Страница 1 из 2

802.1x

Добавлено: 10 июл 2019, 16:59
lososol
Доброго времени суток, настраивал кто уже из новых прошивок 802.1x (dot1x)? Необходима консультация) спасибо за помощь

Re: 802.1x

Добавлено: 10 июл 2019, 21:34
Chupaka
Доброго.

Может, есть смысл сразу вопрос задать? :)

Re: 802.1x

Добавлено: 11 июл 2019, 08:57
lososol
Та вопрос в следующем, может я не понимаю принципа работы, отрицать не буду, но в микротике есть работа как клиента(supplicant) так и авторизатора (authenticator), есть скажем роутер, в него включен комп в езер1, и в езер2 включен сервер авторизации радиус, на этом роутере я создаю authenticator (server) выбираю интерфейс 2, на котором по логике должны слушаться запросы авторизации, и тогда все ложится, если же я конфигурирую как клиента роутер, то какие данные нужно подставлять в тож же поле Identity? потому-что я пробовал по разному настраивать и все одно- не работает)Спасибо за ответ

Re: 802.1x

Добавлено: 11 июл 2019, 11:43
Chupaka
Так, authenticator надо вешать на езер1, если комп должен авторизоваться на данном роутере. А в RADIUS добавить адрес сервера на езер2.

А supplicant - это когда надо своим роутером подключиться к устройству, которое требует 802.1x (например, к провайдеру с такой аутентификацией).

Re: 802.1x

Добавлено: 11 июл 2019, 11:47
lososol
а если у меня между компом и главным маршрутизатором стоит два свича?) то получается что я вешаю на порт за которым будет комп а на порт по которому соединяется (допустим свич и другой свич) я вешаю езер2(например) как супликант?

Re: 802.1x

Добавлено: 11 июл 2019, 12:08
Chupaka
Из документации непонятно, можно ли авторизовать разных клиентов на порту (везде указано Port-based, и нет ничего про MAC-based 802.1x), так что, возможно, если порт авторизован - то любой клиент будет через него ходить. Надо проверять.
lososol писал(а):
11 июл 2019, 11:47
а если у меня между компом и главным маршрутизатором стоит два свича?) то получается что я вешаю на порт за которым будет комп а на порт по которому соединяется (допустим свич и другой свич) я вешаю езер2(например) как супликант?
Я вам тут запятых принёс, пользуйтесь, а то смысл фразы затерялся в её недрах: ",,,,,,,,,"

Попробую ответить на то, что понял: если компьютер подключен к edge-роутеру, то и аутентифицировать (т.е. создавать аутентификатор на порту клиента) надо на этом роутере. "Главный маршрутизатор" сюда приплетать не надо, только если не стоит задача аутентифицировать edge-роутер (в роли сапликанта) на главном роутере - но это будут две совершенно разные независимые аутентификации. То, что попытались описать вы - это какое-то проксирование получается, видимо.

Re: 802.1x

Добавлено: 11 июл 2019, 12:14
lososol
Извиняюсь, edge-роутер это что?

Re: 802.1x

Добавлено: 11 июл 2019, 12:18
Chupaka
Это неглавный роутер :) Который пограничный, рядом с клиентом.

Re: 802.1x

Добавлено: 11 июл 2019, 12:50
lososol
А, ну я так и думал=) ну а если за edge-роутером стоит еще роутер, то тогда этот роутер будет выступать в роли аутентификатора для первого роутера и пользователя, после второго роутера стоит core-маршрутизатор, то по цепочке делать для пользовательского ПК я правильно понимаю?

Re: 802.1x

Добавлено: 12 июл 2019, 09:11
Chupaka
Я же написал выше, что неправильно. По цепочке — это когда роутеры авторизуют друг друга, и крайний роутер авторизует ПК. При этом у каждого устройства свои учётные данные, и авторизуются они независимо друг от друга. Но в обычной жизни достаточно настроить 802.1x на единственном роутере — том, к которому подключен ПК.