cs:spravce:ap:hp_procurve_25xx

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

cs:spravce:ap:hp_procurve_25xx [2008/04/29 09:02]
cs:spravce:ap:hp_procurve_25xx [2008/04/29 09:02] (current)
Line 1: Line 1:
 +====== Nastavení přepínačů řady HP ProCurve ====== ​
 +
 +Následující příklad popisuje příkazy pro jednoduchou konfiguraci portů přepínačů řady HP ProCurve pro přístup prosřednictvím 802.1x. Ukázková konfigurace má následující vlastnosti:
 +
 +  * Konfigurace vychází z přepínače HP 2510-24 a měla by být použitelná pro většinu přepínačů HP ProCurve. Zatím ověřeno na 2524, 2510-24, 2626, 5406zl.
 +  * Uplink je na portu 26. Na tento port jsou přivedeny všechny klíčové VLAN tj. management (VID 504), eduroam (VID 578) pro uživatele autentizované prostřednictvím 802.1x a vutbrno (VID 589) pro klienty bez podpory 802.1x, tj. s webovou autentizací. ​
 +  * Porty 1 až 10 budeme uvažovat pro připojení koncových uživatelů přímo do ethernetu.
 +  * Pro autentizaci se používá protokol PEAP, tj. stejný jako u Wireless sítí.
 +  * Prvek bohužel neumožňuje definovat různé radius servery pro přístup k managementu přepínače a pro ověřování uživatelů. Vše je nutné ošetřit na straně radius serveru vhodným rozlišením AVP. V opačném případě hrozí, že management přepínače bude přístupný všem uživatelům,​ což jistě není žádoucí. ​
 +
 +Definice vlan pro management prvku a adresy pro přístup k radius serverům: ​
 +<​xterm>​
 +ip default-gateway 147.229.255.1
 +vlan 504
 +   name "​mgmt-vlan"​
 +   ip address 147.229.255.61 255.255.255.0
 +   ​tagged 26
 +   exit
 +
 +</​xterm>​
 +
 +Nadefinování VLAN pro autentizovaný a neautentizovaný přístup. Uživatelské porty nebudeme přiřazovat do žádné VLAN. 
 +<​xterm>​
 +vlan 589
 +   name "​vutbrno"​
 +   ​tagged 26
 +   exit
 +vlan 578
 +   name "​eduroam"​
 +   ​untagged 1-10
 +   ​tagged 26
 +   exit
 +</​xterm>​
 +
 +Definice typu použité autentizační metody (EAP) a radius serverů:
 +<​xterm>​
 +aaa authentication port-access eap-radius
 +radius-server host **<​radius1_server>​** key **<​radius1_klic>​**
 +radius-server host **<​radius2_server>​** key **<​radius2_klic>​**
 +</​xterm>​
 +
 +Zapnutí autentizace na příslušných uživatelských portech a přiřazení do VLAN pro autentizovaný a neautentizovaný přístup: ​
 +<​xterm>​
 +aaa port-access authenticator 1-10
 +aaa port-access authenticator 1-10 auth-vid 578
 +aaa port-access authenticator 1-10 unauth-vid 589
 +aaa port-access authenticator active
 +</​xterm>​
 +
 +Příkazem show port-access authenticator je možné zobrazit stav klientů na jednotlivých portech: ​
 +<​xterm>​
 +hp(config)# show port-access authenticator
 +
 + Port Access Authenticator Status
 +
 +  Port-access authenticator activated [No] : Yes
 +
 +              Current
 +  Port Status VLAN ID
 +  ---- ------ --------
 +  1    Closed 589
 +  2    Closed 1
 +  3    Closed 589
 +  4    Closed 1
 +  5    Open   578
 +  6    Closed 1
 +  7    Closed 1
 +  8    Closed 1
 +  9    Closed 1
 +  10   ​Closed 1
 +
 +</​xterm>​
 +Na portech 1 a 3 jsou neutentizovaní klienti zařazení do VLAN vutbrno (VID 589). Na portu 5 je připojen řádně autentizovaný klient a zařazen do VLAN eduroam (VID 578). 
 +
  
Last modified:: 2008/04/29 09:02