولساز و حرفه ای هستش و شاید دوستان نخوان زیاد در موردش اطلاعات بدن

    باز هم تشکر



    موضوعات مشابه:

  2. #2
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    Hakimi، SADEGH65، Reza.D و 5 نفر دیگر سپاسگزاری کرده‌اند.

  3. #3
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    اگر انتظار داشته باشی به صورت Tutorial در موردش اطلاعات به دست بیاوری، به نتیجه نخواهی رسید. در این انجمن مگر در موارد بسیار معدود، Tutorial ارائه نمی شود. پس بهتر است کار را شروع کنی و هرجا که به مشکلی برخوردی، به صورت جزئی و دقیق ذکر کنی تا در موردش بحث کنیم.

    این هیچ ارتباطی به تجاری یا پولساز و حرفه ای بودنش ندارد (و به نظر من این طور نگاه کردن توهین آمیز است و اگر قرار بود به این دلایل دانشمان را مخفی نگه داریم که اصلا چنین انجمنی شکل نمی گرفت.)

    از این راهنما می توانی کمک بگیری:
    Configuring IEEE 802.1x Port-Based Authentication

    گوگل را هم فراموش نکن.


    SADEGH65، darklove، Reza.D و 5 نفر دیگر سپاسگزاری کرده‌اند.

  4. #4
    نام حقيقي: ابراهیم

    خواننده شناسه تصویری yogishiip
    تاریخ عضویت
    Jan 2010
    محل سکونت
    C:\Windows\System32
    نوشته
    1,326
    سپاسگزاری شده
    882
    سپاسگزاری کرده
    1620
    لینکهای نسبتا مفید

    کد:
     http://certcollection.org/forum/topic/53839-nap-8021x-configuration-walkthrough/
    و
    کد:
    http://certcollection.org/forum/topic/53864-foundation-network-companion-guide-deploying-8021x-authenticated-wireless-access-with-peap-ms-chap-v2/
    و
    کد:
    http://www.linux-tutorial.info/modules.php?name=Howto&pagename=8021X-HOWTO/intro.html
    و
    کد:
    http://peanutstudies.wordpress.com/labs-tutorials/802-1x-tutorial-in-a-nutshell/



    ویرایش توسط yogishiip : 2011-01-04 در ساعت 09:49 AM
    Hakimi، darklove، Reza.D و 2 نفر دیگر سپاسگزاری کرده‌اند.

  5. #5
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    و به نظر من این طور نگاه کردن توهین آمیز است و اگر قرار بود به این دلایل دانشمان را مخفی نگه داریم که اصلا چنین انجمنی شکل نمی گرفت
    به قول انیونگ عذر میخوام
    قصدی نداشتم بیشتر منظورم این بود که این راهکار خیلی جزییات داره و طولانی هستش و توضیحات فراوانی هم داره و شاید دوستان نتونند خیلی اطلاعات در اختیار بذارند (به دلیل وقت گیر و پیچیده بودن )


    با تشکر از شما اگه اشتباه نکنم IAS و ACS یک نقش رو بازی میکنند ! چه کنیم ؟ ACS یا IAS ؟



  6. #6
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    اگه اشتباه نکنم IAS و ACS یک نقش رو بازی میکنند ! چه کنیم ؟ ACS یا IAS ؟
    من از بین این دو، ACS رو انتخاب می کنم.


    darklove، th95 و Zahmatkesh سپاسگزاری کرده‌اند.

  7. #7
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط Hakimi نمایش پست ها
    من از بین این دو، ACS رو انتخاب می کنم.
    به این دلیل ؟
    با IAS چگونه می خواهید Dynamic VLan Assignment را پشتیبانی کنید؟!
    با استفاده از IAS قابلیت Dynamic VLAN Assignment را نداریم ؟

    و راستی یک سوال بسیار مهم :
    آیا با استفاده از شبیه سازهایی مثل GNS3 یا Packet Tracer می توان این سناریو را حتی به صورت محدود پیاده سازی کرد ؟
    به نظر خودم که نمیشود چون CA نداریم ، RADIUS نداریم و ...



    Zahmatkesh سپاسگزاری کرده است.

  8. #8
    نام حقيقي: Hossein Meshkati

    خواننده شناسه تصویری mavrick
    تاریخ عضویت
    May 2010
    محل سکونت
    اصفهان
    نوشته
    561
    سپاسگزاری شده
    308
    سپاسگزاری کرده
    848
    یه کانفیگ جمع و جوره اما به جامع بودن لینک اقای حکیمی نیست






  9. #9
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    به این دلیل ؟

    با استفاده از IAS قابلیت Dynamic VLAN Assignment را نداریم ؟
    نه این که نشود، ولی تعریفش پیچیده تر از ACS است.



