forum.opennet.ru - "cisco ap как аутентификатор в связке с RADIUS-сервером" (13)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"cisco ap как аутентификатор в связке с RADIUS-сервером"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
Сообщение от XeV (ok) on 16-Май-12, 08:22
Здравствуйте. В компании имеются точки доступа cisco ap1130 Постоянно приходят клиенты со своими ноутбуками на несколько часов, необходимо давать им выход в интернет. Ранее мне посоветовали на форуме сделать схему с использованием 802.1x Но в таком случае я так понимаю давать точкой доступа гостевой vlan (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь сам порт в который воткнута точка так переводить в другой vlan. Но это по понятным причинам не подходит Подскажите так ли это?как можно решить сей вопрос?
Ответить \| Правка \| Cообщить модератору

Оглавление

cisco ap как аутентификатор в связке с RADIUS-сервером, eek, 09:13 , 16-Май-12, (1)

cisco ap как аутентификатор в связке с RADIUS-сервером, XeV, 09:16 , 16-Май-12, (2)

cisco ap как аутентификатор в связке с RADIUS-сервером, Николай_kv, 10:20 , 16-Май-12, (3)

cisco ap как аутентификатор в связке с RADIUS-сервером, XeV, 11:13 , 16-Май-12, (4)

cisco ap как аутентификатор в связке с RADIUS-сервером, Pve1, 12:07 , 17-Май-12, (5)

cisco ap как аутентификатор в связке с RADIUS-сервером, XeV, 13:38 , 17-Май-12, (6)

cisco ap как аутентификатор в связке с RADIUS-сервером, Pve1, 11:17 , 18-Май-12, (7)

cisco ap как аутентификатор в связке с RADIUS-сервером, XeV, 12:38 , 18-Май-12, (8)

cisco ap как аутентификатор в связке с RADIUS-сервером, Pve1, 15:32 , 18-Май-12, (9)

cisco ap как аутентификатор в связке с RADIUS-сервером, XeV, 08:43 , 21-Май-12, (10)

cisco ap как аутентификатор в связке с RADIUS-сервером, root0, 10:23 , 25-Май-12, (11)

cisco ap как аутентификатор в связке с RADIUS-сервером, XeV, 10:51 , 25-Май-12, (12)

cisco ap как аутентификатор в связке с RADIUS-сервером, root0, 11:15 , 25-Май-12, (13)

Сообщения по теме [Сортировка по времени | RSS]

1. "cisco ap как аутентификатор в связке с RADIUS-сервером" +/–

Сообщение от eek on 16-Май-12, 09:13

> как можно решить сей вопрос?
Обратитесь в интегратор с четким тех заданием.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "cisco ap как аутентификатор в связке с RADIUS-сервером" +/–

Сообщение от XeV (ok) on 16-Май-12, 09:16

>> как можно решить сей вопрос?
> Обратитесь в интегратор с четким тех заданием.
этот вариант по понятным причинам не приемлим.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "cisco ap как аутентификатор в связке с RADIUS-сервером" +/–

Сообщение от Николай_kv (ok) on 16-Май-12, 10:20

> Здравствуйте.
> В компании имеются точки доступа cisco ap1130
> Постоянно приходят клиенты со своими ноутбуками на несколько часов, необходимо давать им
> выход в интернет.
> Ранее мне посоветовали на форуме сделать схему с использованием 802.1x
> Но в таком случае я так понимаю давать точкой доступа гостевой vlan
> (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь
> сам порт в который воткнута точка так переводить в другой vlan.
> Но это по понятным причинам не подходит
> Подскажите так ли это?как можно решить сей вопрос?
Судя по всему вы плохо поняли работу 802.1x.
вам эта строка конфига ни о чем не говорит?

dot1x guest-vlan 35 !и
dot1x auth-fail vlan 35
Guest VLAN — VLAN в который помещаются клиенты не поддерживающие 802.1X.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "cisco ap как аутентификатор в связке с RADIUS-сервером" +/–

