👩🏽‍💻 💅🏽 👨‍⚕️ गूंगे फोनों के पीछे कंप्यूटर के लिए 802.1x को लागू करना 👨🏿‍🤝‍👨🏼 ✖️ 🎞️

विभिन्न भाषाओं में विभिन्न RADIUS सर्वर पर कंप्यूटर प्रमाणीकरण के कार्यान्वयन पर कई लेख हैं, जिनमें परिदृश्य शामिल हैं जब एक कंप्यूटर फोन में अंतर्निहित स्विच के माध्यम से नेटवर्क से जुड़ा होता है, हालांकि, इन लेखों में स्मार्ट आईपी फोन का उल्लेख है जो सीडीपी या एलएलडीपी का समर्थन करते हैं और साथ काम करने में सक्षम हैं। आवाज वलन
दुर्भाग्य से, मुझे जो कुछ भी है, उसके साथ काम करना था, अर्थात्, पैनासोनिक केएक्स-एनटी 321 आईपी फोन, जो मालिकाना प्रोटोकॉल का उपयोग करके काम करता है, न तो एलएलडीपी, न ही सीडीपी, और यहां तक कि टीएफटीपी के माध्यम से कॉन्फ़िगरेशन भी डाउनलोड कर सकता है। लेकिन आप फोन से प्रत्येक स्विच पोर्ट पर टैगिंग को कॉन्फ़िगर कर सकते हैं।
तो, हमारे पास क्या है: Microsoft NPS, सिस्को 2960 स्विच, पैनासोनिक आईपी फोन और कंप्यूटर पर आधारित RADIUS।
मैं RADIUS और स्विच के मूल विन्यास पर विचार नहीं करूंगा, हम मानेंगे कि स्विच पहले से ही ग्राहक हैं।
क्योंकि फ़ोन ईएपीओएल पैकेट को नहीं समझते हैं, हम उन्हें एमएबी (मैक ऑथेंटिकेशन बायपास) तकनीक लागू करेंगे। संक्षेप में, स्विच फोन के मैक पते को लेता है और इसे प्रमाणीकरण के लिए RADIUS को लॉगिन / पासवर्ड के रूप में भेजता है, जिसे cisco.com पर अधिक विवरण में वर्णित किया गया है।
और कंप्यूटर के लिए हम 802.1x का उपयोग करेंगे, हम इस तथ्य के लिए स्वीकार करेंगे कि कंप्यूटर पर सब कुछ ठीक से कॉन्फ़िगर किया गया है।
तदनुसार, 802.1x और एमएबी दोनों को स्विच पोर्ट पर सक्षम किया जाना चाहिए, इसके लिए केवल एमडीए (मल्टीडोमेन ऑथेंटिकेशन मोड) मोड हमारे लिए उपयुक्त होगा, यहां के मोड के बारे में अधिक और इस प्रकार पोर्ट कॉन्फिगरेशन निम्नानुसार होगा।

interface FastEthernet0/2 switchport access vlan 99 switchport mode access switchport voice vlan 2 authentication host-mode multi-domain authentication order mab dot1x authentication port-control auto authentication periodic mab dot1x pae authenticator dot1x timeout tx-period 3 spanning-tree portfast

Mab कमांड की आवश्यकता है क्योंकि इसके बिना, स्विच ईएपी-एमडी 5 प्रमाणीकरण का उपयोग करके पैकेट भेजता है, लेकिन एमएस एनपीएस इस मोड को स्वीकार नहीं करता है, इसलिए आपको एमएपी का उपयोग करने की आवश्यकता है।
हम अपने फोन के मैक पते एकत्र करते हैं और उन्हें एक अलग OU और सुरक्षा समूह में ActiveDirectory में जोड़ते हैं (चलो उन्हें फोन करें) साधारण उपयोगकर्ताओं के रूप में उपयोगकर्ता नाम और पासवर्ड हमारे फोन के बड़े पते के रूप में।
NPS में, फ़ोन के लिए एक नियम बनाएँ:

डिवाइस-ट्रैफ़िक-क्लास = वॉयस पैरामीटर स्विच को बताता है कि यह डिवाइस वॉयस वलान पर जाएगा।
टनल-प्राइवेट-ग्रुप-आईडी पैरामीटर स्विच को बताता है कि डिवाइस कौन सा वलान पर जाएगा, लेकिन हमारे मामले में यह काम नहीं करेगा, क्योंकि हम फोन पर vlan'y हाथों को कॉन्फ़िगर करते हैं।

हम कंप्यूटर के लिए एक समान नियम बनाते हैं:

पीएपी का उपयोग करने की अनुमति के साथ कनेक्शन अनुरोध नीति बनाना भी आवश्यक है।

स्विच में, आप मैन्युअल रूप से एमएबी अनुरोधों के लिए पासवर्ड सेट कर सकते हैं, अर्थात। लॉगिन लाइन में प्रमाणीकरण अनुरोध भेजना मैक एड्रेस होगा, और पासवर्ड लाइन में, जो हम स्विच पर मैन्युअल रूप से सेट करेंगे:

 (config)#mab request format attribute 2 yourpassword

फिर AD में सभी फोन अकाउंट इस पासवर्ड के साथ होने चाहिए।

प्रयुक्त सामग्री:
IEEE 802.1X पोर्ट-आधारित प्रमाणीकरण
मैक प्रमाणीकरण बायपास तैनाती गाइड

गूंगे फोनों के पीछे कंप्यूटर के लिए 802.1x को लागू करना

More articles: