Экспериментальная часть. 
Разработка сетевой инфраструктуры головного офиса компании Мэйл.Ру

Проверка работоспособности выбранных решений на стенде

Большинство принятых решений уже неоднократно испытаны в ходе эксплуатации сети в компании, и не требуют дополнительного тестирования — такие механизмы как резервирование шлюза с помощью протокола VRRP, ECMP балансировка трафика, передача мультикаст-трафика с использованием PIM-SM, и обеспечение беспроводного покрытия с помощью «легковесных» точек доступа и контроллеров беспроводной сети уже успешно применяются в других офисах компании. Проверки на стенде требует технология 802.1x авторизации пользователей проводной сети.

Тестирование проводного 802.1x.

Для проверки работоспособности выбранного решения авторизации пользователей в проводной сети, был собран стенд из коммутатора Juniper EX4200, виртуализированного сервера с Windows Server 2008 и тестового компьютера с установленной ОС Windows 7.

Рисунок 14. Cхема тестового стенда для проверки 802.1x авторизации Настройка RADIUS-сервера При тестировании использовался встроенный в ОС Windows 7 802.1x суппликант, «Служба проводной автонастройки». Необходимая конфигурация со стороны сервера аутентификации (PNAC):

• · Служба NPS запущена
• · NPS зарегистрирован в Active Directory
• · Создан шаблон Pre-shared key
• · Добавлен radius-клиент — тестовый свич, указан его адрес и шаблон
• · Созданы политики авторизации — «RADIUS-сервер для беспроводных или кабельных подключений 802.1x»
• · Выбран метод проверки подлинности — тестировался PEAP
• · Указаны «Параметры управления трафиком» — настроены атрибуты, которые будут отдаваться сервером коммутатору при авторизации пользователя — необходимо для работы функции назначения VLAN’а при авторизации. Необходимые атрибуты — Tunnel-Type=VLAN, Tunnel-Medium-Type = 802, Tunnel-Private-Group-ID = test

Настройка коммутатора Со стороны коммутатора необходимая конфигурация 802.1x несколько лаконичнее. Настроена тестовый RADIUS-сервер как способ авторизации:

172.16.11.37 {.

port 1812;

secret «$ 9 $hashhashahshashahsh»; ## SECRET-DATA.

source-address 172.16.8.249;

}.

profile profile1 {.

authentication-order radius;

radius {.

authentication-server 172.16.11.37;

}.

}.

Так же включена 802.1x авторизация в режиме одиночного клиента на всех интерфейсах коммутатора:

authenticator {.

authentication-profile-name profile1;

interface {.

all {.

supplicant single;

}.

}.

}.

Проверка работоспособности Изначально, на тестовом пользовательском компьютере служба проводной автонастройки отключена. Процесс 802.1x авторизации не начинается, что и видно в интерфейса коммутатора:

admin@ex4200> show dot1x interface ge-0/0/0 detail.

ge-0/0/0.0.

Role: Authenticator.

Administrative state: Auto.

Supplicant mode: Single.

Number of retries: 3.

Quiet period: 60 seconds.

Transmit period: 30 seconds.

Mac Radius: Disabled.

Mac Radius Restrict: Disabled.

Reauthentication: Enabled.

Configured Reauthentication interval: 3600 seconds.

Supplicant timeout: 30 seconds.

Server timeout: 30 seconds.

Maximum EAPOL requests: 2.

Guest VLAN member:

После включения службы прводной автонастройки и ввода логина и пароля пользователя на тестовом компьютере, авторизация прошла успешно и порт коммутатора был переведен в нужный VLAN:

ge-0/0/0.0.

Role: Authenticator.

Administrative state: Auto.

Supplicant mode: Single.

Number of retries: 3.

Quiet period: 60 seconds.

Transmit period: 30 seconds.

Mac Radius: Disabled.

Mac Radius Restrict: Disabled.

Reauthentication: Enabled.

Configured Reauthentication interval: 3600 seconds.

Supplicant timeout: 30 seconds.

Server timeout: 30 seconds.

Maximum EAPOL requests: 2.

Guest VLAN member:

Supplicant: mail .est, BC:AE:C5:EA:FF:FF

Operational state: Authenticated.

Backend Authentication state: Idle.

Authentcation method: Radius.

Authenticated VLAN: test

Session Reauth interval: 3600 seconds.

Reauthentication due in 2911 seconds.

Для работы нескольких устройств подключенных к одному порту свича (например IP-телефона со встроенным коммутатором, через который подключается пользовательская система) потребовалось разрешить подключение нескольких пользователей в конфигурации EX4200:

authenticator {.

authentication-profile-name profile1;

interface {.

all {.

supplicant multiple;

}.

}.

}.

По результатам проверки на стенде работоспобность выбранных решений для построения корпоративной сети и обеспечения выполнения корпоративных политик сетевой безопасности была подтверждена.