Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

PLNOG 17 - Paweł Wachelka - Zastosowanie 802.1x w sieciach kampusowych - nowe podejście do segmentacji

122 views

Published on

Na prezentacji zostanie omówiona technologia 802.1x, zostaną przedstawione praktyczne przykłady uwierzytelniania stacji oraz telefonów. Rozszerzeniem wykładu będzie omówienie rozwiązania bazującego na ID użytkownika/grupy, które ma za zadanie zunifikowanie polityk bezpieczeństwa w całej sieci kampusowej, ułatwienie implementacji oraz zwiększenie bezpieczeństwa.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

PLNOG 17 - Paweł Wachelka - Zastosowanie 802.1x w sieciach kampusowych - nowe podejście do segmentacji

  1. 1. HUAWEI Polska Sp. z o.o. http://e.huawei.com/pl Huawei A Better Way Zastosowanie 802.1x w sieciach kampusowych - nowe podejście do segmentacji. Paweł Wachelka IP Product Manager Email: Pawel.Wachelka@huawei.com PLNOG 17, 26-27 Września 2016, Kraków
  2. 2. HUAWEI TECHNOLOGIES CO., LTD. Page 2 Huawei A Better Way Click to add Title1 Wprowadzenie Click to add Title2 Case Study - MAB Click to add Title3 Free Mobility czyli nowe podejście do segmentacji Agenda
  3. 3. HUAWEI TECHNOLOGIES CO., LTD. Page 3 Huawei A Better Way Zalety Otwarty standard Przejrzystość Bezpieczeństwo Elastyczność Uwierzytelnianie użytkownika i urządzenia Ograniczenia Zależne od suplikanta Opóźnienia Złożony proces implementacji w sieci LAN Dlaczego stosować 802.1X i jakie są ograniczenia?
  4. 4. HUAWEI TECHNOLOGIES CO., LTD. Page 4 Huawei A Better Way Dodatkowe sposoby uwierzytelniania MAC address authentication MAC address bypass WEB authentication Guest VLAN Critical VLAN Voice VLAN
  5. 5. HUAWEI TECHNOLOGIES CO., LTD. Page 5 Huawei A Better Way Click to add Title1 Wprowadzenie Click to add Title2 Case Study - MAB Click to add Title3 Free Mobility czyli nowe podejście do segmentacji Agenda
  6. 6. HUAWEI TECHNOLOGIES CO., LTD. Page 6 Huawei A Better Way Założenia  Uwierzytelnianie telefonu i hosta  Wybieramy MAB - MAC Authentication Bypass
  7. 7. HUAWEI TECHNOLOGIES CO., LTD. Page 7 Huawei A Better Way Czasy Klient 00:01:02:AB:CD:EF Urządzenie uwierzytelniające dot1x timer tx-period: 30s dot1x retry: 2 Serwer uwierzytelniający EAPoL RADIUS 1. EAP-Request/Identity 2. EAP-Request/Identity 3. EAP-Request/Identity Link up 30 sec 30 sec 30 sec 4. EAPoL Timeout 5. Learn MAC 6.RADIUS Access-Request (MAC address) 7.RADIUS Access-Accept 8. Port Enabled x x x
  8. 8. HUAWEI TECHNOLOGIES CO., LTD. Page 8 Huawei A Better Way Konfiguracja portu interface GigabitEthernet0/0/30 port link-type hybrid voice-vlan 501 enable port hybrid pvid vlan 110 port hybrid tagged vlan 501 to 502 port hybrid untagged vlan 106 108 135 stp edged-port enable dot1x domain hw.com dot1x mac-bypass mac-auth-first dot1x mac-bypass mac-authen domain hw.com-mab mac-authen offline dhcp-release
  9. 9. HUAWEI TECHNOLOGIES CO., LTD. Page 9 Huawei A Better Way Username
  10. 10. HUAWEI TECHNOLOGIES CO., LTD. Page 10 Huawei A Better Way Calling station id format <HUAWEI> system-view [HUAWEI] radius-server template huawei [HUAWEI-radius-huawei] calling-station-id mac-format dot-split mode2 uppercase
  11. 11. HUAWEI TECHNOLOGIES CO., LTD. Page 11 Huawei A Better Way Przykładowe atrybuty (Attribute Value Pairs) Access-Accept AVP Type Nazwa Przykład 64 Tunnel-Type VLAN 65 Tunnel-Medium-Type IEEE-802 81 Tunnel-Private-Group-ID 101 Huawei:HW-Voice-Vlan(33)=1; Cisco:Cisco-AVPair(1)=device-traffic-class=voice
  12. 12. HUAWEI TECHNOLOGIES CO., LTD. Page 12 Huawei A Better Way Przykładowe atrybuty (Attribute Value Pairs) Accounting-Request AVP Type Nazwa Przykład 40 Acct-Status-Type Start 44 Acct-Session-Id 00000999 1 User-name kowalski 87 NAS-Port-Id GigabitEthernet 0/0/1 8 Framed-IP-Address 10.12.14.123 30 Called-Station-Id 0025-9e80-2494 31 Calling-Station-Id 0025-9e70-2591 6 Service-Type Framed/Call-Check/Outbound 4 NAS-IP-Address 10.10.11.12
  13. 13. HUAWEI TECHNOLOGIES CO., LTD. Page 13 Huawei A Better Way Polityka dla MAB
  14. 14. HUAWEI TECHNOLOGIES CO., LTD. Page 14 Huawei A Better Way Radius-server template radius-server template Agile-MAB radius-server shared-key cipher #%xyz%# radius-server authentication 192.168.12.106 1812 weight 80 radius-server accounting 192.168.12.106 1813 weight 80 radius-attribute set Service-Type 10 calling-station-id mac-format dot-split mode2 uppercase radius-server template Agile radius-server shared-key cipher $xyz$ radius-server authentication 192.168.12.106 1812 weight 80 radius-server accounting 192.168.12.106 1813 weight 80 radius-server authorization 192.168.12.106 shared-key cipher $xyz$
  15. 15. HUAWEI TECHNOLOGIES CO., LTD. Page 15 Huawei A Better Way AAA aaa ….…. domain hw.com authentication-scheme Agile accounting-scheme Agile authorization-scheme Agile radius-server Agile domain hw.com-mab authentication-scheme Agile accounting-scheme Agile authorization-scheme Agile radius-server Agile-MAB
  16. 16. HUAWEI TECHNOLOGIES CO., LTD. Page 16 Huawei A Better Way Service Type : Call Check
  17. 17. HUAWEI TECHNOLOGIES CO., LTD. Page 17 Huawei A Better Way Display access-user
  18. 18. HUAWEI TECHNOLOGIES CO., LTD. Page 18 Huawei A Better Way Display access-user user-id
  19. 19. HUAWEI TECHNOLOGIES CO., LTD. Page 19 Huawei A Better Way Click to add Title1 Wprowadzenie Click to add Title2 Case Study - MAB Click to add Title3 Free Mobility czyli nowe podejście do segmentacji Agenda
  20. 20. HUAWEI TECHNOLOGIES CO., LTD. Page 20 Huawei A Better Way Free Mobility – Architektura rozwiązania Data center Security group 5 (visitor) Agile Controller Security group 1 (VIP) Security group 2 (R&D) Security group 3 (sales) Security group 4 (dumb terminal) Security group 10Security group 9 SVN Components: 1. Controller: defines, delivers, and manages service policies. 2. Security group: Users and groups are assigned to different security groups. The administrator can define service policies between security groups. 3. Authentication point: authenticates access users. Usually, the network edge device such as the access switch and VPN gateway (FW/SVN) is used as the authentication point. 4. Policy enforcement point: enforces service policies. For example, the authentication point (switch), VPN gateway, and data center firewall can be used as the policy enforcement point. DMZ Security group 6 Security group 8 Security group 7
  21. 21. HUAWEI TECHNOLOGIES CO., LTD. Page 21 Huawei A Better Way Konfiguracja Free Mobility
  22. 22. Huawei Enterprise A Better Way

×