RADIUS Server در Access Point

[saman_tech]

سلام خدمت همه اساتید،
یک سوال در مورد RADIUS Server داشتم که در رابطه با AP هستش،
1.در آیتمهای AP موردی بنام Security -> Encryption هست که یکی از گزینه های آن WAP RADIUS هست. این مورد به چه کاری می آید ؟ در صورت اتصال به RADIUS Server در چه مرحله ای اعتبار سنجی می شود ؟
2. ما برای امنیت شبکه روی هر AP تعدادی MAC Address تعریف کردیم که می تونن فقط به اون AP متصل بشن ، راهی هست که بشه همه MAC ها را بصورت نرم افزاری و مجتمع اعتبار سنجی کرد و وابسته به AP ها نباشه ؟ در حقیقت اینطوری باشه که هر device بتونه به همه یا تعدادی از AP ها متصل بشه ولی قبل از هر کاری MAC آن اعتبارسنجی شود که آیا مجاز به استفاده از شبکه هست یا خیر ؟ یا یک راهکاری شبیه همین .

با تشکر از نظر دوستان

---

موضوعات مشابه:

• آپلود فریمور access point با ورژن اشتباه و خطا
• خطای No Internet access هنگام شیر کردن اینترنت به وسیله access point در win7
• انتخاب Access Point
• انتخاب access point برای 3 هزار متر مربع
• Bluetooth Access Point with USB Print Server

---

[1qaz2wsx]

مدل اکسس پوینتهاتون رو هم بگین

[maaziyar]

شما در این مورد نیاز به این کارا نداری تمام مک ادرس های مجاز رو بنویس که تو شبکت باشه یک مک فیلتربنگ راه بنداز اینارو allow کن و بقیه رو deny

[sallea]

آقا مازیار اگه من چند تا ap داشته باشم چی؟ نمیشه من برم روی همه ی ap ها مک ئارد کنم

[maaziyar]

نه نمی شه
ببین من یک سوال دارم شما میخواهید سطح دسترسی بدید ببینید وقتی بخواهید از پروتکل aaa که برای radius هست استفاده کنید باید یک data base داشته باشی از رو هوا که نمیتونه سطح دسترسی صادر کنه این دیتا بیس شما مک ادرس هاست
حالا اینارو باید تو همه ap ها استفاده کنی میگی نمیشه باید یک دستگاه بزاری پشت این ap ها که حد فاصل بین سرورت و رادیو ها باشه که سطح دست رسی ایجاد کنه چون باید تجمیع مک های ارسالی رو سطح دست رسی بدی
حالا اینجا یک مشکل به وجود میاد چون کلاینت میتونه به ap وصل شه اما به اطلاعات سرور دست رسی نداره اما مجاز به استفاده پهنای باند وایرلست هست
مثلاً اگه منو اقا اشکان بیاییم اونجا 2 تا لپ تاپ میگیریم دستمون میشینیم گیم آنلاین میزنیو میشینیم فایل ترنسفر میکنیم رادیو ها رو میترکونیم اما به سرور دست رسی نداریم

[1qaz2wsx]

در اکثر اکسس پوینتها دوتا فایل هست accept mac و deny mac و اگه جای هر اکسس پوینت و رو بدونید میتونید این دوتا فایل رو بطور یکپارچه بروز رسانی کنید.
mac filtering تاثیری در امنیت نداره و نهایتن به درد بهینه سازی شبکه میخوره والا دور زدنش کار چندتا کلیکه
wpa2 enterprise یک نوع authentication هست که هر شخص یوزر نیم پسورد و یا key خودش رو داره. و میتونید اونو با هر دیتابیسی اعتبار سنجی کنید. یکی از بهترین امکانات این قضیه امکان جدا سازی دیوایس ها با dynamic vlaning ‌‌‍ه

[saman_tech]

از نظر همه دوستان ممنونم
مدل AP ها level1 6102 هست ، البته اشکان، در AP های این مدل wpa2 enterprise وجود نداره ، اما virtual LAN هست.
ممکنه در مورد این جمله آخر بیشتر توضیح بدی """یکی از بهترین امکانات این قضیه امکان جدا سازی دیوایس ها با dynamic vlaning ‌‌‍"""" .

[mehrzadmo]

در صورت اتصال به RADIUS Server در چه مرحله ای اعتبار سنجی می شود ؟

در بدو ورود هست در مورد EAP تحقيق كنيد . اين مورد مربوط به رمز گذاري هست نه اتانكيشن . و اين كار رو با يه سرتيفيكيت انجام ميده كه از راديوس سرور ميخونه .

2. ما برای امنیت شبکه روی هر AP تعدادی MAC Address تعریف کردیم که می تونن فقط به اون AP متصل بشن ، راهی هست که بشه همه MAC ها را بصورت نرم افزاری و مجتمع اعتبار سنجی کرد و وابسته به AP ها نباشه ؟

اگر راديوتون ميكروتيك باشه بله ميشه . راديو هاي ديگه رو نمي دونم ! + خيلي از امكانات ديگه . اما دقت داشته باشيد در چند دقيقه اين مورد قابل هك شدن هست . از اين روش استفاده نكنيد .

[1qaz2wsx]

dynamic vlaning همون vlaning ‌‌‍ه با این تفاوت که روی یک ssid ‌‍ه وقتی هر یوزر خواست وصل شه خود AP بر اساس پارامتری که از radius میگیره یوزرو میندازه توی اون Vlan.
البته این مدل اکسس پوینت شما این رو ساپورت نمیکنه و اگه بخواین Vlan داشته باشین باید برای هر Vlan یک ssid مجزا تعریف کنید که محدودیت 4 ssid رو دارین.
کلا" راجع به 802.1x wPA یه سرچی بزن.