В данном разделе приводятся примеры настройки проводного (коммутаторы) и беспроводного (контроллеры Wi-Fi точек доступа) сетевого оборудования для обеспечения авторизации клиентов по протоколам семейcтва 802.1Х.
Обращаем ваше внимание, что нижеприведенные примеры сделаны безотносительно используемой вами системы авторизации (WNAM, ISE, FreeRADIUS и т.п.). Оборудование должно быть настроено в соответствии с рекомендациями и документацией вендора (ссылки по возможности приводим).
Обращаем ваше особое внимание, что никакая 802.1Х авторизация (по доменной учётной записи РЕАР, по клиентскому сертификату EAP-TLS) в принципе не сможет работать до тех пор, пока на стороне сервера WNAM 2 вы не сформируете удостоверяющий центр в составе корневого (подчиненных) доверенных сертификатов типа "СА", и сертификата сервера WNAM типа "SERVER" (с ключом). Пожалуйста, изучите документацию на этот счёт. |
При работе авторизации по протоколам 802.1Х участвующему в работе сетевому устройству (NAS) глубоко безразлично, а какой именно метод авторизации вы применяете. Реальное согласование метода (PEAP, EAP-TLS) и обработку данных (сертификаты, параметры шифрования, пароли т.п.) проводят между собой WNAM и клиентское устройство (суппликант). Коммутатор (или контроллер + точка доступа) не делают ничего, кроме перекладывания данных из кадров типа EAPOL в RADIUS атрибуты типа EAP-Message, и обратно, с должной фрагментацией. Только на самом последнем шаге, получении сетевым устройством ответа Access-Accept, производится назначение VLAN, ACL, сбор MS-MPPE атрибутов и т.п. для окончательного допуска устройства в сеть.