Как настроить динамический VLAN на примере коммутаторов Zyxel

В современном мире информационных технологий безопасность и разделение сетевого трафика играют ключевую роль. Важно, чтобы устройства различного назначения, такие как IoT, рабочие компьютеры, смартфоны и гостевые устройства, находились в разных подсетях и, по возможности, были защищены единым шлюзом безопасности. Однако, в некоторых случаях, для оптимизации работы сети и уменьшения нагрузки на шлюз, задачи распределения по подсетям можно возложить на сетевые коммутаторы. В этой статье рассмотрим, как коммутаторы Zyxel справляются с такой задачей с помощью динамических VLAN и аутентификации через внешние сервисы.

Динамические VLAN и аутентификация

Для управления большим количеством устройств в сети и обеспечения их безопасности, вместо небезопасной авторизации по MAC-адресу, используется аутентификация через внешние сервисы, такие как RADIUS сервер. Коммутаторы Zyxel поддерживают аутентификацию по стандарту 802.1x начиная с серии 1920, а с серии 2220 и моделей XS1930/XMG1930 с лицензией L3 Access доступен также комбинированный режим аутентификации Compound Auth.

Настройка RADIUS сервера

Для настройки встроенного RADIUS сервера на коммутаторах Zyxel необходимо:

1. Зайти в меню коммутатора во вкладке Advanced Application — AAA — RADIUS Server Setup.

2. Указать IP-адрес сервера и токен аутентификации.

3. Перейти во вкладку Port Authentication — 802.1x и выбрать порты, для которых требуется аутентификация.

4. Следующим шагом нужно добавить конфигурацию на самом RADIUS сервере, обычно в файле /etc/freeradius/clients.conf:plaintextclient 192.168.1.8 {secret = hwp-test-zyxel-1234shortname = switchnastype = other}.

5. Затем настраиваются профили пользователей: plaintextuser-A Cleartext-Password := «password12345"Service-Type = Administrative-Useruser-B Cleartext-Password := «password123"Service-Type = Administrative-User. После внесения изменений сервер перезагружается для их применения.

Настройка клиентских устройств

На клиентских устройствах под управлением Windows необходимо:

1. Запустить команду services. msc и в свойствах службы Wired AutoConfig включить опцию Enable IEEE 802.1X Authentication.

2. В дополнительных свойствах выбрать режим User Authentication.

3. Если RADIUS-сервер не использует сертификаты, отключить их проверку в дополнительных свойствах аутентификации.

4. После подключения к порту коммутатора пользователю будет предложено ввести логин и пароль согласно настройкам RADIUS сервера.

Настройка гостевого VLAN

Для неавторизованных пользователей можно настроить гостевой VLAN:

1. Во вкладке Port Authentication выбрать Guest VLAN.

2. Указать порты для гостевых пользователей и задать им VLAN ID (например, 100). Для гостей также нужно добавить запись в конфиг RADIUS сервера: plaintextclient 192.168.1.8 {secret = password123shortname = switchnastype = other}. И в файл /etc/freeradius/users внести пользователя: plaintextuser Cleartext-Password := «password54321"Service-Type = Administrative-User. После этого сервер снова перезагружается.

Настройка аутентификации по MAC-адресу

Аутентификация по MAC-адресу настраивается следующим образом:

1. В разделе «безопасность» включить MAC-аутентификацию для нужных портов и задать общий пароль.

2. В конфигурации RADIUS сервера в файле /etc/freeradius/users указать MAC-адреса:plaintextAccess01-00-0C-29-AA-AA-AA Cleartext-Password := «zyxel"Access01-00-0C-29-BB-BB-BB Cleartext-Password := «zyxel». После этого сервер перезагружается для применения изменений.

Использование Zyxel Nebula

Если установка собственного RADIUS сервера невозможна, можно воспользоваться сервисом Zyxel Nebula, который поддерживает аутентификацию по MAC-адресам. Адреса можно добавлять вручную или использовать импорт файлов для массового добавления пользователей.

Процесс настройки аутентификации на коммутаторах Zyxel, будь то через RADIUS сервер или по MAC-адресу, сводится к простому выбору параметров через Web-интерфейс. Даже начинающий сетевой администратор с минимальными знаниями сможет выполнить эту задачу, не углубляясь в синтаксис командной строки. Этот подход обеспечивает безопасность и эффективное управление сетевыми ресурсами.