Как настроить динамический VLAN на примере коммутаторов Zyxel
В современном мире информационных технологий безопасность и разделение сетевого трафика играют ключевую роль. Важно, чтобы устройства различного назначения, такие как IoT, рабочие компьютеры, смартфоны и гостевые устройства, находились в разных подсетях и, по возможности, были защищены единым шлюзом безопасности. Однако, в некоторых случаях, для оптимизации работы сети и уменьшения нагрузки на шлюз, задачи распределения по подсетям можно возложить на сетевые коммутаторы. В этой статье рассмотрим, как коммутаторы Zyxel справляются с такой задачей с помощью динамических VLAN и аутентификации через внешние сервисы.
Динамические VLAN и аутентификация
Для управления большим количеством устройств в сети и обеспечения их безопасности, вместо небезопасной авторизации по MAC-адресу, используется аутентификация через внешние сервисы, такие как RADIUS сервер. Коммутаторы Zyxel поддерживают аутентификацию по стандарту 802.1x начиная с серии 1920, а с серии 2220 и моделей XS1930/XMG1930 с лицензией L3 Access доступен также комбинированный режим аутентификации Compound Auth.
Настройка RADIUS сервера
Для настройки встроенного RADIUS сервера на коммутаторах Zyxel необходимо:
1. Зайти в меню коммутатора во вкладке Advanced Application — AAA — RADIUS Server Setup.
2. Указать IP-адрес сервера и токен аутентификации.
3. Перейти во вкладку Port Authentication — 802.1x и выбрать порты, для которых требуется аутентификация.
4. Следующим шагом нужно добавить конфигурацию на самом RADIUS сервере, обычно в файле /etc/freeradius/clients.conf:plaintextclient 192.168.1.8 {secret = hwp-test-zyxel-1234shortname = switchnastype = other}.
5. Затем настраиваются профили пользователей: plaintextuser-A Cleartext-Password := «password12345"Service-Type = Administrative-Useruser-B Cleartext-Password := «password123"Service-Type = Administrative-User. После внесения изменений сервер перезагружается для их применения.
Настройка клиентских устройств
На клиентских устройствах под управлением Windows необходимо:
1. Запустить команду services. msc и в свойствах службы Wired AutoConfig включить опцию Enable IEEE 802.1X Authentication.
2. В дополнительных свойствах выбрать режим User Authentication.
3. Если RADIUS-сервер не использует сертификаты, отключить их проверку в дополнительных свойствах аутентификации.
4. После подключения к порту коммутатора пользователю будет предложено ввести логин и пароль согласно настройкам RADIUS сервера.
Настройка гостевого VLAN
Для неавторизованных пользователей можно настроить гостевой VLAN:
1. Во вкладке Port Authentication выбрать Guest VLAN.
2. Указать порты для гостевых пользователей и задать им VLAN ID (например, 100). Для гостей также нужно добавить запись в конфиг RADIUS сервера: plaintextclient 192.168.1.8 {secret = password123shortname = switchnastype = other}. И в файл /etc/freeradius/users внести пользователя: plaintextuser Cleartext-Password := «password54321"Service-Type = Administrative-User. После этого сервер снова перезагружается.
Настройка аутентификации по MAC-адресу
Аутентификация по MAC-адресу настраивается следующим образом:
1. В разделе «безопасность» включить MAC-аутентификацию для нужных портов и задать общий пароль.
2. В конфигурации RADIUS сервера в файле /etc/freeradius/users указать MAC-адреса:plaintextAccess01-00-0C-29-AA-AA-AA Cleartext-Password := «zyxel"Access01-00-0C-29-BB-BB-BB Cleartext-Password := «zyxel». После этого сервер перезагружается для применения изменений.
Использование Zyxel Nebula
Если установка собственного RADIUS сервера невозможна, можно воспользоваться сервисом Zyxel Nebula, который поддерживает аутентификацию по MAC-адресам. Адреса можно добавлять вручную или использовать импорт файлов для массового добавления пользователей.
Процесс настройки аутентификации на коммутаторах Zyxel, будь то через RADIUS сервер или по MAC-адресу, сводится к простому выбору параметров через Web-интерфейс. Даже начинающий сетевой администратор с минимальными знаниями сможет выполнить эту задачу, не углубляясь в синтаксис командной строки. Этот подход обеспечивает безопасность и эффективное управление сетевыми ресурсами.
Источник: unsplash.com
5 комментариев
Добавить комментарий
Увы, сплошное разочарование.
Добавить комментарий