交換機鎖定連入的裝置

switch network authenticate

sandisco 2018-01-10 10:05:16 ‧ 10284 瀏覽

分享至

因公司有管控同仁自帶筆電連入公司網路的限制，想請問該如何管控同仁自帶筆電的管控呢(實體線路)?或是其他的方式可以管控呢?目前公司都是使用D-Link的交換機(DGS-1210與DES-3552)。

看更多先前的討論...收起先前的討論...

msnman iT邦研究生 1 級 ‧ 2018-01-10 10:13:01 檢舉

D-Link DGS-1210網管型交換機安全性設定有一項可以鎖定port+IP+MAC，任何一個錯都沒辦法使用網路。

sandisco iT邦新手 4 級 ‧ 2018-01-10 11:42:37 檢舉

這是最後一招嚕..畢竟一筆筆打有點難管理，且有十幾台交換機，公司目前有二百多台電腦....有更好的方法嗎?

魷魚 iT邦新手 1 級 ‧ 2018-01-10 11:51:32 檢舉

如果啟用Port Security的話，有個功能叫做sticky的功能，可以直接把"現在"port對應的MAC直接寫入switch，這樣就不用一筆一筆打了

yesongow iT邦大師 1 級 ‧ 2018-01-10 12:04:31 檢舉

one port with one mac-address，如果超過，Port disable！

魷魚 iT邦新手 1 級 ‧ 2018-01-10 15:33:04 檢舉

他說使用者常移動，這樣設的話port會整天被關閉QAQ

msnman iT邦研究生 1 級 ‧ 2018-01-11 10:41:50 檢舉

只要用機房那一台網管型交換器作設定鎖定就好啦，何必每台都設呢？而且交換器還有一個查詢每個PORT的電腦MAC及IP的功能。

sandisco iT邦新手 4 級 ‧ 2018-01-11 11:25:23 檢舉

Core Swith是使用cisco的，edge Swithc是使用d-link的，所以沒辦法單純只在core上面鎖mac吧?

msnman iT邦研究生 1 級 ‧ 2018-01-11 12:00:18 檢舉

core layer跟edge layer中間可以架一台 Distribution layer .

sandisco iT邦新手 4 級 ‧ 2018-01-11 13:36:43 檢舉

請問那需要架什麼服務或是購買什麼設備嗎?

msnman iT邦研究生 1 級 ‧ 2018-01-12 08:31:50 檢舉

Distribution Layer:
位於骨幹交換網路，和使用者終端之間的中介，在這一層中主要工作，是將資料區分出必須要和骨幹網路交換的資料，和可以在本地端直接交換的資料，或者是要和處於相同 distribution layer 的設備交換資distribution layer 一般會設定有大量的 layer 2 VLAN 及 layer 3 routing ，並有封包過濾、檢查等工作。在使用上， distribution layer 以使用 layer 3 switch 為主，不過近來也有使用 multi-layer switch，主要是為了要使用 MPLS ，來和 core layer 配合。而 distribution layer 的 switch 也會在 access switch 之間，及上層的 core switch 交換 layer 3 的 routing，不過為了網路的穩定及節省頻寬，所以不必交換整個網路的 routes，因這部份可以直接交給 core layer 的 switch / router 來作。所以 distribution layer 的 route 大都會先經過 summary 簡化成 super-net 之後，再和 core 交換，可以節省頻寬，並減低因下層網路不穩定時，直接對上層網路造成因為路由改變，而需要重新計算 route table 及路由收斂 delay 等影響。Distribution layer 會有大量的 access rule 設定，並且對所經過的資料一一查核，若有不正常的資料，則依照所設定的方式處理(permit / deny / pass / drop)。在查核資料的同時將 layer 2 和 layer 3 的 QoS mark mapping ，由下層的 access layer 來的 layer 2 CoS 標籤，轉成上層 core layer 所使用的 layer 3 IP ToS / IP Preference / DiffServ 標籤或 MPLS 標籤以利 QoS 設定延續來達到 end-to-end QoS 設定。

一般網管型或更高階的交換器，目的在設定規則及過濾，效能應該需要較高的背板效能。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

Ray

iT邦大神 1 級 ‧ 2018-01-10 10:36:23

最佳解答

以你的現有設備, 只能鎖 Mac, 不過如果數量很多你會想哭...

長遠來看, 必須將設備換成可支援 802.1x 的規格, 然後公司導入 AD 架構, 公司的電腦全部加入 AD 後, 自動派發電腦憑證給每一台電腦, 然後在 Switch 上面開啟 802.1x, 只要電腦連線, 就會自動驗證她的憑證, 來決定要不要讓她連線, 沒有憑證或憑證驗證錯誤的, 就自動把 Switch Port 關閉, 不讓他用....

自己家裡帶來的電腦, 裡面不會有公司的電腦憑證, 就算她把公司現有憑證拷貝過去也沒有用, 因為憑證會綁電腦, 每張都不同...

這個方法不只用到有線, 無線網路也同樣可以用 802.1x 控管, 包括手機上網...部署 802.1 X 有線與 Wireless 部署伺服器的憑證

傲笑紅塵路: 架設802.1X無線網路安全性架構

回應 11
分享
檢舉

看更多先前的回應...收起先前的回應...

sandisco iT邦新手 4 級 ‧ 2018-01-10 11:41:31 檢舉

Raytracy大大您好，非常感謝您的回覆
剛查詢https://www.manualslib.com/manual/930246/D-Link-Dgs-1210-28.html?page=68 後發現DGS-1210應該有支援802.1x驗證，目前公司內部是有AD的環境，但沒有憑證的服務，正巧該AD主機我沒有權限可以管理，不曉得能否使用本機帳號或是AD帳號做驗證就可以了嗎?

Ray iT邦大神 1 級 ‧ 2018-01-10 21:13:16 檢舉

用帳號驗證當然也可以, 但這樣就失去你想要隔離電腦的目的了, 因為他拿自己家裡的電腦插上去, 問帳密的時候, 只要輸入公司 AD 的帳密, 一樣可以過關使用....

發憑證的目的是要綁住電腦, 綁電腦的憑證登入時不用問帳密, 他就沒有機會在自己的電腦上面輸入公司帳密登入....

sandisco iT邦新手 4 級 ‧ 2018-01-11 11:29:53 檢舉

Raytracy大大您好:
我發現我跟這位大大的問題(https://ithelp.ithome.com.tw/questions/10186964?sc=rss.qu)蠻類似的，也是設定好了之後，單純使用Local(交換機)驗證，也都是會通的，也不用特別打帳號密碼都是可以連線的...

sandisco iT邦新手 4 級 ‧ 2018-01-11 14:42:41 檢舉

sandisco iT邦新手 4 級 ‧ 2018-01-11 14:46:23 檢舉

我拿另外一台未設定秘碼的設備插上switch後，
發覺他還是可以正常連線且取得IP。並未因為驗證失敗而斷線，想請問我還有哪邊沒注意到需要新增修改的嗎?再麻煩指點了，謝謝。

Ray iT邦大神 1 級 ‧ 2018-01-11 15:23:06 檢舉

你的 Radius Server 在哪裡?...用 Local mode 他不會去核對憑證啊?...他要 Radius mode 才會把 EAP 封包後送, 請求後端的 Radius Server 幫忙驗證...單單靠 Switch 自己本身是沒有辦法驗憑證的...

正確的架構:

Client->Switch->Windows NPS

Client 和 Switch 之間會用 802.1x 溝通, 但 Switch 後段需要透過 Radius 協定, 去跟 Windows NPS 溝通. 而 Client 的憑證, 則是由 Windows CA 發出來的.

你把 Switch 切成 Local mode, 就沒有後面那段 NPS 了, 所以也不會有憑證保護. 此外憑證要用 EAP 驗證.

這裡有大致的部署步驟, 必須全部都做到才可以:
Checklist: Configure NPS for 802.1X Authenticating Switch Access

這是 Windows NPS 的設定範例:
HOW TO CONFIGURE WINDOWS 2012 NPS FOR RADIUS AUTHENTICATION WITH UBIQUITI UNIFI

sandisco iT邦新手 4 級 ‧ 2018-01-11 15:36:17 檢舉

我切成LOCAL mode只是要驗証交換機的設定對不對..上次有問你如果沒有憑證的狀態下，是能夠用用帳號驗證的，所以我想最單純的測試就是使用LOCAL MODE，確認lOCAL MODE能夠驗證後，再設定NPS的部份，但今天我只是設定lOCAL MODE的部份，就無法正常運作了...

Ray iT邦大神 1 級 ‧ 2018-01-11 16:21:08 檢舉

各廠牌的 local mode 設定方式不盡相同, 有些甚至功能都沒做完整, 這部分可能要先去請教 Dlink 的客服, 它們才能回答這個技術問題...

sandisco iT邦新手 4 級 ‧ 2018-01-16 14:05:37 檢舉

經與D-Link的工程師確認，是D-link設備設定的問題，現已解決了，非常感謝大家熱心的回覆，感謝大家。

sandisco iT邦新手 4 級 ‧ 2018-01-22 09:53:55 檢舉

設定802.1x驗證後，因公司內部有使用Vlan將不同的網段分開，所以在Default Vlan驗證會過，但在其他vlan下，驗證802.1x就會無法驗證，請問該如何解決呢?

hawk iT邦新手 4 級 ‧ 2019-03-18 15:12:55 檢舉

請問如果裝置設定成固定IP 802.1x 仍然有用嗎?

登入發表回應

魷魚

iT邦新手 1 級 ‧ 2018-01-10 10:15:52

switch有Port Security的設定可以設定，但不是每款switch都有相關的設定，你可能要研究一下dlink這兩款有沒有類似的設定。

另外我還想到就是從DHCP那做綁MAC發放IP，如果發現有沒綁定的MAC就會知道有人偷連。但最好(免費)的做法應該還是Port Security拉@@"

回應 3
分享
檢舉

sandisco iT邦新手 4 級 ‧ 2018-01-10 11:29:34 檢舉

魷魚大大你好，目前公司的做法就是使用Port Security，但因為同仁時常搬動坐位，導致常常開起來又忘記關起來，管起來很麻煩...因為也有想過用DHCP方式...但不做的原因也如同以上所述，同仁常搬動坐位..不曉得有沒有其他更好的建嗎?>

魷魚 iT邦新手 1 級 ‧ 2018-01-10 11:49:45 檢舉

如果座位常移動，那Port Security應該就沒有用了，因為它就是設計來綁定port的，可以防止實體層未授權的連線。如果是要阻擋第三方設備的連線(私人筆電)，可以用DHCP不派送IP的方式，應該也是可以，但就是很麻煩。
雷神大提供的憑證導入，我自己看的也是蠻心動的，可以找台設備來測試看看。

sandisco iT邦新手 4 級 ‧ 2018-01-10 16:03:53 檢舉

因為公司沒有架憑證伺服器...剛才在試，做使用者AD認証..怎麼設都不成功...難道只能用憑證嗎?...

登入發表回應

yesongow

iT邦大師 1 級 ‧ 2018-01-10 12:04:37

one port with one mac-address，如果超過，Port disable！

回應
分享
檢舉

登入發表回應

dragonforce

iT邦新手 5 級 ‧ 2018-01-11 14:11:02

教你一個省錢的的作法 ..
802.1x 是徧"人"的管理, 你的題目是"機器"的管理, 那你應該用MAC Auth. 我是用合勤的, D-Link的名字可能是mac-based authentication. 它就是把MAC 統一建在radius server上, 然後switch開啟這個功能, 每台電腦上來就會去驗證這個MAC是否合法.

另, 如果你的DGS-1210沒這功能, 短期內你可以在cisco那台上面做. 要嘛找出cisco上對應這的功能, 找不到你就把合法的200筆MAC都貼進去, 一樣可以達到你要的管理. 雖然沒能鎖在edge端, 在core鎖住出不去, 他們也會知難而退的.

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

sandisco iT邦新手 4 級 ‧ 2018-01-11 14:36:41 檢舉

但edge沒有鎖，只鎖core的話，那使用者接上還是可以連進公司的內網吧?

sandisco iT邦新手 4 級 ‧ 2018-01-11 14:36:44 檢舉

但edge沒有鎖，只鎖core的話，那使用者接上還是可以連進公司的內網吧?

dragonforce iT邦新手 5 級 ‧ 2018-01-12 10:20:54 檢舉

是啊. 但別忘了, 一般人的工作, 都是內外網都需要. 你在core鎖, 讓他出不去, 他們都會忍受不了就會乖乖找上你. 安全管理就是錢(對的設備)跟時間(設定+user麻煩), 要管多, 就要花錢跟時間; 沒錢不想麻煩, 那就抓大方向.
你查出你的設備有支援mac-based control了嗎?