  10. #10
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    A simple wired 802.1X lab

    By stretch | Wednesday, August 6, 2008 at 2:18 a.m. UTC
    IEEE 802.1X is a very cool security feature. It was developed to provide real security for wired and wireless networks at layer two. A client connected to an 802.1X-protected port can't send any traffic other than EAP to the switch until he successfully authenticates with the proper credentials or certificate. This article demonstrates how you can setup a simple 802.1X lab using a Windows XP-based client and RADIUS server.
    802.1X Operation

    A network switch acts as the middleman between an authenticating client and an authentication server. The switch implements two protocols: EAP is used to communicate with the client at the network perimeter, while RADIUS is used to relay authentication details to the server inside the network. EAP offers a number of authentication mechanisms, but our setup will use simple username/password authentication with an MD5 challenge. The flow of a successful authentication is illustrated here:

    For a better idea of what this exchange looks like on the wire, check out these packet captures of 802.1X and RADIUS traffic.
    Server Configuration

    For my setup, I chose to install FreeRADIUS on my Gentoo Linux workstation, but any RADIUS service should work. The configurations in this section correspond to a bare FreeRADIUS deployment using cleartext credentials stored in a text file. Obviously, real-world deployments would dictate a much more robust and secure authentication method such as LDAP.
    The base server configuration is located in radiusd.conf (on Linux, this file should reside in /etc/raddb/), but we shouldn't need to change any of the default values for this lab. However, we will need to add the subnet address from which we expect to receive authentication requests (10.0.0.0/24) in clients.conf. Remember that although the 802.1X client resides in VLAN 10, the RADIUS client (the switch) will be sending requests from its 10.0.0.1 interface. Copy and paste this block to enable the network with the shared secret of MyRadiusKey:
    client 10.0.0.0/24 {
    secret = MyRadiusKey
    shortname = Lab
    }
    We'll also define a user/password combination for testing. I've created the user John.McGuirk with the password S0cc3r. Feel free to pick your own username and password, but make sure to maintain the spacing in the configuration file (the reply message is optional):
    John.McGuirk Cleartext-Password := "S0cc3r"
    Reply-Message = "Hello, %u"
    After completing this configuration remember to (re)start the RADIUS service.
    Switch Configuration

    Port-based 802.1X authentication allows for some really cool security measures (like dynamic VLAN assignment and per-user ACLs), but for this lab we'll establish a base configuration just for demonstration's sake.
    A preliminary step, if you haven't done so already, is to enable IP routing on the switch:
    Switch(config)# ip routing
    Before diving into the actual 802.1X configuration, we'll need to enable Authentication, Authorization, and Accounting (AAA) for the switch (this step can be skipped if AAA is already active). A word of caution: enabling AAA changes the authentication method used by the VTY (telnet) lines to fit the AAA model. It's a good idea to define a local username and password to authenticate to the switch if you haven't done so (this account is unrelated to our 802.1X configuration, just a way for us to log in again if we need to).
    Switch(config)# aaa new-model
    Switch(config)# username admin secret MyPassword
    Next we'll configure the switch with the address and shared key of our RADIUS server. By default, Cisco switches will use UDP port 1645 for RADIUS authentication and port 1646 for accounting. Depending on the RADIUS daemon you chose to implement, you may need to modify these ports to match those used by your RADIUS daemon. FreeRADIUS, for example, uses the more recent port specification defined in RFC 2138, and requires additional configuration on the switch to reflect the port changes:
    Switch(config)# radius-server host 10.0.0.100 auth-port 1812 acct-port 1813 key
    MyRadiusKey
    Now we'll tie these two components together by configuring AAA to reference the RADIUS server for 802.1X authentication requests:
    Switch(config)# aaa authentication dot1x default group radius
    This takes care of the RADIUS portion of the configuration. Configuring 802.1X from this point is simple: enable it globally for the switch, and individually per interface:
    Switch(config)# dot1x system-auth-control
    Switch(config)# interface g0/12
    Switch(config-if)# switchport mode access
    Switch(config-if)# dot1x port-control auto
    Note that the interface must be set to static access mode. If left in dynamic mode (where DTP is used to negotiate the port's function as either access or trunking), the switch will issue an error message stating that 802.1X cannot be configured on dynamic ports.
    If you're inquisitive like me and issue a question mark to invoke the context-sensitive help in the midst of issuing a new command, you might have noticed that the dot1x port-control interface command has three options. These are:

    • auto - Normal 802.1X authentication
    • force-authorized - No 802.1X authentication is used (this is the default setting, to prevent service interruption while deploying 802.1X)
    • force-unauthorized - Ignores authentication attempts, port is always unauthorized

