(!) Подключение беспроводных клиентов к точке доступа серии NWA-3000 с авторизацией на RADIUS-сервере

Как настроить подключение беспроводных клиентов к точке доступа серии NWA-3000 с авторизацией на RADIUS-сервере?

Стандарт 802.1x определяет механизм контроля доступа к сети на основе принадлежности к порту. Стандарт применим как для проводных, так и для беспроводных сетей. Применительно к проводным сетям портом считается физический порт коммутатора, к которому подключается клиент. Для беспроводных сетей портом считается виртуальный (логический) порт, который создается точкой доступа для клиента при подключении.


Для организации процедуры аутентификации используются служебные проколы EAP и EAPOL:



  • EAP (Extended Authentication Protocol) — протокол, определяющий общий подход к процедуре аутентификации, но не определяющий конкретный механизм. На основании этого подхода могут быть реализованы различные механизмы аутентификации (MD5, TLS, TTLS, PEAPТ), называемые методами EAP. Конкретный метод позже согласовывается между клиентом удаленного доступа и устройством проверки подлинности (например, сервером удаленного доступа или сервером RADIUS);

  • EAPOL (EAP over LAN) — протокол, определяющий способ передачи пакетов EAP в локальных сетях.


Рассмотрим пример настройки аутентификации беспроводных клиентов (с использованием стандарта 802.1x) при подключении к точке доступа NWA-3160. В качестве сервера аутентификации может использоваться встроенный или внешний RADIUS-сервер. В точке доступа имеется возможность указать два сервера — основной и резервный. Настройка встроенного RADIUS-сервера не требуется (достаточно выбрать режим Internal). Нужно перейти на вкладку Auth. Server > Trusted Users и ввести имена пользователей и их пароли. Для встроенного RADIUS-сервера можно ввести до 128 пользователей.



Для настройки внешнего RADIUS-сервера необходимо указать его IP-адрес, порт (стандартный номер порта 1812) и пароль для авторизации точки доступа на сервере (для RADIUS-сервера точка доступа является клиентом) в поле Share Secret.



После настройки сервера аутентификации переходим к настройке профиля безопасности беспроводной сети. Для этого нужно перейти на вкладку Wireless > Security, выбрать свободный профиль и нажать на кнопку Edit. В открывшемся окне нужно выбрать один из способов обеспечения безопасности.


Для работы по стандарту 802.1x можно использовать разные варианты обеспечения безопасности:



  • без шифрования (8021x-Only);

  • шифрование WEP (8021x-Static64 или 8021x-Static128);

  • шифрование WPA/WPA2 (кроме WPA-PSK/WPA2-PSK, где для аутентификации используется предварительно согласованный ключ).


В нашем примере используется шифрование WPA.



Теперь нужно настроить профиль беспроводной сети на вкладке Wireless > SSID. При настройке SSID-профиля указываем имя беспроводной сети (в нашем примере это SSID-01) и созданные ранее профили безопасности, а также сервер аутентификации.



После выбора созданного SSID-профиля на вкладке Wireless беспроводная сеть с именем SSID-01 будет видна клиентам.



Теперь приступаем к настройке беспроводного подключения к этой сети на примере ОС Windows 7.


В Центре управления сетями и общим доступом нужно перейти на вкладку Управление беспроводными сетями. Здесь необходимо создать профиль беспроводной сети.



После создания профиля нужно открыть его свойства, перейти на вкладку Безопасность и завершить настройку:


KB-3004

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0