iT邦幫忙

0

如何設定有線網路 經過802.1X認證才能使用網路

您好
公司因為資安需求需管制電腦設備使用公司網路,想使用802.1X的認證來管制目前規劃想透過
AD 的NPS來認證,有幾個問體想請教高手

  1. 公司設備目前有支援802.1x 的網路設備不多,終端設備連線時一定只能直接連接到有802.1x 的swtich port嗎?還是可以上層switch 是有802.1x 的switch,下層是沒有電腦直接在這裡也可認證嗎?如下圖:
    Core Swtich ==> 802.1x Swtich ==> Non-802.1x Switch ==> PC or NB
  2. 每台連線的設備都要有獨立的經過AD派發的 CA 才可連線,這應該如何設定?
  3. 如果未經認證的設備自己設定固定IP仍然可以使用網路嗎?
  4. 有相關的設定與注意事項可以提供參考嗎?
    謝謝各位高手
這個是要花很多$$的,找個SI的業務來規劃,應該會更清楚。
0
mytiny
iT邦大師 1 級 ‧ 2019-03-19 22:13:26

樓主想要做的方案有點複雜
小弟說下個人不太成熟的看法

  1. 支援802.1x的網路設備最好是在最終端
  2. 這個有點麻煩需要每台設備都去嵌入,想自動派發有實作困難
  3. 不能,不然802.1x就沒意義了
  4. 通常做在無線方案裡,而且AD需要做個認證中心,不是光開RADIUS就好
  5. 費用未必會很高,但絕非在網上三言兩語能說清楚網上

最後,建議樓主可以改用其他方案
有很多BYOD或Single Sign-On方案都會容易很多
不一定資安方案都非得要用AD上做好

hawk iT邦新手 4 級 ‧ 2019-03-20 16:30:26 檢舉

謝謝您的回覆,不過因我們公司想管制外來設備不可以使公司內網,所以才想到這方法,請問您有其他好的方法嗎? 謝謝您

mytiny iT邦大師 1 級 ‧ 2019-03-20 22:38:22 檢舉

建議採用BYOD方案
或者稱設備識別管理方案
如果貴公司用的是Fortigate防火牆
該功能已經內建且可以免費使用
或詢問SI找其他類似方案

0
tungwj
iT邦新手 5 級 ‧ 2019-03-20 07:43:02

你的規劃光是買Core Switch就要花很多錢
如換一下設備改用防火牆,讓Intelnet管制由防火牆來做會更容易
以下做個簡單的規劃圖
首先所有設備都一定是固定IP,每台電腦都需登入AD
intelnet -- 防火牆 -- Core Switch -- AD Server
              -- User

hawk iT邦新手 4 級 ‧ 2019-03-20 16:32:33 檢舉

謝謝回覆,因為我們公司配的是筆電需要有機動性,設了固定IP就缺乏機動性

0
cheng1279
iT邦新手 5 級 ‧ 2019-03-24 22:39:14

不是可以用 DHCP加 限制綁定 IP 至 MAC
以我現在在用的路由器內容是寫

IP-MAC 綁定預先設定 DHCP 分派狀況
如果您選了限制綁定,未指定的用戶端無法存取網際網路。

以字意上來看只要沒有綁定MAC就無法存取網際網路,而且也不用在客戶端設定固定IP.
還可以把DHCP的IP數量限制和公司電腦數量相同,之後在防火牆上設定只有這些IP可以連線.

我要發表回答

立即登入回答