Конфигурация 802.1X на усилителях Connect Series от LEA Professional

В этом видеоролике описываются шаги по настройке 802.1X на усилителях Connect Series.

Просмотрите отдельные разделы по следующим таймкодам:

0:42 | Как получить доступ к настройкам 802.1X

0:56 | Режимы 802.1X

0:56 | PEAP

2:15 | TLS

4:58 | TTLS

802.1X - это стандарт IEEE для контроля сетевого доступа на основе портов, который обеспечивает защищенную аутентификацию для устройств в сети и предоставляет безопасный доступ к сети. Многие компании из списка Fortune 500, университетские кампусы и крупные мультирегиональные компании полагаются на защищенные сети стандарта 802.1X для предотвращения доступа неавторизованных устройств к своим сетям.

Основными преимуществами сетей стандарта 802.1X являются улучшенная защита данных и оборудования от кибер атаки, а также предотвращение подключения неавторизованных устройств к локальной сети и распространения вирусов, вредоносного ПО или атак типа "человек посередине"/”атак посредника”.

Перевод видео:

Брэдли Драммонд,

директор по проектированию ПО и работе с консультантами LEA Professional

В этом видео я расскажу вам о настройке подключения стандарта 802.1x на наших усилителях серии Connect. На моем экране открыт веб-интерфейс, подключен усилитель, и я покажу вам на примере, как настроить сеть стандарта 802.1x.

Чтобы перейти на нужную страницу конфигурации, сначала нажмите на кнопку "Информация об усилителе" - и вы найдете раздел настроек сети 802.1x. Выбрав этот раздел, вы увидите перечень настроек. Первый выпадающий список в нем - это выбор режима. По умолчанию наши усилители поставляются с отключенным 802.1x; в меню настроек можно увидеть, что они поддерживают три различных режима - PEAP, TLS и TTLS. Каждый из этих режимов различается по набору информации, которую вы должны ввести в поля меню.

Итак, начнем с режима PEAP. В этом режиме все довольно просто - есть два обязательных поля, одно для идентификатора и одно для пароля, - то есть мы просто можем ввести в этих полях идентификатор и пароль. После того, как вы заполните эти обязательные поля, вы увидите пару опциональных полей для анонимного идентификатора и домена, - вы можете ввести эту информацию в эти поля, если вы получили ее от вашего администратора, но это не требуется для начала работы в режиме PEAP.

Как и на странице сетевых настроек усилителя, вы должны нажать кнопку сохранения в правом верхнем углу, чтобы перенести эти настройки на усилитель, - давайте я это сделаю - и вы увидите всплывающее уведомление, в котором говорится, что идет сохранение настроек 802. 1x и оно может привести к временному отключению усилителя от сети. Это происходит потому, что при применении настроек идет сброс параметров сетевого адаптера, чтобы он смог загрузиться с правильными настройками сети 802.1x, которые вы только что ввели. Поэтому мы нажимаем “Сохранить” - это, скорее всего, приведет к отключению сети, а затем подключение должно вернуться через секунду - смотрите, это произошло так быстро, что мы даже не заметили, как сеть отключилась.

Теперь о других режимах - TLS и TTLS. Они оба требуют загрузки сертификатов; здесь, в настройках режима TLS, от вас все еще потребуется ввод идентификатора - но теперь это пароль ключевого файла, а не пароль пользователя.

Ниже него также есть поле для опционального ввода анонимного идентификатора и домена, но теперь в самом низу вы увидите некоторую информацию и кнопки для загрузки сертификатов, - для режима TLS вам нужно три разных файла. Один — это корневой (CA) сертификат, второй - сертификат клиента и третий - это ключевой файл, все они загружаются по одному - и я покажу вам как это сделать (Примечание: все файлы должны иметь кодировку PEM (Base64)). Я сначала загружу CA-сертификат - у меня на рабочем столе есть папка с тестовыми сертификатами. Мы загружаем сертификат CA сюда, - просто нужно выбрать файл и нажать “открыть”.

Эти действия помогут загрузить сертификат в усилитель, - сообщение говорит, что сейчас произошла ошибка, но он просто обрабатывает сертификат и позже покажет вам определенную информацию вот здесь. Итак, теперь этот сертификат обработан, и вы можете видеть здесь - под заголовком “Сертификат CA” - есть загруженный раздел. В нем можно найти текущий начальный период и конечный период действия этого сертификата - так что вы можете убедиться, что ваш сертификат имеет самую последнюю версию. То же действует для сертификата клиента и ключевого файла, - поэтому я загружу их очень быстро. Теперь вы можете видеть, что разделы для информации заполнились - у нас загружены даты начала и окончания действия сертификата CA, даты начала и окончания для сертификата клиента и для ключевого файла.

После того, как вы произвели эти действия, эти файлы будут загружены на усилитель, но не будут использоваться. Они станут активными, когда вы нажмете кнопку сохранения. Это позволит вам обновить информацию о сертификатах без нарушения аутентификации сети стандарта 802.1x. Таким образом, можно загрузить новые файлы сертификатов, а затем нажать “сохранить” - это подгрузит их в усилитель, и они сразу начнут использоваться в тот же момент.

Итак, я могу теперь нажать “сохранить” - мы видим то же всплывающее предупреждение, снова все сохраняем. Усилитель может отключиться - или нет - после завершения операции мы видим, что усилитель только что отключился и снова подключился, - и теперь та же информация вместо того, чтобы быть в разделе “загруженное”, теперь находится в разделе “действующее”.

Теперь, после нажатия кнопки сохранения эти файлы сертификатов и ключей активны для этого усилителя - и он может дать вам информацию об их валидности и о том, что ключ RSA в порядке, проверив пароль.

Практически то же самое требуется сделать и для режима TTLS - за исключением того, что от вас требуется только сертификат CA - без двух других файлов. Это все делается тем же способом, который я только что показал вам.

Вот таким образом вы получите подключение стандарта 802.1x на нашем усилителе и сможете свободно использовать его в тех защищенных сетях, где это необходимо. Если желаете, поделитесь с нами вашими мыслями по этому поводу.