Hp Procurve Switch ve 802.1x

Bu makalemizde HP Procurve Switch kullanarak kullanıcı bilgisayarlarının 802.1x protokolü ile IAS  üzerinden  authentica olmaları ve kullanıcı hangi bilgisayardan logon olursa olsun kendi VLAN'ına otomatik atanması işlemini gerçekleştireceğiz. Bu işlem local ortamın hem daha güvenli hemde network cihazılarını daha aktif kullanmamızı sağlayacaktır.

Öncelikle switch üzerinde yapılcan işlemleri inceleyelim;

İlk olarak swith i yapılacak işlemler için hazır hale getiriyoruz; aaa authentication port-access eap-radius ve aaa accounting network start-stop radius satırları switchin ias üzerinden authentica olabilmesi için switchi hazırlıyor. radius-server host 100.100.100.13 key MultinetKat3- satırı ias ın olduğu sunucuyu, bu sunucu ile switch haberleşmesinde kullanılacak key i ifade eder. banner motd "3.Kat Switch " komutu ias daki client ismidir. aaa port-access authenticator A4,A20,B1,B22 komutu hangi portların ias üzerinde authentica olacağını belirler. aaa port-access authenticator A4 unauth-vid 254 komutu ise kullanıcı authentica olamazsa bilgisayarın  hangi vlandan ip adresi alacağını belirler. Artık switch  yapılacak çalışma için hazır hale geldi. Şimdide IAS ın gerekli ayarlarını yapacağız. Bu işlem için IAS ın kurulu olduğunu var sayarak devam ediyoruz.

Hatırlarsanız switch üzerinde yaptığımız ayarlarda hep ias dan bahsettik ias üzerine ayarlar yaptık. Öyleyse oradaki yaptığımız ayarları ias da karşılamamız gerekmektedir. Ias üzerinde ilk önce switch tanımlamaları yapılır. Switchler RADIUS Clients olarak tanımlanır. Görünen ip adresi switchin ip adresidir. Shared secret ise switch ve ias haberlesirken kullanıcak olan key dir. Bu key, switch üzerinde hatırlarsanız  "radius-server host 100.100.100.13 key MultinetKat3-" şeklinde tanımlanmıştır.

Switchleri ias üzerinde tanımladıktan sonra sırada polisilerin belirlenmesinde. Standart bir Policy belirkledikten sonra aşağıdaki gidi düzenleyelim. Aşağıdaki  ekranda Active Directory deki VLAN93 isimli grubun ias a tanımlandığını görüyoruz . Bu grubun üyeleri ias üzerinden authentica olacaklardır.

Grup atamasını yaptıktan sonra "Authentication" ve "Advanced" ayarları için "Edit Profile.."  seceneğine giriyoruz.

Authentication seçeneklerini belirledikten sonra Advanced tabına geçiyoruz.

Yukarıdaki ekranda Tunnel-Medium-Type ile kullanılcak iletişim protokolünü, Tunnel-Pvt-Group-ID ve Tunnel-Type ile kullanılacak VLAN tanımını yapıyoruz. Açıklamayı VLAN93 protocol 802.1x olarak yorumlayabiliriz.

IAS ayarlarınıda tamamladıktan sonra son adım olan client ayarlarına geçiyoruz. Clientların 802.1x haberleşebilmesi için Windows Xp işletim sisteminde SP3 kurduktan sonra Wired AutoConfig ve Wireless Zero Config servislerini çalıstırıp otomatik hale getirilmesi gerekir.

Aksi halde Local Connection altındaki Authentication tabı olmayacaktır.  eğer Authentication tab ı olmazsa clientler 802.1x haberleşme yapamazlar. Çünkü  client tarafındaki tüm işlemler bu tab üzerinde yapılmaktadır.

Authentication tabında kullanılacak protokol ve şifreleme algoritması belirlenir. Bu işlemlerden sonra ias da atama yaptığımız VLAN grubundaki kullanıcılar artık bu bilgisayardan logon olduklarında üyesi oldukları VLAN dan ip adresi alacaklardır.

Client Windows 2000 ise SP4 kurulumu yapıldıktan sonra ek olarak aşağıdaki anahtarları registera girmemiz gerekir. 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General\Global]
"AuthMode"=dword:00000001
"SupplicantMode"=dword:00000003

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL]
"ClientCacheTime=dword:300"

Onur MORAL