Mevcut bulunan ağımızda güvenliği arttırabilmek için bazı teknolojiler mevcuttur. Bunlardan biri de 802.1X teknolojisinin kullanılmasıdır. Vlanlarımızın olduğu bir ağ ortamı düşündüğümüzde, kullanıcılarımızı en temel olarak domain de olup olmamalarına göre, farklı internet ve local networke erişim hakları verebiliriz.
Örneğin, aşağıdaki gibi basitçe 2 tane farklı vlan'ın bulunduğu bir yapı düşünelim.
Vlan 10 = Personel
Vlan 20 = Misafir
Amacımız;
Eğer kullanıcının bilgisayarı domainde ise; (bu durum bu kullanıcının bizim personelimiz olduğunu gösterir), Vlan 10'a dahil olsun ve Vlan 10'a ait internet ve local ağ erişim hakları ne ise, o haklar ile erişim sahibi olsun.
Eğer kullanıcının bilgisayarı domainde değil ise; (bu durun bu kullanıcının misafir olduğu anlamına gelebilir), Vlan 20'ye dahil olsun ve Vlan 20'ye ait internet ve local ağ erişim hakları ne ise, o haklar ile erişim sahibi olsun.
Bilgisayarın domainde olup olmadığı kontrolünün yapılabilmesi ve bunun sonucuna göre vlan'ın dinamik olarak belirlenmesi teknolojisine 802.1X ile Dinamik Vlan Atama diyebiliriz.
Not : Bu teknolojinin kullanılabilmesi için ortamda Active Directory, Radius Sunucu (Windows ya da Linux tabanlı olması fark etmez) ve yönetilebilir bir Layer 2 switch'e ihtiyaç vardır. Bu makalede, bu teknolojinin sadece switch tarafında yapılması gereken konfigürasyonlar anlatılmıştır. Switch olarak ise, Procurve switch seçilmiştir. Aşağıda switch üzerinde yapılması gereken konfigürasyon yer almaktadır.
Global konfigurasyon modda iken;
radius-server host "radius-ip address" key "!Passw0rD"
radius server'ın ip adresi ve radius server ile siwtch'e girilecek olan aynı şifre key komutundan sonra girilmeldir.
aaa authentication port-access eap-radius
kimlik denetimi olarak radius'un kullanacağı belirleniyor.
aaa port-access authenticator b20
hangi switch portunun radius ile denetleneceği belirlenmektedir. Örneğin, buradaki b20 portuna bağlı olan kullanıcı için 802.1X denetimi yapılacaktır.
aaa port-access authenticator B20 auth-vid 10
Senaryomuza göre, eğer b20 portuna bağlı kullanıcı domainde ise Vlan 10'a (personel) dahil olacaktır ve Vlan 10'a verilen erişim hakları ile internete ve local ağa erişecektir.
aaa port-access authenticator B20 unauth-vid 20
Senaryomuza göre, eğer b20 portuna bağlı kullanıcı domainde değil ise Vlan 20'ye (misafir) dahil olacaktır ve Vlan 20'ye verilen erişim hakları ile internete ve local ağa erişecektir.
aaa port-access authenticator active
802.1X teknolojisini kullanıma açar. Bu komut olmadan üstteki tüm komutlar halihazırda ayarlı durur, ancak aktif edilmez. Bu komut sayesinde aktif hale getirilir.
Ramazan Kocaoğlu
Kayıtlar
0 yorum:
Yorum Gönder