    You can use the show dot1x command to verify the configuration of your client-facing interface:
    Switch# show dot1x interface g0/12
    Supplicant MAC
    AuthSM State = N/A
    BendSM State = N/A
    PortStatus = N/A
    MaxReq = 2
    MaxAuthReq = 2
    HostMode = Single
    PortControl = Auto
    QuietPeriod = 60 Seconds
    Re-authentication = Disabled
    ReAuthPeriod = 3600 Seconds
    ServerTimeout = 30 Seconds
    SuppTimeout = 30 Seconds
    TxPeriod = 30 Seconds
    Guest-Vlan = 0
    Client Configuration

    The last element to configure is the supplicant software on the client. If your client is currently connected, unplug it temporarily before continuing (reconnecting after the configuration has been completed will make it easier to observe the 802.1X behavior). For my lab, I used a Windows XP box with SP2.
    To enable the Windows 802.1X service, open Services from the control panel, and select and start the Wireless Zero Configuration service. ("But isn't this a wired connection?" I hear you ask. Thank you, Microsoft.) (Edit: Wired 802.1X is enabled by a separate service, Wired AutoConfig, in XP SP3. Thanks to Dude for pointing this out!) Next, open Network Connections from the control panel and open the Connection Properties dialog for the adapter you're using. You should have an Authentication tab within this window; if not, the 802.1X service isn't running and you'll need to do some troubleshooting.

    Enable 802.1X authentication and set the EAP type to MD5-Challenge. This will allow us to use basic username/password credentials instead of a more secure (and much more complex) PKI scheme. You can safely deselect the "authenticate as computer" and "authenticate as guest" options.
    Authenticating

    If everything is configured correctly, you should now be able to authenticate via 802.1X. Verify your IP addressing and connect your client to the switch. After roughly thirty seconds you should be prompted for authentication credentials by a little balloon. (In a more ideal setup, your Windows credentials and/or a client certificate would be sent without your interaction and 802.1X authentication would occur transparently.) Your prompt may differ from the example shown here.

    Enter the username and password you configured on the RADIUS server in the authentication dialog.

    Your client will notify you after a bit if the authentication fails. If you receive no notification, authentication has succeeded and you should be able to send traffic through the switch port (try pinging through to the RADIUS server to verify this). Issue the show dot1x command on the switch again to verify that the port is now in the "authorized" state.
    Switch# show dot1x interface g0/12
    Supplicant MAC 0014.22e9.545e
    AuthSM State = AUTHENTICATED
    BendSM State = IDLE
    PortStatus = AUTHORIZED
    MaxReq = 2
    MaxAuthReq = 2
    HostMode = Single
    PortControl = Auto
    QuietPeriod = 60 Seconds
    Re-authentication = Disabled
    ReAuthPeriod = 3600 Seconds
    ServerTimeout = 30 Seconds
    SuppTimeout = 30 Seconds
    TxPeriod = 30 Seconds
    Guest-Vlan = 0
    One other detail to note: Initially, the client's port on the switch will only transition to up/down (interface up, line protocol down) when you first connect. Only after successfully authenticating via 802.1X will it transition fully to up/up.
    If authentication fails for some reason you'll have to do some sleuthing to determine the cause. Keep the following tips in mind:

    • Ensure that the switch is trying to authenticate to the correct RADIUS server on the correct UDP port
    • Ensure the RADIUS server is configured to accept authentication requests from the correct subnet
    • Review the RADIUS daemon logs for messages concerning failed authentication or misconfiguration
    • Use a variation of the debug dot1x command on the switch or a packet sniffer to verify EAP and RADIUS traffic
    • Try using the free NTRadPing RADIUS Test Utility to independently verify operation of the RADIUS server




    Hakimi، Reza.D، Zahmatkesh و 1 نفر دیگر سپاسگزاری کرده‌اند.

  11. #11
    نام حقيقي: ابراهیم

    خواننده شناسه تصویری yogishiip
    تاریخ عضویت
    Jan 2010
    محل سکونت
    C:\Windows\System32
    نوشته
    1,326
    سپاسگزاری شده
    882
    سپاسگزاری کرده
    1620
    Hakimi، darklove و Zahmatkesh سپاسگزاری کرده‌اند.

