iT邦幫忙

1

關於使用AD、CA、NPS、802.1X 結合Cisco Switch驗證問題

  • 分享至 

  • xImage

小弟最近有個LAB,但因為沒有實體Switch可以測試,所以上來請教各位前輩。

環境如圖:
想透過LAB實施當有不明人士拿電腦或筆電接上任一Edge Switch的Port時,會因為不是該網域的成員,所以沒辦法拿到憑證及802.1x的驗證,所以不派發IP的實驗。

想請問:
1、除了Core需要設定802.1X的驗證外,Edge Switch也需要嗎?
2、可以針對Edge Switch的Port 或 vLan設定嗎?實際上該怎麼設定呢?
麻煩前輩們給予指導…。

https://ithelp.ithome.com.tw/upload/images/20211102/20106763cXVq2vMgtR.png

看更多先前的討論...收起先前的討論...
NPS網路原則加入Windows群組條件, 選擇Domain Computers
snackshih iT邦新手 4 級 ‧ 2021-11-04 08:29:29 檢舉
感謝前輩~最近忙著當弱電工程師…,還沒機會繼續LAB。請問這個方法可以不用設定Switch就可以達到非網域內的電腦不派發IP的功能了嗎?
Edge上802.1x是必要的.
snackshih iT邦新手 4 級 ‧ 2021-11-04 16:03:58 檢舉
了解~感謝前輩~
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

3
bluegrass
iT邦高手 1 級 ‧ 2021-11-02 21:38:24

Core不需要設定802.1X, 除非你CORE也接USER
一般只有Edge Switch接口要設定802.1X
每只Edge Switch再作為一個RADIUS CLIENT去抓你AD NPS要驗證

不容易說明的說, 這是配合CLEARPASS使用的DEMO, 你看看吧.
https://higherlogicdownload.s3.amazonaws.com/HPE/MigratedAssets/Cisco%20Switch%20Setup%20with%20CPPM-v1.2.pdf

因為不是該網域的成員所以沒辦法通過802.1x的驗證不派發IP是可以的, 即使沒有CLEARPASS

但你要AD上啟用NPS, CLEARPASS有點就像是你的NPS, 但功能更多, 當然也要錢

snackshih iT邦新手 4 級 ‧ 2021-11-03 06:20:56 檢舉

了解,我再學習一下關於demo裡面的設定,感謝前輩的提供。

0
CyberSerge
iT邦好手 1 級 ‧ 2021-11-03 22:37:05

1、Core不需要設定802.1X的驗證,是在Edge Switch上設定
2、可以參考 Cisco ISE Secure Wired Access Prescriptive Deployment Guide,這是用Cisco ISE當Radius Server
https://community.cisco.com/t5/security-documents/ise-secure-wired-access-prescriptive-deployment-guide/ta-p/3641515

snackshih iT邦新手 4 級 ‧ 2021-11-04 08:19:48 檢舉

感謝前輩的回覆,因為我不太清楚要用什麼方式可以防止網域外的人員亂接網路孔,然後又可以利用網域內的資源去達到想要的結果。
另外請問~ISE是3650裡面就有的模組嗎?

防止亂接網路孔也可以用現有設備的NAC功能,或是部屬專門的NAC。享用免費開源的NAC可以參考大神寫的文章:《開源網路存取控制系統:PacketFence》
https://ithelp.ithome.com.tw/articles/10217489?sc=pt

ISE是Cisco本家的產品,在這個情況下是用作NAC的功能(ISE的功能和授權不只如此,這裡只就NAC功能探討)。
無論是Cisco ISE、前面前輩分享的Clearpass、或是我提到的PacketFence,都是方便管理網路存取控制的NAC設備,除了802.1x驗證、派發IP,還有許多功能方便不同使用情況下的管理,不妨參考看看。

當然如果你的環境很簡單,不用考慮印表機、edge switch port 變換、不用考慮訪客等等情況,單用802.1x也是可以

snackshih iT邦新手 4 級 ‧ 2021-11-04 16:03:44 檢舉

收到!感謝前輩分享~因為剛才LAB又卡關,加入網域、裝了憑證、網卡設定802.1X驗證,但還是取不到IP~所以還要多花點時間學習~

我要發表回答

立即登入回答