Сообщение от XeV (ok) on 16-Май-12, 11:13

>[оверквотинг удален]
>> Но в таком случае я так понимаю давать точкой доступа гостевой vlan
>> (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь
>> сам порт в который воткнута точка так переводить в другой vlan.
>> Но это по понятным причинам не подходит
>> Подскажите так ли это?как можно решить сей вопрос?
> Судя по всему вы плохо поняли работу 802.1x.
> вам эта строка конфига ни о чем не говорит?
>  dot1x guest-vlan 35 !и
>  dot1x auth-fail vlan 35
> Guest VLAN — VLAN в который помещаются клиенты не поддерживающие 802.1X.
так работает только на коммутаторе!с коммутаторами проблем действительно нет!
Вопрос как заставить точку доступа это делать?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "cisco ap как аутентификатор в связке с RADIUS-сервером" +/–

Сообщение от Pve1 (ok) on 17-Май-12, 12:07

> Здравствуйте.
> В компании имеются точки доступа cisco ap1130
> Постоянно приходят клиенты со своими ноутбуками на несколько часов, необходимо давать им
> выход в интернет.
> Ранее мне посоветовали на форуме сделать схему с использованием 802.1x
> Но в таком случае я так понимаю давать точкой доступа гостевой vlan
> (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь
> сам порт в который воткнута точка так переводить в другой vlan.
> Но это по понятным причинам не подходит
> Подскажите так ли это?как можно решить сей вопрос?
На указанной точке доступа можно сделать несколько сетей с разными SSID в разных VLAN.
МОжно некоторые вообще без шифрования делать.
Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов назначать.
Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее в гостевой влан.
МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "cisco ap как аутентификатор в связке с RADIUS-сервером" +/–

Сообщение от XeV (ok) on 17-Май-12, 13:38

>[оверквотинг удален]
>> Но это по понятным причинам не подходит
>> Подскажите так ли это?как можно решить сей вопрос?
> На указанной точке доступа можно сделать несколько сетей с разными SSID в
> разных VLAN.
> МОжно некоторые вообще без шифрования делать.
> Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов
> назначать.
> Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее
> в гостевой влан.
> МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.
Спасибо за развернутый ответ!
> На указанной точке доступа можно сделать несколько сетей с разными SSID в
> разных VLAN.
Это всмысле примерно вот так?
1. Бью интерфейс Ge 0 на 2 саба с инкапсуляцией dot1q и vlan 10 и 20
2. Бью интерфейс Radio 0 на 2 саба с инкапсуляцией dot1q и vlan 10 и 20, и 2 разными SSID.
3. Создаю 2 бриджа, и привязываю Ge 0.1 к Radio 0.1 бриджем 1, Ge 0.1 к Radio 0.2 бриджем 2
4. На коммутаторе перевожу порт от 1141 в режим tagged и включаю его в обе подсети.
> Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов
> назначать.
> Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее
> в гостевой влан.
Думал так сделать, но
Я так понимаю тут нужно будет каждому юзеру ставить сертификат чтобы аутентифицироватся на радиусе как устройство чтобы получить доступ в сеть?это неочень подходит.
> МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.
А в таком случае разве можно определять vlan?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "cisco ap как аутентификатор в связке с RADIUS-сервером" +/–

Сообщение от Pve1 (ok) on 18-Май-12, 11:17

В целом по multi SSID -  ты все правильно понял.
Еще для управления рекомендуется создать отдельный VLAN - он обязательно на точка нативный.
> Думал так сделать, но
> Я так понимаю тут нужно будет каждому юзеру ставить сертификат чтобы аутентифицироватся
> на радиусе как устройство чтобы получить доступ в сеть?это неочень подходит.
Есть 2 современных и широко используемых метода:
1.) EAP-TLS - аутентификация по сертификатам. Самый безопасный, но очень сложный в поддержке и реализкации, особенно в разнообразном парке устройств, требующий высокой квалификации сотрудтиков поддержки. Периодически возникают проблемы.
2.) EAP-MSCHAP-v2 - аутентификация по логину/хешу пароля. Аутентификаци проходит внутри SSL тунеля, постороенного на базе сертификата сервера. По сути тоже весьма безопасный вариант, и много лучше PSK.  Бес проблемно работает с большинством современных устройств и гаджетов.  Машинная аутентификация для доменных компов так же нормально работает на основе учетной записи компьютера.

>> МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.
> А в таком случае разве можно определять vlan?
Для автономных точек, на сколько я знаю - нет.  А зачем для гостей назначать VLAN? У тебя же и так отдельный SSID в отдельном VLAN?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "cisco ap как аутентификатор в связке с RADIUS-сервером" +/–

Сообщение от XeV (ok) on 18-Май-12, 12:38

>Есть 2 современных и широко используемых метода:
>1.) EAP-TLS - аутентификация по сертификатам. Самый безопасный, но очень сложный в >поддержке и реализкации, особенно в разнообразном парке устройств, требующий высокой >квалификации сотрудтиков поддержки. Периодически возникают проблемы.
>2.) EAP-MSCHAP-v2 - аутентификация по логину/хешу пароля. Аутентификаци проходит внутри >SSL тунеля, постороенного на базе сертификата сервера. По сути тоже весьма безопасный >вариант, и много лучше PSK.  Бес проблемно работает с большинством современных устройств >и гаджетов.  Машинная аутентификация для доменных компов так же нормально работает на >основе учетной записи компьютера.
Тут я так понимаю нужны дополнителоьные манипуляции со стороны клиента, тоесть добавление ему новой сети, неподходит так как необходимо максимально просто все реальзовать. Человек пришел - подключился, без доп. настроек
> Для автономных точек, на сколько я знаю - нет.  А зачем
> для гостей назначать VLAN? У тебя же и так отдельный SSID
> в отдельном VLAN?
у меня все точки вещают разные ssid но с vlan1 который по умолчанию.
Сейчас пытаюсь сделать чтобы точка вещала 2 ссида с разными vlan но чуствую пустой номер все это.
Подскажи пжл каким способом лучше реализовать?
Необходимо чтобы люди с ноутбуками пришедшие в компанию подключались к точке и получали гостевой vlan тоесть другую подсеть отличную от той которую получают юзеры компании!
И все!
Вопрос безопасности не интересует вообще!
Лижбы работало...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "cisco ap как аутентификатор в связке с RADIUS-сервером" +/–

Сообщение от Pve1 (ok) on 18-Май-12, 15:32

Да сделай отдельную сеть SSID в отдельном DMZ VLAN для гостей с WPA-PSK.
Карточки с паролем на ресепшене выдавать.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "cisco ap как аутентификатор в связке с RADIUS-сервером" +/–

Сообщение от XeV (ok) on 21-Май-12, 08:43

> Да сделай отдельную сеть SSID в отдельном DMZ VLAN для гостей с
> WPA-PSK.
> Карточки с паролем на ресепшене выдавать.
ну опять же все упирается в точку доступа которая должна вещать 2 ssid с разными vlan. у меня пока с этим затруднения, DHCP в них почему то не отдается.
вот конфиг точки
ap#sh run
Building configuration...
Current configuration : 3146 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 xxxxxxxxxxxxxxxxxx
!
led display alternate
ip subnet-zero
!
!
no aaa new-model
dot11 mbssid
dot11 vlan-name AIR vlan 1
dot11 vlan-name GUEST vlan 102
!
dot11 ssid AIR
   vlan 1
   authentication open
   authentication key-management wpa
   mbssid guest-mode
   wpa-psk ascii 7 xxxxxxxxxxx
!
dot11 ssid GUEST
   vlan 102
   authentication open
   authentication key-management wpa
   mbssid guest-mode
   wpa-psk ascii 7 xxxxxxxxx
!
power inline negotiation prestandard source
!
!
username admin password 7 xxxxxxxx
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 102 mode ciphers tkip
!
encryption vlan 1 mode ciphers tkip
!
ssid AIR
!
ssid GUEST
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
ip address 192.168.1.246 255.255.255.0
no ip unreachables
no ip proxy-arp
no ip route-cache
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.102
encapsulation dot1Q 102
ip address 192.168.2.100 255.255.255.0
no ip route-cache
no cdp enable
bridge-group 102
bridge-group 102 subscriber-loop-control
bridge-group 102 block-unknown-source
no bridge-group 102 source-learning
no bridge-group 102 unicast-flooding
bridge-group 102 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
no dfs band block
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
channel dfs
station-role root access-point
world-mode legacy
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
hold-queue 160 in
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0.102
encapsulation dot1Q 102
no ip route-cache
bridge-group 102
bridge-group 102 subscriber-loop-control
bridge-group 102 block-unknown-source
no bridge-group 102 source-learning
no bridge-group 102 unicast-flooding
bridge-group 102 spanning-disabled
!
interface BVI1
ip address 192.168.1.247 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.251
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
!
end
vlan 1 b vlan 102 подняты на главном маршрутизаторе. в 102 раздает циска DHCP а в vlan1 - DC.
а вот порт коммутатора просто в транк, так как распилить интерфейс не получается изза отсутсвия адекватной команднеой строки...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "cisco ap как аутентификатор в связке с RADIUS-сервером" +/–

Сообщение от root0 (ok) on 25-Май-12, 10:23

Вот правильный конфиг с mbssid
dot11 vlan-name Native vlan 1
dot11 vlan-name ODS-Fisch.Access-v648 vlan 648
!
dot11 ssid Interlink
   vlan 1
   authentication open
   authentication key-management wpa version 2
   infrastructure-ssid
   wpa-psk ascii 7 xxx
   no ids mfp client
!
dot11 ssid Interlink-N
   vlan 648
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode dtim-period 1
   wpa-psk ascii 7 xxx
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
encryption vlan 1 mode ciphers aes-ccm
!
encryption vlan 648 mode ciphers aes-ccm
!
ssid Interlink
!
ssid Interlink-N
!
traffic-metrics aggregate-report
mbssid
speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
power local 11
packet max-retries 3 0 fail-threshold 100 500 priority 5 drop-packet
packet max-retries 3 0 fail-threshold 100 500 priority 6 drop-packet
packet speed  5.5 11.0 6.0 12.0 24.0 priority 6
channel least-congested 2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462
station-role root access-point
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.648
encapsulation dot1Q 648
no ip route-cache
no cdp enable
bridge-group 255
bridge-group 255 subscriber-loop-control
bridge-group 255 block-unknown-source
no bridge-group 255 source-learning
no bridge-group 255 unicast-flooding
bridge-group 255 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
no cdp enable
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface FastEthernet0.648
encapsulation dot1Q 648
no ip route-cache
no cdp enable
bridge-group 255
no bridge-group 255 source-learning
bridge-group 255 spanning-disabled

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "cisco ap как аутентификатор в связке с RADIUS-сервером" +/–

Сообщение от XeV (ok) on 25-Май-12, 10:51

>[оверквотинг удален]
>  no bridge-group 1 source-learning
>  bridge-group 1 spanning-disabled
> !
> interface FastEthernet0.648
>  encapsulation dot1Q 648
>  no ip route-cache
>  no cdp enable
>  bridge-group 255
>  no bridge-group 255 source-learning
>  bridge-group 255 spanning-disabled
Спасибо! У меня конфиг получился один в один, только раздать DHCP в первый vlan не получилось. Пришлось делать 2, один гостевой а другой под вайфай клиентов в оба раздает адреса cisco 1841. Тема закрыта!

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "cisco ap как аутентификатор в связке с RADIUS-сервером" +/–

Сообщение от root0 (ok) on 25-Май-12, 11:15

Если быть внимательным то конфиг не один в один - у Вас неправильный вот и не работает DHCP в первом влане :) Если что-то не получается то зайди через веб морду там более расширенная информация :)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
Сообщение от eek on 16-Май-12, 09:13
> как можно решить сей вопрос? Обратитесь в интегратор с четким тех заданием.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
	Сообщение от XeV (ok) on 16-Май-12, 09:16
	>> как можно решить сей вопрос? > Обратитесь в интегратор с четким тех заданием. этот вариант по понятным причинам не приемлим.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
Сообщение от Николай_kv (ok) on 16-Май-12, 10:20
> Здравствуйте. > В компании имеются точки доступа cisco ap1130 > Постоянно приходят клиенты со своими ноутбуками на несколько часов, необходимо давать им > выход в интернет. > Ранее мне посоветовали на форуме сделать схему с использованием 802.1x > Но в таком случае я так понимаю давать точкой доступа гостевой vlan > (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь > сам порт в который воткнута точка так переводить в другой vlan. > Но это по понятным причинам не подходит > Подскажите так ли это?как можно решить сей вопрос? Судя по всему вы плохо поняли работу 802.1x. вам эта строка конфига ни о чем не говорит? dot1x guest-vlan 35 !и dot1x auth-fail vlan 35 Guest VLAN — VLAN в который помещаются клиенты не поддерживающие 802.1X.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
	Сообщение от XeV (ok) on 16-Май-12, 11:13
	>[оверквотинг удален] >> Но в таком случае я так понимаю давать точкой доступа гостевой vlan >> (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь >> сам порт в который воткнута точка так переводить в другой vlan. >> Но это по понятным причинам не подходит >> Подскажите так ли это?как можно решить сей вопрос? > Судя по всему вы плохо поняли работу 802.1x. > вам эта строка конфига ни о чем не говорит? > dot1x guest-vlan 35 !и > dot1x auth-fail vlan 35 > Guest VLAN — VLAN в который помещаются клиенты не поддерживающие 802.1X. так работает только на коммутаторе!с коммутаторами проблем действительно нет! Вопрос как заставить точку доступа это делать?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

5. "cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
Сообщение от Pve1 (ok) on 17-Май-12, 12:07
> Здравствуйте. > В компании имеются точки доступа cisco ap1130 > Постоянно приходят клиенты со своими ноутбуками на несколько часов, необходимо давать им > выход в интернет. > Ранее мне посоветовали на форуме сделать схему с использованием 802.1x > Но в таком случае я так понимаю давать точкой доступа гостевой vlan > (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь > сам порт в который воткнута точка так переводить в другой vlan. > Но это по понятным причинам не подходит > Подскажите так ли это?как можно решить сей вопрос? На указанной точке доступа можно сделать несколько сетей с разными SSID в разных VLAN. МОжно некоторые вообще без шифрования делать. Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов назначать. Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее в гостевой влан. МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
	Сообщение от XeV (ok) on 17-Май-12, 13:38
	>[оверквотинг удален] >> Но это по понятным причинам не подходит >> Подскажите так ли это?как можно решить сей вопрос? > На указанной точке доступа можно сделать несколько сетей с разными SSID в > разных VLAN. > МОжно некоторые вообще без шифрования делать. > Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов > назначать. > Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее > в гостевой влан. > МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию. Спасибо за развернутый ответ! > На указанной точке доступа можно сделать несколько сетей с разными SSID в > разных VLAN. Это всмысле примерно вот так? 1. Бью интерфейс Ge 0 на 2 саба с инкапсуляцией dot1q и vlan 10 и 20 2. Бью интерфейс Radio 0 на 2 саба с инкапсуляцией dot1q и vlan 10 и 20, и 2 разными SSID. 3. Создаю 2 бриджа, и привязываю Ge 0.1 к Radio 0.1 бриджем 1, Ge 0.1 к Radio 0.2 бриджем 2 4. На коммутаторе перевожу порт от 1141 в режим tagged и включаю его в обе подсети. > Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов > назначать. > Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее > в гостевой влан. Думал так сделать, но Я так понимаю тут нужно будет каждому юзеру ставить сертификат чтобы аутентифицироватся на радиусе как устройство чтобы получить доступ в сеть?это неочень подходит. > МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию. А в таком случае разве можно определять vlan?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
	Сообщение от Pve1 (ok) on 18-Май-12, 11:17
	В целом по multi SSID - ты все правильно понял. Еще для управления рекомендуется создать отдельный VLAN - он обязательно на точка нативный. > Думал так сделать, но > Я так понимаю тут нужно будет каждому юзеру ставить сертификат чтобы аутентифицироватся > на радиусе как устройство чтобы получить доступ в сеть?это неочень подходит. Есть 2 современных и широко используемых метода: 1.) EAP-TLS - аутентификация по сертификатам. Самый безопасный, но очень сложный в поддержке и реализкации, особенно в разнообразном парке устройств, требующий высокой квалификации сотрудтиков поддержки. Периодически возникают проблемы. 2.) EAP-MSCHAP-v2 - аутентификация по логину/хешу пароля. Аутентификаци проходит внутри SSL тунеля, постороенного на базе сертификата сервера. По сути тоже весьма безопасный вариант, и много лучше PSK. Бес проблемно работает с большинством современных устройств и гаджетов. Машинная аутентификация для доменных компов так же нормально работает на основе учетной записи компьютера. >> МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию. > А в таком случае разве можно определять vlan? Для автономных точек, на сколько я знаю - нет. А зачем для гостей назначать VLAN? У тебя же и так отдельный SSID в отдельном VLAN?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
	Сообщение от XeV (ok) on 18-Май-12, 12:38
	>Есть 2 современных и широко используемых метода: >1.) EAP-TLS - аутентификация по сертификатам. Самый безопасный, но очень сложный в >поддержке и реализкации, особенно в разнообразном парке устройств, требующий высокой >квалификации сотрудтиков поддержки. Периодически возникают проблемы. >2.) EAP-MSCHAP-v2 - аутентификация по логину/хешу пароля. Аутентификаци проходит внутри >SSL тунеля, постороенного на базе сертификата сервера. По сути тоже весьма безопасный >вариант, и много лучше PSK. Бес проблемно работает с большинством современных устройств >и гаджетов. Машинная аутентификация для доменных компов так же нормально работает на >основе учетной записи компьютера. Тут я так понимаю нужны дополнителоьные манипуляции со стороны клиента, тоесть добавление ему новой сети, неподходит так как необходимо максимально просто все реальзовать. Человек пришел - подключился, без доп. настроек > Для автономных точек, на сколько я знаю - нет. А зачем > для гостей назначать VLAN? У тебя же и так отдельный SSID > в отдельном VLAN? у меня все точки вещают разные ssid но с vlan1 который по умолчанию. Сейчас пытаюсь сделать чтобы точка вещала 2 ссида с разными vlan но чуствую пустой номер все это. Подскажи пжл каким способом лучше реализовать? Необходимо чтобы люди с ноутбуками пришедшие в компанию подключались к точке и получали гостевой vlan тоесть другую подсеть отличную от той которую получают юзеры компании! И все! Вопрос безопасности не интересует вообще! Лижбы работало...
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
	Сообщение от Pve1 (ok) on 18-Май-12, 15:32
	Да сделай отдельную сеть SSID в отдельном DMZ VLAN для гостей с WPA-PSK. Карточки с паролем на ресепшене выдавать.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
	Сообщение от XeV (ok) on 21-Май-12, 08:43
	> Да сделай отдельную сеть SSID в отдельном DMZ VLAN для гостей с > WPA-PSK. > Карточки с паролем на ресепшене выдавать. ну опять же все упирается в точку доступа которая должна вещать 2 ssid с разными vlan. у меня пока с этим затруднения, DHCP в них почему то не отдается. вот конфиг точки ap#sh run Building configuration... Current configuration : 3146 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname ap ! enable secret 5 xxxxxxxxxxxxxxxxxx ! led display alternate ip subnet-zero ! ! no aaa new-model dot11 mbssid dot11 vlan-name AIR vlan 1 dot11 vlan-name GUEST vlan 102 ! dot11 ssid AIR vlan 1 authentication open authentication key-management wpa mbssid guest-mode wpa-psk ascii 7 xxxxxxxxxxx ! dot11 ssid GUEST vlan 102 authentication open authentication key-management wpa mbssid guest-mode wpa-psk ascii 7 xxxxxxxxx ! power inline negotiation prestandard source ! ! username admin password 7 xxxxxxxx ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache ! encryption vlan 102 mode ciphers tkip ! encryption vlan 1 mode ciphers tkip ! ssid AIR ! ssid GUEST ! speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 station-role root ! interface Dot11Radio0.1 encapsulation dot1Q 1 native ip address 192.168.1.246 255.255.255.0 no ip unreachables no ip proxy-arp no ip route-cache no cdp enable bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface Dot11Radio0.102 encapsulation dot1Q 102 ip address 192.168.2.100 255.255.255.0 no ip route-cache no cdp enable bridge-group 102 bridge-group 102 subscriber-loop-control bridge-group 102 block-unknown-source no bridge-group 102 source-learning no bridge-group 102 unicast-flooding bridge-group 102 spanning-disabled ! interface Dot11Radio1 no ip address no ip route-cache shutdown no dfs band block speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0 channel dfs station-role root access-point world-mode legacy bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto hold-queue 160 in ! interface FastEthernet0.1 encapsulation dot1Q 1 native no ip route-cache bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0.102 encapsulation dot1Q 102 no ip route-cache bridge-group 102 bridge-group 102 subscriber-loop-control bridge-group 102 block-unknown-source no bridge-group 102 source-learning no bridge-group 102 unicast-flooding bridge-group 102 spanning-disabled ! interface BVI1 ip address 192.168.1.247 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.1.251 ip http server no ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag ! ! control-plane ! bridge 1 protocol ieee bridge 1 route ip ! ! ! line con 0 line vty 0 4 login local ! end vlan 1 b vlan 102 подняты на главном маршрутизаторе. в 102 раздает циска DHCP а в vlan1 - DC. а вот порт коммутатора просто в транк, так как распилить интерфейс не получается изза отсутсвия адекватной команднеой строки...
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
	Сообщение от root0 (ok) on 25-Май-12, 10:23
	Вот правильный конфиг с mbssid dot11 vlan-name Native vlan 1 dot11 vlan-name ODS-Fisch.Access-v648 vlan 648 ! dot11 ssid Interlink vlan 1 authentication open authentication key-management wpa version 2 infrastructure-ssid wpa-psk ascii 7 xxx no ids mfp client ! dot11 ssid Interlink-N vlan 648 authentication open authentication key-management wpa version 2 mbssid guest-mode dtim-period 1 wpa-psk ascii 7 xxx ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache ! encryption mode ciphers aes-ccm ! encryption vlan 1 mode ciphers aes-ccm ! encryption vlan 648 mode ciphers aes-ccm ! ssid Interlink ! ssid Interlink-N ! traffic-metrics aggregate-report mbssid speed basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0 power local 11 packet max-retries 3 0 fail-threshold 100 500 priority 5 drop-packet packet max-retries 3 0 fail-threshold 100 500 priority 6 drop-packet packet speed 5.5 11.0 6.0 12.0 24.0 priority 6 channel least-congested 2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462 station-role root access-point ! interface Dot11Radio0.1 encapsulation dot1Q 1 native no ip route-cache no cdp enable bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface Dot11Radio0.648 encapsulation dot1Q 648 no ip route-cache no cdp enable bridge-group 255 bridge-group 255 subscriber-loop-control bridge-group 255 block-unknown-source no bridge-group 255 source-learning no bridge-group 255 unicast-flooding bridge-group 255 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto ! interface FastEthernet0.1 encapsulation dot1Q 1 native no ip route-cache no cdp enable bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface FastEthernet0.648 encapsulation dot1Q 648 no ip route-cache no cdp enable bridge-group 255 no bridge-group 255 source-learning bridge-group 255 spanning-disabled
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
	Сообщение от XeV (ok) on 25-Май-12, 10:51
	>[оверквотинг удален] > no bridge-group 1 source-learning > bridge-group 1 spanning-disabled > ! > interface FastEthernet0.648 > encapsulation dot1Q 648 > no ip route-cache > no cdp enable > bridge-group 255 > no bridge-group 255 source-learning > bridge-group 255 spanning-disabled Спасибо! У меня конфиг получился один в один, только раздать DHCP в первый vlan не получилось. Пришлось делать 2, один гостевой а другой под вайфай клиентов в оба раздает адреса cisco 1841. Тема закрыта!
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "cisco ap как аутентификатор в связке с RADIUS-сервером"	+/–
	Сообщение от root0 (ok) on 25-Май-12, 11:15
	Если быть внимательным то конфиг не один в один - у Вас неправильный вот и не работает DHCP в первом влане :) Если что-то не получается то зайди через веб морду там более расширенная информация :)
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору