отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Надо контроллировать права и доступ клиентов подключенных по wi-fi.

Здравствуйте.

Есть проводная сеть построенная на оборудовании циско (catalyst 2960+ISR 3825). В этой сети есть точки доступа не циско и достаточно примитивные. Надо очень быстро организовать защиту сети от этих wi-fi. Теперь подробней. В проводной сети что бы контроллировать пользователей я собераюсь настроить dot1x, авторизацияя через радиус по логину и паролю, раздача виланов через VSA атрибуты. На ISR, zone base firewall. Вроде как базовая защита организована. Но остаются беспроводные клиенты, которых я, по уже существующим, виланам не раскидаю (нет возможности организовать транк и под большим вопросом понимание cisco VSA атрибутов этими точками). Пологаться на функциональность самих АП пока не хочу. Хочу все контроллировать на циско.

Что может предложить циско в такой ситуации, кроме PPPoE и VPN? Увы но я ни на грамм не продвинулся в решении этого вопроса.

Помогите пожалуйста, если вам не сложно.

4 ОТВЕТ.

Re: Надо контроллировать права и дос

Если нет возможности/точки не позволяют и т.д. авторизовать беспроводных клиентов также через радиус (т.е. использовать WPA2 Enterprise mode, dot1x), то наиболее логичным вариантом здесь будет создание отдельной VLAN для беспроводного доступа. Для разграничения доступа между этой VLAN и остальной сетью, а также организации Интернет-доступа для беспроводных клиентов, можно будет использовать ZBF, кот., как я понял, уже имеется и настроен.

Лучшее, что Cisco в этом случае предлагает - это ISE + контроллер точек доступа+ LAP-точки доступа, чего у Вас нету

Про 802.1x и VLANы - мне кажется опасным в качестве правил авторизации dot1x назначать порты коммутаторов в VLANы. Это может вызывать проблемы, например, при авторизации XP-станций в домене, когда компьютер начал засасывать групповую политику, и тут его вдруг перекинуло в другой VLAN и т.д. Самый лучший вариант - когда VLANы определены заранее, авторизации осуществляется посредством ACL на интерфейсах коммутаторов (т.н Low-Impact mode. На эту тему есть хорошие лекции by Shelly Cadora на ciscolive365.com.

New Member

Надо контроллировать права и досту

Авторизировать беспроводных клиентов через радиус возможность есть. Я хотел еще VLAN через VSA назначать, а вот тут проблема. Так как через АП могут войти люди из разных виланов.

Во время работы виланы меняться не будут, так как авторизация проводится один раз при старте системы то VLAN не будет меняться пока администратор не сделает ручное переконфигурирование, а если он это сделал значт на то была веская причина и уже не имеет никакого значения начал ХР затягивать полити или нет.

Надо контроллировать права и досту

Авторизировать беспроводных клиентов через радиус возможность есть. Я  хотел еще VLAN через VSA назначать, а вот тут проблема. Так как через АП  могут войти люди из разных виланов.

Для людей из разных VLANов должны быть разные SSID. Не понимаю, в чем тут проблема. Точка - это не коммутатор. Ей нельзя сказать, что вот этого клиента, если он аутентифицировался как Вася, засунь в vlan 5, а этого, Петю - в vlan 10. Клиент изначально подключается к определенному SSID и оказывается в нужном VLANе. Да, если использовать тот же ISE и anyconnect-клиент, можно сделать так, что сначала клиент подключается к специальному SSID для аутентификации (например CWA), аутентифицируется, anyconnect засасывает политику, говорящую о том, к какому SSID он должен подключаться на основе результатов аутентификации, после чего происходит переподключение к нужному SSID. Но Вашими средствами не уверен что это реализуемо.

Во время работы виланы меняться не будут, так как авторизация проводится  один раз при старте системы то VLAN не будет меняться пока  администратор не сделает ручное переконфигурирование, а если он это  сделал значт на то была веская причина и уже не имеет никакого значения  начал ХР затягивать полити или нет.

Возможно проблем не будет, но не факт. Плюс, в этом случае возникает вопрос, как будет проходить внедрение, если речь идет об уже работающей сети. Вы же не будете тестировать переключения VLAN-ов на ПК пользователей. Надо понимать, что в этом случае у ПК не будет вообще никаких соединений с сетью до авторизации (в т.ч. dhcp). С low-impact режимом все понятно. Сначала можно настроить monitor-mode (команда authentication open на коммутаторе), убедиться по логам, что все нормально аутентифицируются, и, только после этого, реально применять политики фильтрации. С VLANами (closed mode) все не так очевидно. Ну и по словам тех же выступающих от Cisco по 802.1x на различных конференциях, closed-mode - на практике - крайняя редкость, зачастую связанная с проблемами. Все ИМХО, поскольку у себя только начали заниматься частичным внедрением dot1x.

New Member

Надо контроллировать права и досту

Не могу прокомментировать все что написано, скажу лишь то что проблем с DHCP никаких нет и проблем с внедреним не вижу абсолютно ну во всяком случае при приминении dot1x в проводных сетях. Как это будет выглядеть в беспроводных не знаю, но думаю что так же гладко так как dot1x позаимствована именно у беспроводных.

Насчет разных SSID, для меня это звучит дико. Но опыта у меня в этом деле нет. Поэтому могу лишь удивиться -  зачем так странно сделано. Применение транкового порта и помещение клиента в вилан вполне по силам точке доступа, так почему бы и нет. Любое другое поведение для меня будет удивительным.

348
Просмотры
0
Полезный материал
4
Ответы
СоздатьДля создания публикации, пожалуйста в систему