صفحه 1 از 2 1 2 آخرینآخرین
نمایش نتایج: از شماره 1 تا 15 از مجموع 20

موضوع: استفاده از Dot1x چه مزایایی دارد

  
  1. #1
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20

    استفاده از Dot1x چه مزایایی دارد

    با سلام
    میخوام بدونم پیاده سازی Dot1x با استفاده از سوییچ های سیسکو و برای مثال Cisco Secure ACS چه مزایایی برای ما به دنبال دارد
    به عبارت بهتر میخوام بدونم پیاده سازی این قضیه تو شبکه دقیقا چه چیزی نصیب ما میکنه

    برای مثال گمان میکنم یکیش Dynamic VLAN Assignment باشه (لطفا در این مورد هم توضیح مختصری بدید که آیا این کار Computer Based انجام میشه یا User Based و آیا نیازی با پیاده سازی یک ساختار Certificate هم در شبکه هست یا خیر)

    و البته بقیه موارد و کاربردهای عملی این سناریو

    با تشکر از همه دوستان



    موضوعات مشابه:
    Zahmatkesh و arash3400 سپاسگزاری کرده‌اند.

  2. #2
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    Port Based Access Control مهم ترین هدفی است که از پیاده سازی سناریوی مورد نظر شما به دست می آید.
    به این معنی که اگر کلاینتی به سوئیچ (یا Access Point) متصل شود، Port سوئیچ تا زمانی که شناسه کاربری را دریافت نکند و کاربر Authenticate نشود فعال نمی شود و دسترسی به منابع شبکه بدون تعیین هویت امکان پذیر نخواهد بود. یعنی کنترل دسترسی در نقطه اتصال.
    (و می توان تعریف کرد که اگر Authentication موفقیت آمیز نبود و Fail شد، آن Port در VLAN خاصی قرار گیرد که اصطلاحا Guest VLAN نامیده می شود.)

    حال که تصدیق هویت در لحظه اتصال انجام می شود، می توان به ازای هر کاربر، پارامترهایی را نیز به سوئیچ ارسال کرد که از جمله آنها تعیین VLAN مربوط به کاربر مورد نظر است و با این کار، پس از شناسایی کاربر، Port مربوطه در VLAN مخصوص به خود قرار می گیرد.

    برای Authentication هم می توان از Computer Account استفاده کرد و هم از User Account. یعنی این Authentication هم می تواند User Based باشد و هم Computer Based.
    اگر بر اساس Computer Account باشد، دیگر مهم نیست کدام کاربر روی سیستم Login می کند و آن کامپیوتر همیشه در VLAN تعریف شده قرار می گیرد.

    برای انجام عمل Authentication نیاز به Certificate است که می بایست ساختار مورد نیاز در شبکه پیاده سازی شود.


    مرتبط:
    http://www.cisco.com/en/US/docs/swit...e/Sw8021x.html


    SADEGH65، ARM، mgholami و 9 نفر دیگر سپاسگزاری کرده‌اند.

  3. #3
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    با تشکر با اجازتون من یک سری مسایل دیگر رو که سوال دارم بپرسم

    شما هر جا رو که اشتباه بود تصحیح بفرمایید
    فرض کنیم میخوایم با Computers و در واقع Computer Based این مورد رو پیاده سازی کنیم.
    سوال 1 : آیا دستگاه های VMPS هنوز پیدا میشن یا تجهیزات موجود (سوییچ ها) چنین امکانی رو دارند ؟ که بگیم این سیستم رو بنداز تو فلان VLAN ؟
    سوال 2 : چیزی که من متوجه شدم اینه که با استفاده از این امکان در حالت Computer Based میگیم این MAC ها میتونند به شبکه لاگین کنند ! اگه این فرض من درست باشه خوب Port Security هم که کار ما رو راه میندازه (فقط میمونه بحث Dynamic Vlanning اش)
    سوال 3 : آیا این حالت هم نیاز به CA دارد ؟ منظورم CA مایکروسافتی هستش (حالا اینکه اون ACS خودش CA هست یا نه رو نمیدونم)

