This shows you the differences between two versions of the page.
|
cs:spravce:ap:hp_procurve_25xx [2008/04/29 09:02] |
cs:spravce:ap:hp_procurve_25xx [2008/04/29 09:02] (current) |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| + | ====== Nastavení přepínačů řady HP ProCurve ====== | ||
| + | |||
| + | Následující příklad popisuje příkazy pro jednoduchou konfiguraci portů přepínačů řady HP ProCurve pro přístup prosřednictvím 802.1x. Ukázková konfigurace má následující vlastnosti: | ||
| + | |||
| + | * Konfigurace vychází z přepínače HP 2510-24 a měla by být použitelná pro většinu přepínačů HP ProCurve. Zatím ověřeno na 2524, 2510-24, 2626, 5406zl. | ||
| + | * Uplink je na portu 26. Na tento port jsou přivedeny všechny klíčové VLAN tj. management (VID 504), eduroam (VID 578) pro uživatele autentizované prostřednictvím 802.1x a vutbrno (VID 589) pro klienty bez podpory 802.1x, tj. s webovou autentizací. | ||
| + | * Porty 1 až 10 budeme uvažovat pro připojení koncových uživatelů přímo do ethernetu. | ||
| + | * Pro autentizaci se používá protokol PEAP, tj. stejný jako u Wireless sítí. | ||
| + | * Prvek bohužel neumožňuje definovat různé radius servery pro přístup k managementu přepínače a pro ověřování uživatelů. Vše je nutné ošetřit na straně radius serveru vhodným rozlišením AVP. V opačném případě hrozí, že management přepínače bude přístupný všem uživatelům, což jistě není žádoucí. | ||
| + | |||
| + | Definice vlan pro management prvku a adresy pro přístup k radius serverům: | ||
| + | <xterm> | ||
| + | ip default-gateway 147.229.255.1 | ||
| + | vlan 504 | ||
| + | name "mgmt-vlan" | ||
| + | ip address 147.229.255.61 255.255.255.0 | ||
| + | tagged 26 | ||
| + | exit | ||
| + | |||
| + | </xterm> | ||
| + | |||
| + | Nadefinování VLAN pro autentizovaný a neautentizovaný přístup. Uživatelské porty nebudeme přiřazovat do žádné VLAN. | ||
| + | <xterm> | ||
| + | vlan 589 | ||
| + | name "vutbrno" | ||
| + | tagged 26 | ||
| + | exit | ||
| + | vlan 578 | ||
| + | name "eduroam" | ||
| + | untagged 1-10 | ||
| + | tagged 26 | ||
| + | exit | ||
| + | </xterm> | ||
| + | |||
| + | Definice typu použité autentizační metody (EAP) a radius serverů: | ||
| + | <xterm> | ||
| + | aaa authentication port-access eap-radius | ||
| + | radius-server host **<radius1_server>** key **<radius1_klic>** | ||
| + | radius-server host **<radius2_server>** key **<radius2_klic>** | ||
| + | </xterm> | ||
| + | |||
| + | Zapnutí autentizace na příslušných uživatelských portech a přiřazení do VLAN pro autentizovaný a neautentizovaný přístup: | ||
| + | <xterm> | ||
| + | aaa port-access authenticator 1-10 | ||
| + | aaa port-access authenticator 1-10 auth-vid 578 | ||
| + | aaa port-access authenticator 1-10 unauth-vid 589 | ||
| + | aaa port-access authenticator active | ||
| + | </xterm> | ||
| + | |||
| + | Příkazem show port-access authenticator je možné zobrazit stav klientů na jednotlivých portech: | ||
| + | <xterm> | ||
| + | hp(config)# show port-access authenticator | ||
| + | |||
| + | Port Access Authenticator Status | ||
| + | |||
| + | Port-access authenticator activated [No] : Yes | ||
| + | |||
| + | Current | ||
| + | Port Status VLAN ID | ||
| + | ---- ------ -------- | ||
| + | 1 Closed 589 | ||
| + | 2 Closed 1 | ||
| + | 3 Closed 589 | ||
| + | 4 Closed 1 | ||
| + | 5 Open 578 | ||
| + | 6 Closed 1 | ||
| + | 7 Closed 1 | ||
| + | 8 Closed 1 | ||
| + | 9 Closed 1 | ||
| + | 10 Closed 1 | ||
| + | |||
| + | </xterm> | ||
| + | Na portech 1 a 3 jsou neutentizovaní klienti zařazení do VLAN vutbrno (VID 589). Na portu 5 je připojen řádně autentizovaný klient a zařazen do VLAN eduroam (VID 578). | ||
| + | |||
CESNET, z. s. p. o.
Zikova 4, 16000 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz