Alcatel Omnivista 2500 Konfiguracja NAC

System Alcatel Omnivista jest systemem klasy NAC. Pozwala na uwierzytelnianie użytkowników za pomocą technologii 802.1x lub MAC auth bypass na portach zarządzanych przełączników, lub w ramach komunikacji WLAN.

Umożliwia to ochronę sieci wewnętrznej przed niepowołanym dostępem, zwiększając istotnie poziom bezpieczeństwa organizacji. Co więcej, NAC może również ułatwiać pracę administratorów, gdyż pozwala na automatyczne aplikowanie polityk dostępowych dla użytkowników na podstawie kategorii użytkownika, grupy, do której należy. Jednym z elementów składowych takiej polityki może być konfiguracja VLANu, czyli VLAN na porcie przełącznika może być ustawiany jako efekt uwierzytelnienia. Koniec ze statycznym i żmudnym asygnowaniem vlanów manualnie. To zrobi się samo za Ciebie!

Żeby było jeszcze przyjemniej Omnivista może jako element polityki bezpieczeństwa przypisywanej do portu podawać tez np. VXLAN, SPB lub tunel GRE. To wiedzie nas do koncepcji jeszcze szerszej. W zasadzie w tenże sposób Omnivista staje się kontrolerem sieci definiowanej programowo.

W tej chwili jednak skupimy się na przyziemnym NAC

Cała konfiguracja NAC składa się polityk i profili, które współzależą między sobą. Cały obraz zależności na diagramie poniżej.

Szczęśliwie są też kreatory konfiguracji

Zakładka Unified-Access -> workflow

Wybieramy 802.1x and MAC Authentication, co efektywnie spowoduje, że uwierzytelnienie na porcie będzie próbowało w pierwszej kolejności wykorzystać mechanizm 802.1x, jeśli ten będzie niedostępny, bo przykładowo klient podłączający się do portu nie obsługuje tego standardu wybrany zostanie mechanizm uwierzytelniania po adresie sprzętowym MAC.

Po kliknięciu next pojawia się okienko, które prowadzi przez wszystkie potrzebne elementy.

Wybieramy urządzenie na którym będziemy chcieli aplikować nasze ustawienia.

W następnej kolejności będziemy musieli wybrać porty urządzenia na których uwierzytelnianie będzie uruchomione.

Add port

W kolejnym kroku wybieramy serwery uwierzytelniające.

W naszym wypadku będzie to wbudowany RADIUS zarówno dla przypadku serwera do obsługi 802.1x jak i dla uwierzytelniania MAC.

Wybieramy role do zastosowania po pomyślnym uwierzytelnieniu. Możemy albo wybrać z już istniejących lub utworzyć nowe.

My utworzymy nową

Wybieramy ten profil w ramach naszego workflow konfiguracyjnego.

Musimy też dodać mapowania, które spowodują, że profil będzie zaaplikowany na urządzeniu i będzie właśnie skutkował np. przypisaniem VLANu.

Jako ostatni element układanki musimy ustawić domyślną rolę, którą port posługuje się przed uwierzytelnieniem.

Klikamy Apply i teoretycznie dzieło skończone, ale jeszcze niezbędne jest działanie po stronie Radiusa wbudowanego w Omniviste:

1. Ustawienie polityk

Polityka określa jakiej bazy uwierzytelnieni będziemy korzystać : UPAM- Authentication – > Access Policy

Plusikiem dodajemy nową politykę.

Dodajemy info o lokalizacji źródła poświadczeń.

2. Dodanie użytkowników

Zakładka  UPAM-> Authentication > Employee Account. Tu  w zasadzie jest standardowo: nazwa, hasło i np. profil do zastosowania.

Weryfikujemy: zakładka Authentication Record