קונפיגורציית אימות 802.1X

🔒 קונפיגורציית אימות 802.1X (Ruijie CLoud)

I. סקירה כללית

802.1X הוא פרוטוקול בקרת גישה לרשת מבוסס פורט של מתג, המציין שהתקן גישה ברשת המקומית (LAN) שולט בגישת המשתמשים למשאבי הרשת על ידי אימות משתמשים המבוסס על פורטים.

II. הערות תצורה

דרישות תצורה: RG-NBS (3100/3200/5000/6000/7000), גרסת ReyeeOS 1.230 או גרסה מאוחרת יותר.

III. תרחישי יישום

• רשת ארגונית:
  • סביבת משרד: ב-802.1X מבטיח שרק התקנים מאומתים של עובדים יוכלו לגשת לרשת הארגונית, ובכך מגן על נתונים ומידע רגישים.
  • רשת אורחים: ארגונים יכולים להקים רשת נפרדת לאורחים ולשלוט בגישה באמצעות 802.1X כדי להבטיח שאורחים לא יוכלו לגשת למשאבים פנימיים.
• חינוך:
  • רשת קמפוס: ברשתות קמפוסים של אוניברסיטאות או בתי ספר יסודיים ותיכוניים, 802.1X מבטיח שרק התקנים השייכים לסטודנטים, סגל וצוות מורשה יוכלו להתחבר.
  • מעבדה וספרייה: רשתות במיקומים אלה דורשות בדרך כלל אבטחה גבוהה, ו-802.1X יכול למנוע גישה בלתי מורשית.

IV. נוהל קונפיגורציה

אימות קווי 802.1X

(1) בדף קונפיגורציית 802.1X, לחץ על הכרטיסייה Wired (קווי) ולאחר מכן לחץ על Configure Now (הגדר עכשיו).

(2) בדף Authentication Server (שרת אימות), לחץ על Edit (ערוך) והוסף קבוצות שרתים.

(3) בתיבת הדו-שיח שמופיעה, לחץ על Add (הוסף).

(4) בתיבת הדו-שיח Add RADIUS Server Group (הוסף קבוצת שרתי RADIUS), הזן את Group Name (שם קבוצה).

(5) לחץ על Add Authentication Server (הוסף שרת אימות) והגדר את הפרטים הבאים עבור שרת ה-RADIUS:

• IP Address (כתובת IP): הזן את כתובת ה-IP של שרת ה-RADIUS.
• Authentication Port (פורט אימות): הזן את פורט האימות (ברירת מחדל: 1812).
• Shared Key (מפתח משותף): הזן את המפתח המשותף המשמש לאימות.
• Accounting Port (פורט הנהלת חשבונות): הזן את פורט הנהלת החשבונות (ברירת מחדל: 1813) (אופציונלי).
• Timeout (פסק זמן): הגדר את משך הזמן המקסימלי שהמערכת ממתינה לתגובה מהשרת.
• Retransmit Count (ספירת שידור חוזר): הגדר את מספר הפעמים שהמערכת מנסה לשלוח מחדש בקשת אימות אם לא מתקבלת תגובה.

(6) לחץ על OK (אישור) כדי לשמור את קבוצת השרתים.

(7) הגדר את Authentication Mode (מצב אימות) בפורטים המתאימים (בדף קונפיגורציית 802.1X הראשי) על ידי בחירת:

• Port (פורט): בחר את הפורטים שיחייבו אימות 802.1X.
• Policy (מדיניות): בחר את Server Group (קבוצת השרתים) שהוגדרה בשלבים הקודמים.

תצורת פורט

(8) בחר את הפורטים הרלוונטיים ולחץ על Edit (ערוך) כדי להגדיר פרמטרים ספציפיים לפורט.

(9) הגדר את מצב האימות הנדרש עבור הפורטים הנבחרים (כגון Multi-Host, Single-Host וכו').

אימות אלחוטי 802.1X (Wireless Authentication)

(10) לחץ על הכרטיסייה Wireless (אלחוטי) ובחר את ה-SSID שעבורו נדרש אימות 802.1X.

(11) הגדר את פרמטרי האימות האלחוטי, כולל בחירת Authentication Server Group.

תצורת משתמשים וקבוצות (User and Group Configuration)

(12) נווט לדף Account (חשבון) והוסף חשבונות משתמש חדשים שישתמשו באימות 802.1X.

(13) נווט לדף User Group (קבוצת משתמשים) כדי להגדיר הגבלות ורשאות עבור קבוצות משתמשים.

V. נקודות טכניות עיקריות

• 802.1X: תקן המספק מנגנון בקרת גישה לרשת מבוסס פורט. הוא משמש בעיקר לאימות משתמשים בשכבת הגישה לרשת שבה פרוסים התקנים כגון מתגי Ethernet ונקודות גישה (APs), כדי להבטיח שרק משתמשים מורשים יוכלו לגשת למשאבי הרשת.
• Extensible Authentication Protocol (EAP): מסגרת אימות המשמשת ב-802.1X, התומכת במצבי אימות מרובים, כגון EAP-TLS, EAP-TTLS ו-PEAP.
• Supplicant (מבקש אימות): לקוח רשת כגון מחשב או טלפון חכם שצריך לעבור אימות לפני גישה לרשת.
• Authenticator (מאמת): התקן גישה לרשת, כגון מתג או נקודת גישה (AP), השולט בגישה לרשת ומתקשר עם שרת אימות.
• Authentication server (שרת אימות): בדרך כלל שרת RADIUS (Remote Authentication Dial-In User Service) שמאמת את פרטי הכניסה של המשתמש וקובע אם להעניק הרשאות גישה.

VI. שאלות נפוצות

• ש: אילו התקנים אינם תומכים ב-802.1X?
  • ת: ייתכן שחלק מהתקני רשת מדור קודם או התקני לקוח אינם תומכים ב-802.1X, וכתוצאה מכך נכשל האימות.
• ש: מדוע קונפיגורציית 802.1X נכשלת?
  • ת: קונפיגורציית 802.1X בפורט מתג אינה נכונה. לדוגמה, אימות פורט אינו מאופשר או שתצורת VLAN שגויה.