در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 8

در ادامه پیاده سازی 802.1x در خدمت شما دوستان عزیز هستم :

تنظیم RADIUS Server :

در این سناریو از EAP-FAST برای پیاده سازی 802.1x استفاده می شود.EAP-FAST به عنوان یک معماری امنیتی برای حفاظت از مذاکرات EAP به وسیله تانل Transport Layer Security (TLS) می باشد. این تانل به وسیله shared secrect ایجاد می شود و به آن Protected Access Credentials (PAC) گفته می شود.

تنظیم RADIUS Server برای 802.1x شامل چندین مرحله است که به شرح زیر است :

  • تنظیم Authenticator در سرور AAA
  • تنظیم EAP-FAST در سرور AAA
  • مشخص کردن دیتابیس کاربران در سرور AAA
  • (اختیاری) تولید فایل PAC
  • (اختیاری) تنظیم Network Access Restrictions (NAR) برای کاربران 802.1x
  • فعال کردن logging

انتخاب بین گزینه های موجود :

قبل از اجرا ، در چند بخش باید انتخاب هایی انجام شود که به شرح زیر است :

  • نیاز به استفاده از Network Access Restrictions (NAR) وجود دارد یا خیر؟ از NAR می توان برای اعمال محدودیت هایی اضافی برای کاربران قبل از اینکه کاربر هویت آن تایید شود استفاده کرد. به طور مثال ، شما می توانید دسترسی به یک محدوده خاص از شبکه را برای کاربران مشخص کنید. زمانی که از NAR استفاده می کنید گزینه های مختلفی برای استفاده وجود دارد.
  • انتخاب نحوی تهیه فایل Protected Access Credential (PAC) از اهمیت ویژه ای برخوردار است. اگر شبکه بین سرور AAA و سوئیچ یک مسیر کاملا امن است می توانید فایل PAC را به صورت خودکار ایجاد کنید. اگر مسیر امن نیست باید فایل PAC به صورت دستی ایجاد گردد.
  • یکی دیگر از انتخاب های مهم محل قرار گیری اطلاعات کاربران می باشد. می توان از دیتابیس داخلی Cisco Secure ACS یا یک دیتابیس خارجی استفاده کرد که ACS برای تایید هویت به آن مراجعه خواهد کرد. استفاده از دیتابیس خارجی مانند اکتیو دایرکتوری باعث سهولت در مدیریت می شود و همچنین ویژگی single sign-on برای کاربر فعال می شود.

تنظیم Cisco Secure ACS :

کلاینت هایی که پورت های سوئیچ متصل هستند نیاز به تایید هویت دارند. یوزر و پسورد با استفاده EAP-MSCHAPv2 توسط تانل EAP-FAST با سرور AAA تایید هویت انجام می شود. Authenticator که IOS سیسکو را اجرا کرده است و IP آدرس 192.168.1.1 به عنوان Management IP برای آ« مشخص شده است. VLAN 100 برای guest network استفاده می شود و تنها دسترسی به شبکه اینترنت در آن فراهم شده است. از Cisco Secure ACS 4.2 به عنوان RADIUS Server استفاده می شود که روی Windows Server با IP آدرس 10.1.1.1 اجرا شده است.

تنظیم Authenticator در ACS :

برای اینکه Cisco Secure ACS کلاینت های را تایید هویت کند باید Authenticator به عنوان یک AAA Client در ACS تعریف شود. مراحل زیر را برای تعریف یک Authenticator به عنوان AAA Client در ACS دنبال کنید :

  • مرحله 1 : از پنل سمت چپ ACS روی گزینه Network Configuration کلیک کنید.
  • مرحله 2 : روی کلید Add Entry زیر جدول AAA Client کلیک کنید.
  • مرحله 3 : یک نام در کادر AAA Client Hostname برای سوئیچ وارد کنید.
  • مرحله 4 : IP آدرس سوئیچ را در کادر AAA Client IP Address وارد نمایید.
  • مرحله 5 : مقدار کادر Key را برابر مقداری که در سوئیچ به عنوان key برای RADIUS Server در نظر گرفته اید قرار دهید.
  • مرحله 6 : از لیست Authenticate Using گزینه RADIUS (Cisco IOS/PIX) را انتخاب کنید.
  • مرحله 7 : روی کلید Submit + Restart کلیک کنید.

در تصویر زیر یک AAA Client با نام AP و IP آدرس 10.0.0.106 با کلید sharedsecret به Cisco Secure ACS اضافه شده است. نوع ارتباط بین Cisco Secure ACS و سوئیچ را RADIUS (Cisco IOS/PIX) تعیین شده است.

نکته : اگر Authenticator را به عنوان AAA Client در Cisco Secure ACS اضافه نکنید درخواست های تایید هویت که توسط Authenticator به Cisco Secure ACS ارسال شوند پاسخ داده نخواهند شد.

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 8

تنظیم EAP-FAST در Cisco Secure ACS :

بخش دوم تنظیمات Cisco Secure ACS به فعال کردن EAP-FAST اختصاص دارد. مراحل زیر را برای فعال کردن EAP-FAST در ACS دنبال کنید :

  • مرحله 1 : از پنل سمت چپ ACS گزینه System Configuration را انتخاب کنید.
  • مرحله 2 : روی گزینه Global Authentication Setup کلید کنید.
  • مرحله 3 : روی گزینه EAP-FAST Configuration کلیک کنید و در صفحه باز شده چک باکس Allow EAP-FAST را انتخاب کنید تا EAP-FAST فعال شود.
  • مرحله 4 : در کادر Authority ID Info یک نام منحصربه فرد وارد کنید. در اینجا نام Cisco برای آن در نظر گرفته شده است.
  • مرحله 5 : اگر مسیر برای انتقال فایل PAC امن است چک باکس Allow Anonymous In-band PAC Provisioning را انتخاب کنید در غیر اینصورت این گزینه را انتخاب نکنید و به صورت دستی انتقال فایل PAC را انجام دهید.
  • مرحله 6 : در قسمت Allowed inner methods گزینه EAP-MSCHAPv2 را انتخاب کنید.
  • مرحله 7 : روی کلید Submit + Restart کلیک کنید.

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 8

نویسنده : جعفر قنبری شوهانی

منبع : جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#مراحل_پیاده_سازی_802.1x #پیاده_سازی_802.1x #aaa_client__در_acs #تنظیم_cisco_secure_acs #تنظیم_eap-fast_در_acs #تنظیم_سرور_aaa #802.1x_چیست
عنوان
1 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 1 رایگان
2 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 2 رایگان
3 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 3 رایگان
4 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 4 رایگان
5 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 5 رایگان
6 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 6 رایگان
7 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 7 رایگان
8 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 8 رایگان
9 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9 رایگان
10 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 10 رایگان
زمان و قیمت کل 0″ 0
1 نظر
میثم رضوان دوست

سلام مهندس

خیلی عالی بود

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....