Зараз працюю над проектом впровадження Microsoft NAP в однієї великої організації. Microsoft NAP планується використовувати спільно з активним мережевим обладнанням Cisco, для доступу клієнтів до корпоративної мережі передачі даних – так званий сценарій 802.1 X Enforcement. Також Microsoft NAP планується використовувати при організації VPN доступу до корпоративної мережі.

При реалізації даного проекту (802.1 X) виникло кілька проблем. У керівництві Microsoft щодо розгортання інфраструктури NAP говориться про необхідність підтримки мережевим обладнанням RADIUS атрибутів для VLAN:

One layer 2 or layer 3 switch that supports 802.1 X port-based authentication and RADIUS tunnel attributes for VLAN assignment.

Виявляється не все обладнання Cisco (не кажучи вже про інших виробників таких як 3Com, D-Link і ін) підтримує модифікацію IEEE 802.1 x – VLAN Assignment. Вдалося з’ясувати, що такі пристрої Cisco повинні підтримувати цю функцію (список не повний – тільки те, що вдалося перевірити):

  • 2940 IOS 12.1(22)EA4
  • 2960 IOS 12.2(25)SED
  • 2980 CatOS 8.4 GLX
  • 3550 IOS 12.1(14)EA1
  • 3560 IOS 12.2(25)SED
  • 3750 IOS 12.2(25)SED
  • 4000 CatOS 8.4 GLX or IOS 12.1(19)EW
  • 4500 CatOS 8.4 GLX or IOS 12.1(19)EW
  • 6500 CatOS 7.2 or IOS 12.1(13)E4

На пристроях Cisco необхідно зробити наступне:

aaa authentication dot1x default group radius none
dot1x system-auth-control
!
interface FastEthernet0/5
switchport access mode
dot1x port-control auto
dot1x guest-vlan 50
spanning-tree portfast
!
radius-server host 10.1.200.254 auth-port 1812 acct-port 1813 key KEY

На RADIUS сервері (він же NAP) необхідно визначити наступні атрибути для користувачів:

Tunnel-Type [64] = VLAN
Tunnel-Medium-Type [65] = 802
Tunnel-Private-Group-Id [81] = NAME_OF-VLAN

Це те, що стосується проблем з мережевою частиною. При настройці Microsoft NAP, виникла проблема з клієнтською частиною даного продукту. Взагалі Microsoft NAP працює на операційних системах починаючи з Microsoft Windows XP SP3 і вище. Windows XP SP3 є все необхідне для роботи NAP, крім графічної консолі, для налаштування функцій NAP. Ця консоль, за великим рахунком, не потрібна в корпоративній мережі – так як всі налаштування для клієнтських комп’ютерів розповсюджуються централізовано за допомогою групових політик. Так от, для коректної роботи NAP необхідно, щоб на клієнтських комп’ютерах автоматично запускалася служба NAP Agent – за замовчуванням вона відключена. Включити її та інші необхідні для роботи NAP служби через групову політику не складно. Однак, якщо раптом під час настройки групової політики, ви випадково або навмисно натиснули на Edit Permission (див. малюнок), то на операційних системах Windows XP SP3 ця дія викличе збій при автоматичному запуску служби NAP Agent.

Network Access Protection – проблемы с NAP и Cisco

При тестуванні інфраструктури NAP було витрачено кілька годин на з’ясування і усунення причин не коректної роботи NAP, викликаної збоєм при запуску служби NAP Agent.

Сподіваюся, що для когось ця інформація, при розгортанні інфраструктури Microsoft NAP, виявиться корисною.

Оригінал статті англійською.

LEAVE A REPLY

Please enter your comment!
Please enter your name here