Network Access Protection - problémák nap és cisco - blogot svictor - egy
Most azon dolgozom egy projekt megvalósítása Microsoft NAP megoldások egy nagy szervezet. Microsoft NAP tervezik együtt alkalmazott aktív Cisco hálózati eszközök, az ügyfél hozzáférést a vállalati adathálózat - az úgynevezett forgatókönyv 802.1X végrehajtható. Microsoft NAP is tervezik, hogy lehet használni a szervezet a VPN hozzáférést a vállalati hálózathoz.
Bár a projekt megvalósítása (802.1X), volt több probléma. A Microsoft Deployment Guide NAP infrastruktúra beszélni, hogy támogatni kell a hálózati berendezések RADIUS attribútumokat VLAN:
Az egyik réteg 2 vagy 3 réteg kapcsoló, amely támogatja a 802.1X port alapú hitelesítést és a RADIUS alagút attribútumok VLAN hozzárendelés.
Kiderült, nem minden Cisco eszközök (. Nem beszélve a többi gyártó, mint például a 3Com, D-Link, stb) támogatja módosító IEEE 802.1x - VLAN hozzárendelés. Azt találtuk, hogy a következő Cisco eszköznek támogatnia kell ezt a funkciót (a lista nem teljes - csak, hogy lehetséges volt ellenőrizni):
- 2940 IOS 12.1 (22) EA4
- 2960 IOS 12.2 (25) SED
- 2980 CatOS 8.4GLX
- 3550 IOS 12.1 (14) EA1
- 3560 IOS 12.2 (25) SED
- 3750 IOS 12.2 (25) SED
- 4000 CatOS 8.4GLX vagy IOS 12,1 (19) EW
- 4500 CatOS 8.4GLX vagy IOS 12,1 (19) EW
- 6500 CatOS 7.2 vagy IOS 12,1 (13) E4
Cisco eszközökön, tegye a következőket: aaa hitelesítési dot1x alapértelmezett csoport méretét sem
dot1x rendszer-auth-ellenőrzés
!
interfész FastEthernet0 / 5
switchport mód hozzáférés
dot1x port-vezérlés automatikus
dot1x vendég-VLAN 50
feszítőfa-PortFast
!
sugár-szerver host 10.1.200.254 auth-port 1812 acct-port 1813 KEY kulcs
A RADIUS-szerver (aka NAP) meg kell adni a következő tulajdonságokat a felhasználók számára:
Tunnel-Type [64] = VLAN
Tunnel-Medium-Type [65] = 802
Tunnel-Private-group-id [81] = NAME_OF VLAN
Ez az, amit jön problémák a hálózat részét. Amikor beállítja a Microsoft NAP volt a probléma az ügyfél része a termék. Általában a Microsoft NAP működik operációs rendszerek kezdve a Microsoft Windows XP SP3 vagy magasabb. A Windows XP SP3 tartalmazza az összes szükséges NAP, amellett, hogy a grafikus konzol konfigurálása NAP funkciókat. Ez a konzol, és a nagy, nem kell egy vállalati hálózat - mint az összes beállítást kliensszámítógépek oszlanak központilag keresztül csoportházirend. Így a helyes működését NAP megköveteli, hogy a kliens számítógépek automatikusan elindítja a NAP Agent szolgáltatás - ez alapértelmezésben le van tiltva. Engedélyezze azt és egyéb szükséges nem nehéz NAP szolgáltatás Group Policy. Azonban, ha hirtelen, amikor beállítja a csoportházirend, hogy szándékosan vagy véletlenül kattintott a Szerkesztés Hozzáférés (lásd. Ábra), akkor a Windows XP SP3 ez a művelet hibát okoz az automatikus NAP Agent szolgáltatás indul operációs rendszereket.
Lásd még: Hogyan változtassuk meg a Microsoft Office sorszám
Amikor a vizsgálat NAP infrastruktúra töltött több órát töltött az azonosítása és megszüntetése okok miatt nem működik megfelelően NKT által okozott meghibásodás NAP Agent szolgáltatás elindult.
Remélem, hogy valaki ezt az információt, amikor telepíteni a Microsoft NAP infrastruktúra, amely hasznos lesz.
Az eredeti cikk angol nyelven.