تشغيل بروتوكول 802.1X على جهاز سيسكو سويتش

تشغيل بروتوكول 802.1X

لتشغيل بروتوكول 802.1X على جهاز السويتش بحيث يعمل الجهاز ك Network Access Device “NAD” يعمل مع سيرفر AAA - سيرفر ISE على سبيل المثال- يحتوي على قاعدة بيانات أسماء الاستخدام وقاعدة بيانات العناوين الدائمة للأجهزة MAC addresses، وايضاً سياسات الاستخدام المعدة على السيرفر.

سنقوم بداية بتفعيل AAA على السويتش

IPMasters-sw(config)# aaa new-model

وايضا بتفعيل 802.1X على السويتش

IPMasters-sw(config)# dot1x system-auth-control

سنقوم بتعريف جهاز السيرفر ISE كسيرفر AAA للسويتش، السيرفر يحمل العنوان 192.168.12.10. ولضمان حماية الاتصال بين السويتش والسيرفر سنستخدم كلمة سر “abc@123”، وسيستخدم بروتوكول RADIUS للاتصال بين الطرفين (السويتش والسيرفر) لحمل الرسائل الخاصة ب AAA بين الطرفين. وسنبقي على ارقام UDP ports كما هو قيمتها الأولية

radius server ISE-KEY

address ipv4 192.168.12.10 auth-port 1812 acc-port 1813

key radius-key

aaa group server radius ISE-RADIUS

server name ISE-KEY

خلال عملية التواصل بين السويتش والخادم يلزم بأن يقوم السويتش بتزويد الخادم ببعض التفاصيل والخصائص attributes المتعلقة بجهاز المستخدم المراد ايصاله بالسويتش مثل Framed-IP-Address لارسالIP address لجهاز المستخدم، أو Service-Type لمعرفة طريقة authentication المطلوبة سواء باستخدام 802.1X أو باستخدام العنوان الدائم MAB لجهاز المستخدم  أو باستخدام طريقة Local WebAuth.

radius-server attribute 8 include-in-access-req

radius-server attribute 6 on-for-login-auth

radius-server attribute 25 access-request  include

كما أنه يوجد خصائص ةتفاصيل مخصصة للأجهزة المصنعة من قبل شركة سيسكو، للتهيئة السويتش من اجل ارسال تلك التفاصيل نقوم بعمل التالي:

radius-server vsa send authentication

radius-server vsa send accounting

ثم نأتي لتفعيل بروتوكول 802.1X على مداخل السويتش المطلوبة وذلك بعمل dot1x pae authenticator، كذلك عدد من الخصائص المرافقة  مثل multi-auth لإمكانية عمل authentication لأكثر من جهاز مرتبط على نفس المدخل، تفعيل periodic لامكانية اعادة عملية authentication إن لزم الأمر، وتفعيل مراقبة وضعية المدخل port-control.

interface gi0/1

authentication host-mode multi-auth

authentication periodic

dot1x pae authenticator

dot1x timeout tx-period 10

authentication port-control auto

في حال لم يتمكن جهاز المستخدم اجتياز علمية المصادقة authentication فإن مدخل السويتش لن يعمل وسيبقى unauthorized، ولكن قد نحتاج لتغيير ذلك ليصبح المدخل فعال حتى في حال فشل عملية المصادقة. وذلك بعمل التالي على المدخل:

   authentication open

خاصية Mobile Voice Access (MVA)

خاصية Mobile Voice Access (MVA)

من المزايا المهمة في تقنيات VoIP والتي تتيح امكانية اجراء مكالمة من الهاتف الشخصي (متنقل او ثابت) مع طرف آخر بحيث تظهر المكالمة وكأنها قادمة من أرقام الهواتف الخاصة بالشركة. حيث يقوم الشخص بالاتصال برقم معين لشركته ثم يقوم بطلب رقم خارجي وكأنه يقوم بتلك العملية من خلال هاتف مكتبه في الشركة .

تحتاج الشركات للتواصل فيما بينها في كثير من الاحيان لتنظيم آليات الاتصال، فمثلا شركة ما تتعامل مع شركة أخرى للدعم الفني، حيث يجب أن يتم التبليغ عن الاعطال من قبل تلك الشركة مستخدمة رقم هاتف محدد من ارقام الهاتف التي لديها ومن خلال شخص محدد (ضابط ارتباط).

 

هذه الامكانية تتيح لضابط الارتباط الاتصال بشركة الدعم الفني عبر هاتفه المتنقل بحيث يظهر رقم الشركة -المتفق عليه مسبقا- كرقم المتصل بدلا من رقم هاتفه المتنقل، بحيث يقوم ضابط الارتباط بالاتصال بمقسم الشركة التي يعمل بها ثم من خلال خدمة الرد الآلي، ثم يقوم بادخال رقم سري للمصادقة authentication  ثم يقوم بطلب شركة الدعم الفني وكأنه يقوم بالاتصال من داخل شركته مستخدما تلك الامكانية MVA.

تتم عملية المصادقة اعتمادا على رقم هاتف ضابط الارتباط وكلمة السر، بحيث يتم اعداد المقسم مسبقا بهذه الاعدادات لضمان توفر مستوى عالي من الأمن والحماية لهذه الخدمة.

Subnetting

تأتي فكرة ال subnetting لانتاج شبكات جزئية باحجام تناسب الاحتياج وكسراً للعرف السائد عن احجام الشبكات والتي كانت يجب أن تكون إما Class A أو Class B أو Class C والتي تسمى  Classful network. تقوم فكرة ال subnetting على تحويل (استدانة) خانات bits في ip address من جزء host لتصبحnetwork part . بالتالي فإن عدد الخانات المحسوبة لجزء ال host تصبح أقل أي حجم الشبكة أقل، وكذلك تزداد خانات network part  وبالتالي عدد شبكات أكثر.

لو كان لدينا شبكة /16172.16.0.0، وقمنا بتحويل 8bits  من host part إلى network part  فإنه ينتج لدينا شبكات جزئية عددها 256 شبكة جزئي .subnets أي أنه ستصبح عدد الخانات لجزء network هي 24bits  وعدد الخانات لجزء host هي 8bits . حسب ما هو موضح في الشكل.

مسائل ال subnetting تهتم بايجاد نطاق الشبكة (اي ايجاد بداية الشبكة ونهايتها)، ويتم ذلك باتباع القاعدتين:

1- يتم ايجاد بداية الشبكة بتحديد جزء ال host لل ip address ثم جعل قيم bits الخاصة ب host part تساوي zeros مكتوبة بنظام  binary.

2- يتم ايجاد نهاية الشبكة بتحديد جزء ال network لل ip address ثم جعل قيم bits الخاصة ب network part تساوي ones مكتوبة بنظام  binary.

في الصورة التالية أمثلة لكيفية تحديد بداية ونهاية كل شبكة. الرمز | يفصل بين bits الخاصة ب ال network part عنhost part. الأرقام بين الأقواس أرقام مكتوبة بنظام binary.

يتعدى تطبيقات ال subnetting عمل تقسيم للشبكة، بل أننا نحتاج فهم ال subnetting لمعرفة عنوان الشبكة ل ip address معين، ايضا فيما لو كان لدينا أكثر من IP address هل هم بنفس الشبكة أم لا.