802 1x

Merhaba,

IEEE 802.1X standardı;  noktadan noktaya bağlantılara sahip LAN portuna takılmış cihazların kimlik doğrulama ve yetkilendirilmesine olanak sağlayan  port tabanlı ağ erişim denetimidir. Ağda port tabanlı kullanıcı doğrulayabilmek, herhangi bir kullanıcıya ya da gruba ‘ağa erişim politikaları’ uygulamaya imkan tanır. Kimlik doğrulama ve yetkilendirme başarısızsa o port erişime kapatılır ve bu sayede yerel ağ altyapısı korunmuş olur. Kullanıcı doğrulama; MAC adresi, switch portu ya da harici bir yetkilendirme politikası ile sağlanır. Ağa kimin hangi hakla gireceğinin belirlenmesi, denetlenmesi ve yetkilendirmesi; kullanıcı odaklı, ağ tabanlı erişim kontrolü olan NAC tarafından belirlenir.
Genişletilebilir Kimlik Kanıtlama Protokolü (EAP-Extensible Authentication Protocol), 802.1X’in kullanıcı doğrulama işlemi boyunca PPP (Point-to-Point) iletim katmanı üzerinde IP’ye ihtiyaç duymadan genel bir çerçevede kimlik tanımlama sistemi olan iyileştirilmiş bir iletim protokolü standardıdır.

• İstemci (kimlik doğrulaması yapmak isteyen kullanıcı) ve kimlik denetiminin yapıldığı sunucu (Authentication Server) arasında bulunan denetleyici (authenticator) cihaz, bağlantı durumunda istemciye EAP-Request/Identity paketi gondererek kendisini tanıtmasını ister.
  
• İstemci,kimliğini tanıtan EAP-Response/Identity paketi ile cevap verir. Ve bu paket enkapsüle edilerek sunucuya gönderilir.
  
• Sunucu, denetleyiciye şifreli token sistemi gibi bir davetiye atar. Denetleyici bu paketi açıp EAPOL (LAN üzerinden EAP) içerisinde istemciye gönderir. İstemci davetiyeye denetleyici üzerinden cevap gönderir.
  
• Eğer istemci gerekli kullanıcı tanımına ve haklarına sahipse, sunucunun gönderdiği doğrulayıcı mesaj denetleyicinin istemciye LAN’a erişim izni vermesiyle sonuçlanır.

http://www.beyaz.net/tr/dokumanlar/8021x-nedir.html

Rıza hocam bunu sen yazdı isen çok güzel olmuş, yazmadın ise kaynağıda alabilirmiyiz.

Rıza hocam bunu sen yazdı isen çok güzel olmuş, yazmadın ise kaynağıda alabilirmiyiz.

Tabi Ertan hocam linki ekleyim http://www.beyaz.net/tr/dokumanlar/8021x-nedir.html  genelde eklerim bunda pas geçmişim.

Selam, Procurve 2610 da 802.1x yapmaya çalışıyorum.

Radius olarak IAS kullanıyorum.

Bir kullanıcıyı başarılı olarak  domain adı ve şifresine bakarak networke alabiliyorum. Ancak şu nu yapamıyorum:

Bir kullanıcı domain'de değilse A vlanına değil de B vlanına gitsin. Sanırım Dynamic VLAN Assignment diye geçiyor. ancak uygun bir config bulamadım.

Bunu nasıl yapabilirim?

Teşekkürler

Procurve(config)# aaa port-access authenticator 1-46 unauth-vid 10  >>>>> ( 1 ile 46 arası portlar authentic'e olamaz ise 10 no'lu vlan'a ata)

İyi günler öncelikle dinamik vlan için switch üzerinde bütün taggedların yapılı olması gerekmektedir.Eğer bu taggedlar doğru ise kullanıcı diğer vlana düşmesi için switch üzerinde

aaa port-access authenticator 16 unauth-vid 29

16- İstediğinin vlana düşmesini beklediğiniz makinenin bağlı olduğu switch portu

29- eğer kullanıcı bağlantı kuramaz ise düşmesini istediğiniz vlanın idsi

Yardımcı olabilmişimdir. inş

İYİ ÇALIŞMALAR

Merhaba,

Sorununuzun cevabını bulabildinizmi bilmiyorum ama şu an bende bu konuyu araştırıyorum. Dynamic vlan assignment bir radius attribute olarak geçiyor. Bu konu için radius' un 64, 65 ve 81 nolu attributleri kullanılıyor. Konunun detayı ilk linkte anlatılıyor. İkinci linkde de procurve switcler tarafındaki uygulamayı ve server 2008 tarafındaki incelemesi yeralıyor. Üçüncü linktede bu attributleri radius tarafında nasıl set edileceği ile ilgili bilgiyi bulabilirsiniz.

http://revolutionwifi.blogspot.com/2011/01/dynamic-vlan-assignment_31.html

http://integratingit.wordpress.com/2012/07/05/configuring-dynamic-vlan-assignment-on-procurve-switches/

http://technet.microsoft.com/en-us/library/cc754422(v=ws.10).aspx

Kolaylıklar Dilerim.

Merhaba,

 Ben yukarıdaki mesajları görmemişim. Onları görmeden postladım. Bu arada önceki postdaki makaledeki bilgilere göre uyguladığımızda juniper switchlerde çalıştırmayı başardım.

Kolaylıklar Dilerim.