    حال فرض کنید میخوایم User Based پیادش کنیم. یوزر لاگین میکنه و اگر مجاز باشه شبکه اش اپ میشه و میفته توی وی لن خودش ! خوب این کاربردش چیه ؟ فقط راحتی ؟ اگر کسی یوزر من گیرش بیاد بد نمیشه ؟ خودش نمیشه یه ریسک امنیتی ؟ کسی با یوزر من بیاد میفته توی یک وی لن هلو و ... ؟ یا اینکه باید این رو با MAC در کنار هم پیاده کنیم ؟ مثلا بگیم اگر این یوزر با این MAC لاگین کرد پورت رو بنداز تو وی لن MASTER و .. آیا Logon to در اکتیو دایرکتوری و اینکه بگیم یوزر فقط میتونه رو این سیستمها لاگین کنه اینجا بهتر کار ما رو راه نمیندازه


    و در نهایت اینکه همش همینه ؟ یعنی اپ شدن پورت و افتادنش توی وی لن مخصوص یا کار دیگه ای هم انجام میده ؟

    ببخشید سوالات قطعا برای کسانی که در این حوزه کار کردند ابتدایی هستش ولی خوب میخوام کلیت کار دستم بیاد ! بعد از این هم سوالاتی در مورد سناریوی تستی دارم که میپرسم

    ممنون


    Zahmatkesh و arash3400 سپاسگزاری کرده‌اند.

  4. #4
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    1- تمامی Switch های لایه 2 و 3 شرکت Cisco، هم Port Based Authentication و هم Dynamic VLAN Assignment را پشتیبانی می کنند.
    2- اشتباه متوجه شدی. گفتم Computer Account و نه MAC Address. برای سیستمی که عضو Domain می شود یک Computer Account ساخته می شود که همانند یک User Account برای Authentication مورد استفاده قرار می گیرد.
    کنترل یکپارچه و مدیریت متمرکز با استفاده از Active Directory به هیچ وجه قابل مقایسه با کنترل های Port Security نیست.
    3- بله، نیاز به CA دارد.

    امروز با وجود ابزارهای کاملتر دیگر نیازی به استفاده از ACS وجود ندارد. Microsoft NPS که روی Windows Serveer 2008 R2 راه اندازی می شود امکانات و قابلیت های کم نظیری برای کنترل دسترسی در نقطه اتصال در اختیار مدیریت شبکه قرار می دهد.

    فرض می کنیم PBAC را به صورت User Based راه اندازی کرده ایم. این یعنی دیگر نمی تواند هر کسی که از راه رسید Laptop اش را به یک Node آزاد متصل کند و وارد شبکه شود. یعنی این که اگر کاربری روی سیستمش به صورت Local وارد شد، امکان کنترل دسترسی اش به منابع شبکه وجود خواهد داشت. این یعنی یک لایه کنترل امنیتی.
    امکان دیگری که در اختیار مدیر شبکه قرار می گیرد، تخصیص VLAN به صورت Dynamic است. در شبکه هایی که محدوده های مختلف شبکه براساس سرویس ها انجام شده است و برای نمونه کارمندهای واحد A در VLAN خاص خودشان قرار دارند و براساس حضور در این VLAN، دسترسی هایشان به منابع شبکه تعریف شده است و همچنین محل فیزیکی مشخص ندارند و در حال جایجایی ندارند (مانند شرکت هایی که به صورت Hoteling کار می کنند)؛ واقعا نمی توان روشی بهتر از Dynamic VLAN Assignment برای مدیریت این وضعیت پیشنهاد کرد.

    اشاره کردی که اگر User شما به دست دیگری بیفتد چه می شود؟! همانی می شود که اگر رمز کارت عابر بانکت به دست دیگری بیفتد! همان طور که از آن حفاظت می شود، از این هم باید حفاظت شود. در شبکه هایی که نیاز به تامین سطح امنیتی بالاتر از این باشد، می توان از Token استفاده کرد و این رمز را به صورت OTP مورد استفاده قرار داد.

