|
/
первая страница
/
форум
/
Вернуться в раздел архива "Техническая поддержка: Cisco"
/
|
|
Sergey Boonin ![[more]](/i/icons/more.gif) | 2005-10-31 09:58:15 |
Возникла идея поэкспериментировать с возможностями технологии IEEE 802.1x для управления VLAN и защиты второго уровня в кабельных сетях. Речь идёт о фитчи "VLAN Assignment with IEEE 802.1x". Вот у меня и до этого руки, наконец, добрались. Саму идею реализовать у меня получилось. Т.е., тех проблем, что поднимались здесь как-то (кажется, в начале года) у меня не возникло.
Следовал нескольким документам:
Step-by-Step Guide for Setting Up Secure Wireless Access in a Test Lab (Microsoft);
Deployment of IEEE 802.1X for Wired Networks Using Microsoft Windows (Microsoft);
Главу Configuring IEEE 802.1x Port-Based Authentication из Catalyst 2950 and Catalyst 2955 Switch Command Reference (Cisco :).
Оборудование: cisco WS-C2950G-48-EI, W2kSP4 контроллер домена с поднятыми CA и IAS. Рабочее место W2kSP4 с запущенной Wireless Configuration службой
В IAS настроены несколько тестовых полиси, передающие по 3 атрибута, как написано. На свитче
...
aaa authentication dot1x default group radius
aaa authorization network default group radius
...
interface FastEthernet0/3
switchport mode access
dot1x port-control auto
dot1x reauthentication
spanning-tree portfast
...
radius-server host х.х.х.х auth-port 1812 acct-port 1813 key TheBigestKey:)
radius-server retransmit 3
...
В результате Имеем возможность при втыкании компьютера в свитч на основании членства учетной записи "незалогиненного" компьютера или "залогиненного" юзера назначить порту VLAN и, как следствие, получить потом соответствующий IP и радоваться жизни.
Однако, при завершении сессии пользователя, (а так же и при завершении работы системы) мы не имеем инициируемого компьютером EAPOL-Logoff, потому как порт остаётся в авторизованном состоянии и в той же VLAN, несмотря на то, что пользователь ушел уже, или сменился.
Я полагал, что это может быть связано с возможной кривотой реализации 802.1x в w2k, или с моим недопониманием идеи.
Посниферил порт. Перечитал IEEE 802.1x и RFC 3748. Погуглил.
Так и оказалось. дело было в отсутствии передаче EAPOL-Logoff / EAPOL-Start.
http://cisco.magic7s.com/article.pl?sid=05/07/30/0621222&mode=thread
http://www.verdann.net/8021x/mssupport
Потом понял, что об этом решении в Сonfiguring IEEE 802.1x Port-Based Authentication говорилось. Пропустил просто!
Добавил соответствующие ключи:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General\Global]
"SupplicantMode"=dword:00000003
"AuthMode"=dword:00000001
И стало мне счастье. Но не долго. Всё, конечно, хорошо, и как только юзег разлогинивается, тут же идёт реаутентификация от имени машины и наоборот. Но проблема, как оказалось, снята наполовину. Инициируя аутентификацию и меняя вследствие этого VLAN, клиент не инициирует обновление IP адреса по DHCP.
Описание этой проблемы я встретил тут
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_white_paper09186a00801fdef9.shtml
И оно меня совсем не радует.
There is one caveat on using the two pool solution: the 802.1x PC clients must correctly process the 802.1x login and request an IP address after authentication. Some 802.1x implementations do not do this: they request their IP address before authentication, and the user must manually refresh their address (i.e. new DHCP request) after authentication. As of this writing, Window XP SP1 correctly processes 802.1x, but Windows 2000 does not and requires a manual refresh. The AEGIS client from Meetinghouse Data Communications ( www.mtghouse.com) has been tested successfully with the two pool solution.
Вот такая петрушка. Если простого обхода этой задачи не найду - оставлю это до тех времён, когда везде будут у нас XP/2003. Использовать сторонний софт по $40 за платформу, чтоб залатать MS совсем не хочется.
Может. кто-нибудь имеет, что подсказать по теме?. Буду очень признателен. Жалко из-за такого пустяка хорошую идею хоронить.
|
| Sergey Moroz | 2005-10-31 12:36:08 |
Да, у этого механизма есть недоделки со стороны Microsoft :-) Одна из них - отсутствует сообщение EAPOL-LOGOFF (лечится) другая - отсутствие перезапроса DHCP в w2k_sp4 (по-моему, не лечится). Все именно так как ты описал :-)
Я свое время думал-думал и придумал такое решение - несколько VLAN соединяются КРОССОМ (!) и используют ОДИН диапазон IP адресов от ОДНОГО dhcp server. А для фильтрации трафика используются VLAN ACL (VACL-ы), которые есть на 3550 и выше. Весь фикус в том, что VACL фильтрует трафик НА ВХОДЕ в vlan. В итоге когда порт, в который воткнута рабочая станция, в процессе аутентификации 802.1x оказывается то в одном то в другом vlan ее трафик перегораживают РАЗНЫЕ VACL-ы. Ну а дальше - простор для творчества... Не забудь что из ВСЕХ vlan должен быть доступ:
1. ко всем DC домена
2. ко всем GC домена
3. ко всем DNS домена (и всем WINS, если они есть)
4. и, разумеется, к DHCP серверу :-))))
P.S. И еще - vlan-ы с настроенными vacl должны втыкаться кроссами не друг в друга (результат труднопредсказуем :) а в отдельный vlan БЕЗ фильтрации. И все сервера/роутеры - туда же.
|
| Sergey Boonin | 2005-10-31 15:17:03 |
Боже, сколько крови!!! :))
Нее.. Я на такое не пойду! :)
|
| Sergey Moroz | 2005-10-31 22:14:19 |
Во-во... я на такое тоже не пошел. Решение теоретическое, на практике не проверял :-) Хотя думаю, что работать будет...
|
|
|
|
|
|
