(!) Аутентификация по MAC-адресам на внешнем RADIUS-сервере в Ethernet-коммутаторах ZyXEL

Для чего в Ethernet-коммутаторах нужна аутентификация по MAC-адресам на внешнем RADIUS-сервере?

В Ethernet-коммутаторах ZyXEL существует поддержка механизма аутентификации портов RADIUS MAC Login или MAC Authentication, которая позволяет проверять права доступа клиентов к портам коммутатора с использованием внешнего RADIUS-сервера (сервера аутентификации). Коммутатор предусматривает проверку прав доступа (аутентификацию) к портам с использованием MAC-адреса (MAC-адрес будет использоваться вместо логина) и пароля клиента на внешнем RADIUS-сервере. Проверка прав доступа осуществляется с использованием протокола RADIUS (Remote Authentication Dial In User Service, RFC 2138, 2139). В Ethrenet-коммутаторе нужно заранее определить пароль, который будет использоваться для аутентификации по MAC-адресам. При подключении устройства пользователя к порту Ethernet-коммутатора, коммутатор получит MAC-адрес устройства и затем отправит этот MAC-адрес и пароль на внешний RADIUS-сервер для аутентификации пользовательского порта.


Рассмотрим более подробно как работает функция аутентификации по MAC-адресам (MAC Authentication) в Ethernet-коммутаторах ZyXEL.

При использовании аутентификации по MAC-адресам, коммутатор не запрашивает у пользователя параметров входа (как это происходит при использовании аутентификации на основе IEEE 802.1x). Параметрами входа являются MAC-адрес пользователя, подключающегося к порту коммутатора, а также пароль, настроенный на коммутаторе специально для аутентификации по MAC-адресам.



Предположим, имеется следующая схема:



Компьютер пользователя подключен к Ethernet-коммутатору, на котором включена функция MAC Authentication для аутентификации по MAC-адресу на внешнем RADIUS-сервере.


Настройку Ethernet-коммутатора будем производить через встроенный веб-конфигуратор.

1. Подключите компьютер через Ethernet-кабель к MGMT-порту коммутатора.
2. По умолчанию IP-адрес на MGMT-порту  192.168.0.1/24.
3. На сетевом адаптере компьютера установите IP-адрес 192.168.0.100/24.
4. Откройте браузер (например, Internet Explorer) и введите в адресной строке URL-адрес http://192.168.0.1.
5. По умолчанию для учетной записи администратора имя пользователя (username) и пароль (password) установлены соответственно - admin и 1234.
6. После успешной авторизации вы увидите веб-конфигуратор Ethernet-коммутатора.
7. Для начала нужно указать настройки сервера аутентификации (RADIUS-сервера). Зайдите в меню Advanced Application > Auth and Acct и перейдите на страницу RADIUS Server Setup, нажав на ссылку Click Here.



8. На странице RADIUS Server Setup укажите настройки RADIUS-сервера.
В поле IP Address введите IP-адрес внешнего RADIUS-сервера.
В поле UDP Port укажите номер порта по которому производится аутентификация на RADIUS-сервере. По умолчанию аутентификация на RADIUS-сервере производится через порт 1812. Изменять это значение не следует, за исключением тех случаев, когда об этом попросит администратор сети.
В поле Shared Secret укажите пароль (до 32 алфавитно-цифровых символов), который будет служить общим ключом для внешнего RADIUS-сервера и Ethernet-коммутатора. Этот ключ не пересылается по сети. Ключ должен быть одинаковым на внешнем RADIUS-сервере и коммутаторе.



9. Затем зайдите в меню Advanced Application > Port Authentication для включения аутентификации портов. Перейдите на страницу MAC Authentication, нажав на ссылку Click Here.



10. На странице MAC Authentication установите галочку в поле Active, чтобы разрешить аутентификацию по MAC-адресам на коммутаторе.
Примечание: Прежде чем приступать к настройке аутентификации по MAC-адресам на каждом порту, необходимо включить ее на коммутаторе.


В поле Name Prefix введите префикс имени, который будет добавляться ко всем MAC-адресам, отправляемым на RADIUS-сервер для аутентификации. В поле можно ввести до 32 печатных символов ASCII. Если оставить это поле пустым, то на RADIUS-сервер будет отправляться только MAC-адрес пользователя.
Например, если в качестве префикса имени вы используете zy-, а MAC-адрес компьютера 00-16-01-44-19-12, то во время процедуры аутентификации, коммутатор будет отправлять zy-00-16-01-44-19-12 вместо логина на внешний RADIUS-сервер.


В поле Password введите пароль, который коммутатор будет отправлять вместе с MAC-адресом пользователя на RADIUS-сервер для аутентификации. В поле можно ввести до 32 печатных символов ASCII. В нашем примере используется пароль zyxel.


В поле Timeout укажите период времени, по прошествии которого коммутатор разрешит пользователю с MAC-адресом, отвергнутым при аутентификации, повторить
попытку аутентификации. Максимальное значение равно 3000 секунд. Когда пользователь не проходит аутентификацию по MAC-адресу, его MAC-адрес запоминается в таблице MAC-адресов с указанием статуса запрета. Указанный в данном поле период тайм-аута представляет собой время, в течение которого такой MAC-адрес будет находиться в таблице MAC-адресов; по прошествии этого времени запись удаляется. Если указать в этом поле значение тайм-аута 0, то удаление записей из таблицы MAC-адресов не производится.



Выберите порт на Ethernet-коммутаторе, на котором вы хотите включить функцию MAC Authentication.
В столбце Active напротив нужного номера порта установите галочку, чтобы разрешить аутентификацию по MAC-адресам на этом порту.


11. После настройки функции MAC Authentication в Ethernet-коммутаторе, нужно настроить RADIUS-сервер. В нашем примере используется RADIUS-сервер - WinRadius

Загрузите и распакуйте архивный файл, содержащий программу WinRadius, на RADIUS-сервере. Затем запустите файл WinRadius.exe.



12. После запуска программы зайдите в меню Setting > System.



В появившемся окне в поле NAS Secret укажите пароль (до 32 алфавитно-цифровых символов), который будет служить общим ключом для внешнего RADIUS-сервера и Ethernet-коммутатора. Ключ должен быть одинаковым на внешнем RADIUS-сервере и коммутаторе. В Ethernet-коммутаторе данный пароль ранее был указан в меню Advanced Application > Auth and Acct > RADIUS Server Setup в поле Shared Secret.



13. Теперь нужно создать тестовые учетные записи пользователей для проверки функции аутентификации по MAC-адресам. В программе WinRadius нажмите на значок + для добавления новой учетной записи.



14. Узнать какой MAC-адрес (физический адрес) используется на компьютере можно с помощью команды ipconfig /all, выполнив ее в режиме командной строки  операционной системы. Подробную информацию о том, как узнать физический адрес (MAC-адрес) сетевого адаптера вашего компьютера можно найти в следующей статье: «Как в Windows посмотреть настройки сетевой карты (IP-адрес, MAC-адрес и IP-адрес шлюза провайдера)?»


ВАЖНО: Пожалуйста, используйте действительный MAC-адрес вашего сетевого адаптера и не используйте тот, который указан в нашем примере.


В открывшемся окне Add user в поле User name укажите MAC-адрес с префиксом в начале (в нашем примере используется префикс имени zy-).
В поле Password укажите пароль, который вы ранее указали в Ethernet-коммутаторе в меню Advanced Application > Port Authentication > MAC Authentication в поле Password. В нашем примере используется пароль zyxel.



15. В логах программы вы можете увидеть, что учетная запись пользователя была создана.



16. Теперь подключите компьютер к порту 1 Ethernet-коммутатора и выполните пинг до IP-адреса 192.168.1.100 (RADIUS-сервер). Убедитесь, что пинг проходит.



В логах WinRadius вы можете увидеть, что аутентификация была выполнена успешно.



17. Убедившись, что функция MAC Authentication работает, выполните другой тест, изменив MAC-адрес на другой (поддельный). Так как изменить User name в WinRadius изменить нельзя, то нужно удалить старый User name и создать новую учетную запись с поддельным MAC-адресом. Удалите учетную запись, нажав на значок - и указав в строке User name логин, который вы хотите удалить. В логах WinRadius вы можете увидеть, что учетная запись была удалена. Теперь отключите компьютер от Ethernet-коммутатора.



18. Cоздайте новую учетную запись с поддельным MAC-адресом. В нашем примере, в поле User name указано значение zy-11-11-11-11-11-11.



19. Снова проверим работу функции MAC Authentication. На этот раз аутентификация не должна быть выполнена.
20. Подключите компьютер обратно к порту 1 Ethernet-коммутатора. Выполните пинг до IP-адреса 192.168.1.100 (RADIUS-сервер). Убедитесь, что пинг не проходит. В логах WinRADIUS вы можете увидеть сообщение о неудачной аутентификации.


 

KB-1653

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0