    اعمال کنترل با MAC Address در راهکارهای امنیتی Enterprise جایی ندارد و نمی توان آن را با با این Solution ترکیب کرد و نتیجه تمیزی به دست آورد. مدیریت یکپارچه و منظم را از بین می برد و همچنین سطح امنیتی بالایی هم ندارد.
    ولی همان طور که اشاره کردی می توان کنترل هایی که روی Active Directory وجود دارد را هم در کنار این Solution مورد استفاده قرار داد تا قابلیت های بیشتری به دست آید. علاوه بر این ها، اگر از NPS استفاده شود، کنترل های بسیاری در اختیار قرار می دهد.
    برای نمونه می توان تعریف کرد که پس از کنترل دسترسی و Authentication و تعیین VLAN، وضعیت سلامت کلاینت نیز کنترل شود و مثلا Antivirus اش فعال باشد و به روز باشد و Firewall اش فعال باشد و سیستم عاملش آخرین Patch ها را دریافت کرده باشد و به روز باشد و سپس دسترسی اش به شبکه امکان پذیر شود!

    در نهایت اگر با این لحن بگوییم همه اش همین است کمی کم لطفی است نسبت به Solution ای که برای کنترل دسترسی به شبکه می توان گفت بی نظیر است.


    aryagohar، SADEGH65، ARM و 13 نفر دیگر سپاسگزاری کرده‌اند.

  5. #5
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    با تشکر فراوان و باز هم ادامه مطلب

    3- بله، نیاز به CA دارد.
    شما برای CA از خود مایکروسافت استفاده میکنید یا فایروال های سخت افزاری یا ...


    این یعنی دیگر نمی تواند هر کسی که از راه رسید Laptop اش را به یک Node آزاد متصل کند و وارد شبکه شود. یعنی این که اگر کاربری روی سیستمش به صورت Local وارد شد، امکان کنترل دسترسی اش به منابع شبکه وجود خواهد داشت. این یعنی یک لایه کنترل امنیتی.
    این مورد که خوب با Port Security کاملا تحت کنترل است

    برای نمونه می توان تعریف کرد که پس از کنترل دسترسی و Authentication و تعیین VLAN، وضعیت سلامت کلاینت نیز کنترل شود و مثلا Antivirus اش فعال باشد و به روز باشد و Firewall اش فعال باشد و سیستم عاملش آخرین Patch ها را دریافت کرده باشد و به روز باشد و سپس دسترسی اش به شبکه امکان پذیر شود!
    ممم.... عالیه ! این از امکانات NPS هستش یا کلا PBA با 802.1x ! یادمه تو پستهای قدیمیتون خیلی ACS رو دوست داشتید ولی خوب ظاهرا این NPS چیز دیگه ایه

    در نهایت اگر با این لحن بگوییم همه اش همین است کمی کم لطفی است نسبت به Solution ای که برای کنترل دسترسی به شبکه می توان گفت بی نظیر است.
    نه اینکه به خاطر بی اطلاعی و دانش کم من هستش !

    و در نهایت شرمندگی چند سوال دیگه
    1- آیا تو پروژه هاتون زیاد با این قضیه درگیر هستید ؟ سازمانهای زیادی هستند که این رو میخوان یا در موارد خاص ؟
    2- آیا پیاده سازی یک سناریوی تمرینی برای یادگیری این قضیه و بعدا پیاده سازی پایلوت و در نهایت کلی آن با یک سوییچ 2960 (یا 3750) و یک ویندوز سرور 2008 و چند کلاینت تست قابل انجام است ؟
    3- آقا خیلی رک ؟ آیااین قضیه خیلی سخته ؟ یا کسی با اطلاعات کم و ناقص من میتونه به نتیجه برسه ؟ یادمه تو یک پست گفته بودید این قضیه داستان زیاد داره و مطالعه زیاد میخواد
    4- یک نفر میگفت این CA خودش میتونه خیلی دردسر ساز بشه و مشکل دار شدنش تبعات شدید و بدی رو به دنبال داشته باشه
    5- آیا پیشنهاد میکنید که برای پیاده سازی و تمرین اولیه فقط Dynamic Vlan Assignment با User یا Computer رو انجام بدیم ؟ این کار راحته ؟

    بسیار منونم از اینکه تو این بی وقتی انقدر وقت میذارید ! فکر کنم تاپیک مفیدی خواهد شد


    SADEGH65، Reza.D، Zahmatkesh و 1 نفر دیگر سپاسگزاری کرده‌اند.

  6. #6
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    ممنون از شما که پیگیری می کنی. لذت می برم وقتی می بینم پرسش های خوب مطرح می شن و من رو ترغیب می کنن به پاسخ دادن.

    1- من از CA مایکروسافت استفاده می کنم.

    2- چطور با Port Security کاملا تحت کنترل است؟ با تعریف تک تک MAC Address ها روی تک تک Port ها؟! در شبکه ای با چند هزار یا حتی چند صد کلاینت و دهها Switch فکر می کنی چنین کاری شدنیست؟!

    3- این از قابلیت هایی است که قبلا هم وجود داشت و Cisco برایش Agent داشت که روی Windows نصب می شد (حداقل از 6 - 7 سال پیش که یادم هست بود.) ولی به هیچ وجه با امکانات امروزی قابل مقایسه نیست. واقعا ابزارها پیشرفت کرده اند. من تا پارسال از ACS استفاده می کردم ولی واقعا NPS کم نظیر است.

    ===========

    1- از نظر تعداد زیاد نیستند. این Solution بسیار پر هزینه از نظر راه اندازی و همچنین نگهداری و پشتیبانی است. Administration Overhead اش زیاد است. Solution ای نیست که راه اندازی شود و فراموش شود. اگر با مشکلی مواجه شود Debug کردنش ساده نیست و پر دردسر و پر زحمت است. عوامل بسیاری هم در بین هستند که پیچیدگی اش را زیاد می کنند.
    به همین دلیل اصولا این راهکار به درد همه جا نمی خورد. فقط به درد شبکه هایی می خورد که کسب و کارشان به گونه ای است که سطح خاصی از امنیت مورد نیازشان است.

    2- برای راه اندازی اش در محیط LAB حداقل به یک سوئیچ (2960)، یک Active Directory، یک Certification Authority، یک NPS و یک Client نیاز است.

    3- چون پارامترهای زیادی در بین هستند، نیاز به دانش در مورد همه آنها وجود دارد. کسی که می خواهد این Solution را راه اندازی کند، می بایست روی موارد زیر تسلط (نسبی) داشته باشد:
    Cisco
    Active Directory
    CA
    NPS
    Windows
    و البته Google !

    هم خیلی سخته و هم خیلی آسون. بستگی داره چطور بهش نگاه کنیم. من همیشه می گم کار نشد نداره.

    4- CA هم نیاز به مطالعه دارد چون پارامترها و پیچیدگی هایش زیاد است. مهم تر از ابزار، باید اول با مفهوم آشنا شد تا بعد بتوان به درستی از ابزار استفاده کرد.

    5- برای تمرین اولیه، فقط Port Based Authentication را راه اندازی کن. که اگر Authentication موفقیت آمیز بود دسترسی فعال شود و اگر نشد، به Guest VLAN هدایت شود.


    باز هم ممنون از پیگیریت


    SADEGH65، farhadnia، mgholami و 11 نفر دیگر سپاسگزاری کرده‌اند.

  7. #7
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    ممنون از شما که پیگیری می کنی. لذت می برم وقتی می بینم پرسش های خوب مطرح می شن و من رو ترغیب می کنن به پاسخ دادن.
    باز هم ممنون از پیگیریت
    فدات شم شما چرا تشکر میکنی ! من شرمنده شمام با این زحمتهایی که میکشی !
    یک نکته اف تاپیک ! به دوستان عزیزی که بعضا گله دارند از عدم گرفتن راهنمایی خوب بگم که برای گرفتن جواب همین چند سوال با هر کی صحبت کنید میگه بیا قرارداد ببند ! من واقعا ازتون ممنونم

    - چطور با Port Security کاملا تحت کنترل است؟ با تعریف تک تک MAC Address ها روی تک تک Port ها؟! در شبکه ای با چند هزار یا حتی چند صد کلاینت و دهها Switch فکر می کنی چنین کاری شدنیست؟!
    خوب من Sticky تعریف کردم ! سیستمها هم که در همون روزهای اول وصل شدن به شبکه و تمام ! الان هم اگه سیستمی بیاد تو مجموعه Sticky تعریف میکنم (کردم) و البته در حالت Disabled ! طرف که زد فعال میکنم و تمام

    - برای راه اندازی اش در محیط LAB حداقل به یک سوئیچ (2960)، یک Active Directory، یک Certification Authority، یک NPS و یک Client نیاز است.
    من با 2008 خیلی کار نکردم ! NPS هم که واسه خودش یک رمان هستش ! اول با ACS کار کنم چطوره ؟ یا نه ACS کلا منسوخ شده ؟


    - برای تمرین اولیه، فقط Port Based Authentication را راه اندازی کن. که اگر Authentication موفقیت آمیز بود دسترسی فعال شود و اگر نشد، به Guest VLAN هدایت شود.
    خودم تو ذهنم همین بود

    و باز هم چند نکته دیگه

    1- راستی اگر داکیومنت خوبی هم برای پیاده سازی این سناریو دارید ممنون میشم (انگلیسی باشه بهتر ولی یجورایی پیوستگی مطلب توش باشه ! نه به صورت جدا که یکی در مورد .1X گفته باشه و یکی در مورد ACS و ...) یک سناریوی کامل رو شرح داده باشه

    2- در مورد VMPS نگفتید ؟ اسمش رو تو فیلمها و کتابها زیاد میشنویم و میبینیم ! داریم همچین Device ای تو بازار ? اصلا چی هست ؟ سوییچ خاصیه ؟ یا IOS خاصی میخواد یا اصلا دیوایس خاصیه واسه خودش ؟

    3- آیا این سناریوی تمرینی با ESX قابل پیاده سازیه ؟ من سرورم (حالا 2008 یا 2003) و ACS و کلاینت مجازی هستند ! سوییچ رو هم میتونم به سرور ESX وصل کنم هم بیارم رو میزم و سیستم خودم رو بکنم کلاینت ! یا اینکه نه اصلا اوضاع میپیچه تو هم و بهتره تو شرایط واقعی باشه

    پیشاپیش خیلی ممنونم محمد جان ! امروز فکر کنم اندازه یک ماه پستهات تو انجمن تایپ کردی


    Zahmatkesh و arash3400 سپاسگزاری کرده‌اند.

  8. #8
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    با ACS هم میتوانی کار را شروع کنی. همانطور که گفتی NPS برای خودش داستانی است!

    1- گوگل کنی موارد مختلفی می توانی پیدا کنی. Document شسته رفته ای که از 0 تا 100 رو Step By Step گفته باشه ندیده ام.

    2- VMPS روشی قدیمی است برای پیاده سازی همین راهکار. یک سرویس دهنده (که می تواند یک Switch باشد و یا یک سرور) لیست MAC Address ها و VLAN متناظر آنها را نگهداری می کند و در لحظه اتصال، Switch براساس این اطلاعات، Port مورد نظر را به VLAN مربوطه Assign می کند.

    3- بله، چرا که نه؟ البته کلاینت را نمی توانی روی ESX داشته باشی چون Virtual Switch های VMWare از 802.1x پشتیبانی نمی کنند.


    SADEGH65، mgholami، Reza.D و 5 نفر دیگر سپاسگزاری کرده‌اند.