  12. #12
    نام حقيقي: meysam

    خواننده
    تاریخ عضویت
    May 2011
    محل سکونت
    tehran
    نوشته
    27
    سپاسگزاری شده
    1
    سپاسگزاری کرده
    13
    !
    version 12.2
    no service pad
    service timestamps debug uptime
    service timestamps log uptime
    service password-encryption
    !
    hostname IT_SW07_F2R2
    !
    enable secret 5 $1$sEfL$WGAfw6/aZXU5xO0Vj6iQC/
    enable password 7
    !
    username admin password 7
    aaa new-model
    aaa authentication login default local
    aaa authentication dot1x default group radius
    !
    aaa session-id common
    system mtu routing 1500
    ip subnet-zero
    !
    no ip domain-lookup
    !
    !
    !
    dot1x system-auth-control
    dot1x critical eapol
    no file verify auto
    spanning-tree mode pvst
    spanning-tree extend system-id
    !
    vlan internal allocation policy ascending
    !
    .
    .
    .
    .
    .

    interface FastEthernet0/24
    switchport access vlan 31
    switchport mode access
    dot1x pae authenticator
    spanning-tree portfast
    !
    interface GigabitEthernet0/1
    switchport mode trunk
    !
    interface GigabitEthernet0/2
    description *** Uplink ***
    switchport mode trunk
    !
    interface Vlan1
    ip address dhcp
    no ip route-cache
    shutdown
    !
    interface Vlan10
    description *** Management ***
    ip address 10.4.10.21 255.255.255.0
    no ip route-cache
    !
    ip default-gateway 10.4.10.1
    ip http server
    radius-server host 10.4.0.10 auth-port 1645 acct-port 1646
    radius-server source-ports 1645-1646
    radius-server key 7 00071A1507545A545C
    !
    control-plane
    !
    !
    line con 0
    password 7
    line vty 0 4
    password 7
    line vty 5 15
    password 7 045A0F0B062F
    !
    end


    دوستان من dot1x رو به این شکل پیاده کردم ولی رو این پورت 24 که به PC وصله Authentication failed میده.
    یه سوال:
    وقتی ما dot1x رو پیاده کردیم Authentication بر اساس چه چیزی بررسی میشه؟؟
    1- بر اساس Mac Address کامپیوتر؟
    2- بر اساس User&pass کاربر که عضو دامین هست؟
    3- ویا...؟
    به هر حال اگر قرار باشه با هر کدوم از اینا صورت بگیره، کجا تعیین میشه که فلان Mac و یا فلان کاربر اجازه دسترسی به شبکه رو داره؟؟؟؟؟


    ویرایش توسط Hakimi : 2011-05-16 در ساعت 01:47 PM علت: حذف رمز

  13. #13
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    این لینک را دیدید؟
    استفاده از Dot1x چه مزایایی دارد



  14. #14
    نام حقيقي: meysam

    خواننده
    تاریخ عضویت
    May 2011
    محل سکونت
    tehran
    نوشته
    27
    سپاسگزاری شده
    1
    سپاسگزاری کرده
    13
    بله، اتفاقا همه مطالب رو راجب Dot1x خوندم و میشه گفت که تو قسمت کانفیق سویچ مشکلی ندارم . Radius server رو هم با IAS ویندوز به این شکل راه اندازی کردم:
    Microsoft IAS and Cisco switch 802.1x configuration HOWTO
    توپولوژی شبکه ما هم تقریبا به همین شکله. ولی وقتی سوییچ رو کانفیق کردم و Radius server رو راه اندازی کردم و برای تست بر روی یکی از Interface ها اعمال کردم، Authentication روی کامپیوتر مورد نظر Fail شد. در ضمن من فقط می خوام که Authentication رو راه اندازی کنم ، یعنی هنوز Dynamic vlan مطرح نیست.
    حالا سوالاتی که واسم پیش اومده اینه:
    1- با این کانفیق که من اعمال کردم عمل Authentication با چی انجام میشه؟ با User&Pass کاربر که عضو دامین هستش و یا با Mac Address؟ اگه با U&p باشه که تو Radius server مشخص کردم (همون Domain users) پس چرا Authentication fail میشه؟ و اگه با Mac add هستش این کجا مشخص میشه که با Mac add عمل Authentication صورت بگیره؟؟
    2- آیا لازم هست که روی سویچ لایه 3 هم dot1x پیاده بشه؟ (من که میگم نه چون اونطور که من فهمیدم dot1x روی Edge switch ها باید راه اندازی بشه!)



کلمات کلیدی در جستجوها:

.1x چیست

راه اندازی 802.1x

راه اندازی .1x

راه اندازی dot1x

.1xچیست.1x چيستپیاده سازی پروتکل 802.1xdot1x راه اندازیپیاده سازی port securityپروتکل 802.1xراه اندازی پروتکل 802.1xپیاده سازی .1xCisco acs چیست.1x چیست راه اندازیپیاده سازی dot1x.1x چیست؟.1x authentication cisco چیست802.1xپیاده سازی napپروتکل .1x چیستdot 1 x چیستپیاده سازی dot.1x پیاده سازی 802.1xdot 1 x چیست؟walk through in dot1x installation

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •