Sieci komputerowe, sieci bezprzewodowe, sprzęt do wideokonferencji - Network Expert

Alcatel Omnivista 2500 Konfiguracja NAC

System Alcatel Omnivista jest systemem klasy NAC. Pozwala na uwierzytelnianie użytkowników za pomocą technologii 802.1x lub MAC auth bypass na portach zarządzanych przełączników, lub w ramach komunikacji WLAN.

Umożliwia to ochronę sieci wewnętrznej przed niepowołanym dostępem, zwiększając istotnie poziom bezpieczeństwa organizacji. Co więcej, NAC może również ułatwiać pracę administratorów, gdyż pozwala na automatyczne aplikowanie polityk dostępowych dla użytkowników na podstawie kategorii użytkownika, grupy, do której należy. Jednym z elementów składowych takiej polityki może być konfiguracja VLANu, czyli VLAN na porcie przełącznika może być ustawiany jako efekt uwierzytelnienia. Koniec ze statycznym i żmudnym asygnowaniem vlanów manualnie. To zrobi się samo za Ciebie!

Żeby było jeszcze przyjemniej Omnivista może jako element polityki bezpieczeństwa przypisywanej do portu podawać tez np. VXLAN, SPB lub tunel GRE. To wiedzie nas do koncepcji jeszcze szerszej. W zasadzie w tenże sposób Omnivista staje się kontrolerem sieci definiowanej programowo.

W tej chwili jednak skupimy się na przyziemnym NAC

Cała konfiguracja NAC składa się polityk i profili, które współzależą między sobą. Cały obraz zależności na diagramie poniżej.

Szczęśliwie są też kreatory konfiguracji

Zakładka Unified-Access -> workflow

Workflow Alcatel Omnivista

Wybieramy 802.1x and MAC Authentication, co efektywnie spowoduje, że uwierzytelnienie na porcie będzie próbowało w pierwszej kolejności wykorzystać mechanizm 802.1x, jeśli ten będzie niedostępny, bo przykładowo klient podłączający się do portu nie obsługuje tego standardu wybrany zostanie mechanizm uwierzytelniania po adresie sprzętowym MAC.

Uwierzytelnianie po MAC

Po kliknięciu next pojawia się okienko, które prowadzi przez wszystkie potrzebne elementy.

Wybieramy urządzenie do konfiguracji NAC

Wybieramy urządzenie na którym będziemy chcieli aplikować nasze ustawienia.

Wybór portów podczas konfiguracji uwierzytelniania

W następnej kolejności będziemy musieli wybrać porty urządzenia na których uwierzytelnianie będzie uruchomione.

Konfiguracja urzadzenia dla sieci bazującej na PSSK
Uwierzytelnianie - wybór urządzenia i portu

Add port

Uwierzytelnianie: dodanie portu

W kolejnym kroku wybieramy serwery uwierzytelniające.

Wybór serwerów uwierzytelniających

W naszym wypadku będzie to wbudowany RADIUS zarówno dla przypadku serwera do obsługi 802.1x jak i dla uwierzytelniania MAC.

Wybieramy role do zastosowania po pomyślnym uwierzytelnieniu. Możemy albo wybrać z już istniejących lub utworzyć nowe.

Wybieramy role do zastosowania po pomyślnym uwierzytelnieniu

My utworzymy nową

Tworzymy nowy profil roli do zastosowania po pomyślnym uwierzytelnieniu

Wybieramy ten profil w ramach naszego workflow konfiguracyjnego.

Wybieramy ten profil w ramach naszego workflow konfiguracyjnego

Musimy też dodać mapowania, które spowodują, że profil będzie zaaplikowany na urządzeniu i będzie właśnie skutkował np. przypisaniem VLANu.

Dodanie mapowania

Jako ostatni element układanki musimy ustawić domyślną rolę, którą port posługuje się przed uwierzytelnieniem.

Ustawienie domyślnej roli

Klikamy Apply i teoretycznie dzieło skończone, ale jeszcze niezbędne jest działanie po stronie Radiusa wbudowanego w Omniviste:

1. Ustawienie polityk

Polityka określa jakiej bazy uwierzytelnieni będziemy korzystać : UPAM- Authentication – > Access Policy

Ustawienie polityki Alcatel Omnivista

Plusikiem dodajemy nową politykę.

Dodanie nowej polityki Alcatel Omnivista

Dodajemy info o lokalizacji źródła poświadczeń.

Ustawienie poświadczeń Alcatel Omnivista

2. Dodanie użytkowników

Zakładka  UPAM-> Authentication > Employee Account. Tu  w zasadzie jest standardowo: nazwa, hasło i np. profil do zastosowania.

Dodanie użytkowników po konfiguracji NAC Alcatel Omnivista 2500

Weryfikujemy: zakładka Authentication Record

Weryfikacja ustawień Alcatel Omnivista 2500 Konfiguracja NAC

Masz pytania?

Skontaktuj się z nami!

    Wszystkie pola oznaczone (*) są wymagane




    Potwierdzam, że zapoznałem się z polityką prywatności - Polityka prywatności
    Zgadzam się na przetwarzanie moich danych osobowych (imię, nazwisko, adres email, numer telefonu) przez Sprzedawcę NETWORK EXPERTS Sp. z o.o. sp. k. ul. Chojnowska 8, 03-583 Warszawa w celu marketingowym. Wyrażenie zgody jest dobrowolne. Mam prawo cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Mam prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, oraz prawo do przenoszenia danych na zasadach zawartych w polityce prywatności sklepu internetowego. Dane osobowe w sklepie internetowym przetwarzane są zgodnie z polityką prywatności. Zachęcamy do zapoznania się z polityką przed wyrażeniem zgody. - Polityka prywatności


    autorem artykułu jest

    Piotr Ksieniewicz – główny inżynier Network Expert

    Posiada ponad 10 letnie doświadczenie w pracy w sieciach IP. Inżynier CCIE#23799,  CISSP #774774 o specjalności Routing & Switching. Piotr lubi wyzwania dlatego z reguły przedłuża status CCIE innymi egzaminami – ma na koncie zdany egzamin pisemny z Security i Voice. Pracował zarówno w niewielkich sieciach jak i przy największych sieciach bankowych na świecie.

    Piotr Ksieniewicz – główny inżynier Network Expert
    2022-10-28T13:48:21+02:00
    Przejdź do góry