  9. #9
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    بسیار ممنونم
    خیلی زحمت کشیدی
    سعی میکنم هر تجربه ای به دست اوردم یا هر مستند خوبی در این مورد پیدا کردم اینجا بذارم تا تاپیک پربارتر بشه !
    البته یه جا تو سیستم ما پیاده سازی شده ولی خوب به خود من هم چیزی نمیگن چه برسه به اینکه بخوام توضیحی در موردش اینجا بدم
    ایشا.. قدم به قدم برم جلو راهنمایی هم میفرمایید دیگه

    فقط محمد جان یک سوال : اون بحث CA رو مطمئنی ؟ یه بنده خدایی میگفت شرایطی هست که CA نمیخواد (دقیق یادم نیست چه شرایطی رو میگفت ! میگفت اگر Computer Based باشه یا یه چیزی تو این مایه ها) ! و اینکه این راهکار کلا با این شرایط تو شبکه های غیر دامین کاربردی نداره دیگه ! مثلا اینکه تو یک ورک گروپ (یا دامینی که نمیخواهیم کل این شرایط پیاده سازی بشه) محدود کردن و انداختن توی وی لن مربوطه بر اساس MAC Address توسط Dot1x قابل پیاده سازی نیست نه ؟


    ویرایش توسط th95 : 2011-01-02 در ساعت 11:16 PM
    yogishiip، Zahmatkesh و arash3400 سپاسگزاری کرده‌اند.

  10. #10
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    بعید می دانم شرایطی باشد که CA نخواهد! چون Username و Password که به سمت سرور ارسال می شود می بایست Encrypt شود. اگر راهی باشد من در موردش اطلاعی ندارم.

    اگر کلاینت ها عضو Domain نباشند هم می توان Authentication را رویشان فعال کرد. اگر به این مورد علاقه داشتی در موردش جستجو و مطالعه کن.

    با Dot1x نمی توان بر اساس MAC Address عمل Authentication را انجام داد و باز هم تکرار می کنم که MAC Address گزینه مناسبی برای چنین کنترلی نیست، چون Validity اش بالا نیست و نمی توان به آن اعتماد کرد.


    Reza.D، th95، yogishiip و 3 نفر دیگر سپاسگزاری کرده‌اند.

  11. #11
    ARM
    ARM آنلاین نیست.
    نام حقيقي: علیرضا مشعلی

    مدیر بازنشسته شناسه تصویری ARM
    تاریخ عضویت
    May 2005
    محل سکونت
    اهواز
    نوشته
    1,898
    سپاسگزاری شده
    2497
    سپاسگزاری کرده
    1832
    نقل قول نوشته اصلی توسط Hakimi نمایش پست ها
    با Dot1x نمی توان بر اساس MAC Address عمل Authentication را انجام داد.
    می توان




    Hakimi، Reza.D، th95 و 4 نفر دیگر سپاسگزاری کرده‌اند.

  12. #12
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    سلام
    آقای حکیمی لطف کردند خیلی کامل توضیح دادند.
    تا اونجایی که میدونم برای پیاده سازی dot1x نیاز به CA سرور داری.
    در مورد VPMS هم به نقل از سایت آقای زندی:

    مشکل برخی از شبکه های سازمان هایی که VMPS را پیاده سازی کرده اند این است که سیسکو دیگر از این پروتکل پشتیبانی نمیکند پس مشتریان نیز نمی توانند سوییچ های 6500 خود را به IOS مجهز کنند و مجبورند از CatOS قدیمی استفاده کنند. سیسکو قبلا دستگاهی بنام VPS 110X ارائه کرد که یک VMPS بصورت یک سرور مستقل است که امروزه ارائه نمیشود. سیسکو URT نیز که عملکرد مشابهی داشت دیگر ارائه نمیگردد.
    باید توجه داشت که این تکنولوژی دیگر از سوی سیسکو پشتیبانی نمیشود و بجای آن میتوان از IEEE802.1X و NAC استفاده کرد. نگاه سیسکو امروزه به سمت پروتکل های استاندارد است تا پروتکل های Proprietary …
    VMPS

    در مورد پیاده سازی dot1x با MAC هم اصلاً پیشنهاد نمیشه، چون خیلی راحت کاربر (یا بهتر بگیم هکر) میتونه MAC خودش را عوض کنه و بره توی VLAN ای که نباید بره. ولی خوب وقتی بحث Certificate باشه اوضاع کمی فرق میکنه.

    راستی در مورد dot1x هم، اگه پیاده سازیش کردی، فکر کنم در کنارش نیاز به port security هم داشته باشه، چرا؟!؟ وقتی پیاده سازیش کردی بگو که چند تا تست (برای دور زدنش!) روش انجام بدیم


    ویرایش توسط aliafzalan : 2011-01-03 در ساعت 08:13 AM
    Hakimi، SADEGH65، mgholami و 4 نفر دیگر سپاسگزاری کرده‌اند.

  13. #13
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    راستی در مورد dot1x هم، اگه پیاده سازیش کردی، فکر کنم در کنارش نیاز به port security هم داشته باشه.
    چرا؟!


    arash3400 سپاسگزاری کرده است.

  14. #14
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    فکر کنم یه جوری بشه دورش زد، ولی از اونجایی که فعلاً dot1x پیاده سازی شده در دسترس ندارم نمیتونم تستش کنم.
    و اما . . .
    فرض کن dot1x پیاده سازی بشه و همه چیز هم به خوبی کار کنه، سیستم من (کلاینت) یه سیستم محدوده که نمیشه رووش هیچ کاری کرد (برنامه نصب کرد و USB بسته است و . . . ). حالا من میام یه لپ تاپ میارم و یه هاب، هاب را میزنم به پورت سوئیچ که روش dot1x هست و سیستم خودم و لپ تاپ را میزنم به اون هاب.
    سیستم من چون ok هست و Certificate داره باعث میشه که پورت سوئیچ UP باشه و ارتباط برقرار بشه اینجوری ارتباط لپ تاپ من با شبکه شرکت هم برقرار میشه و میتونم هر کاری انجام بدم. ولی اگر هم dot1x باشه و هم port security و Max MAC یک باشه اینجوری دیگه با لپ تاپ نمیتونم کاری انجام بدم.
    البته شاید هم اشتباه میکنم. اگه فرصت کردید یه تست انجام بدید.


    mgholami و arash3400 سپاسگزاری کرده‌اند.

  15. #15
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    وقتی این سیستم را پیاده سازی می کنی، روی Switch به ازای هر Port گزینه ای در اختیارت است به نام multiple-hosts
    به صورت پیش فرض این گزینه غیر فعال است، به این معنی که به هر Port فقط یک کلاینت می تواند وصل شود و اگر این Port به یک Hub وصل شود، فقط همان کلاینتی که Authenticate کرده می تواند تبادل اطلاعات کند و بقیه امکان تبادل اطلاعات ندارند.
    ولی در مواردی که به دلایلی کسی بخواهد چند کلاینت از یک Port استفاده کنند (به وسیله یک Hub) می بایست Multiple-hosts فعال شود و در این صورت، Authenticate کردن یکی از کلاینت هایی که به آن Hub متصل هستند کافیست تا دروازه ورود به شبکه برای دیگر کلاینت های آن Hub هم باز شود.
    این یک انتخاب است و اختیارش در دست مدیر شبکه.


    SADEGH65، ARM، darklove و 11 نفر دیگر سپاسگزاری کرده‌اند.

صفحه 1 از 2 1 2 آخرینآخرین

کلمات کلیدی در جستجوها:

پروتکل .1x

پروتكل .1x

راه اندازی dynamic vlan توسط npsراه اندازی .1xhttp:forum.persiannetworks.comf63t41167.html.1x پروتکلراه اندازی secure acs با active directoryاستفاده از Dot1x چه مزایایی داردارتباط dot1x با nps radiusacs url تنظیمات مودمپروتکل dot1xdot1x تعریفمفهوم سرویس .1xنصب سیسکو ورکس vmpsکار با پروتکل .1xdot1x چگونه راه اندازی می شودمزایای dot1xراه اندازي dynamic vlan با npsPBAC مایکروسافتراه اندازی .1x by active directoryفرق acs با npsراه اندازی vlan توسط npsنصب و راه اندازی dot 1xراه اندازی ieee802.1xچه معنی دارد active directory certificate services

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •