Разработка проекта сетевой инфраструктуры компании

Проверка работоспособности выбранных решений на стенде

 Большинство принятых решений уже неоднократно испытаны в ходе эксплуатации сети в компании, и не требуют дополнительного тестирования – такие механизмы как резервирование шлюза с помощью протокола VRRP, ECMP балансировка трафика, передача мультикаст-трафика с использованием PIM-SM, и обеспечение беспроводного покрытия с помощью «легковесных» точек доступа и контроллеров беспроводной сети уже успешно применяются в других офисах компании. Проверки на стенде требует технология 802.1x авторизации пользователей проводной сети.

Тестирование проводного 802.1x

 Для проверки работоспособности выбранного решения авторизации пользователей в проводной сети, был собран стенд из коммутатора Juniper EX4200, виртуализированного сервера с Windows Server 2008 и тестового компьютера с установленной ОС Windows 7.

Рисунок 14. Cхема тестового стенда для проверки 802.1x авторизации

Настройка RADIUS-сервера

При тестировании использовался встроенный в ОС Windows 7 802.1x суппликант, «Служба проводной автонастройки». Необходимая конфигурация со стороны сервера аутентификации (PNAC):

Служба NPS запущена

NPS зарегистрирован в Active Directory

Создан шаблон Pre-shared key

Добавлен radius-клиент – тестовый свич, указан его адрес и шаблон

Созданы политики авторизации – «RADIUS-сервер для беспроводных или кабельных подключений 802.1x»

Выбран метод проверки подлинности – тестировался PEAP

Указаны «Параметры управления трафиком» - настроены атрибуты, которые будут отдаваться сервером коммутатору при авторизации пользователя – необходимо для работы функции назначения VLAN’а при авторизации. Необходимые атрибуты – Tunnel-Type=VLAN, Tunnel-Medium-Type = 802 , Tunnel-Private-Group-ID = test

Настройка коммутатора

Со стороны коммутатора необходимая конфигурация 802.1x несколько лаконичнее. Настроена тестовый RADIUS-сервер как способ авторизации:

172.16.11.37 {

 port 1812;

 secret "$9$hashhashahshashahsh"; ## SECRET-DATA

  source-address 172.16.8.249;

 }

profile profile1 {

 authentication-order radius;

 radius {

 authentication-server 172.16.11.37;

 }

}


Так же включена 802.1x авторизация в режиме одиночного клиента на всех интерфейсах коммутатора:

authenticator {

 authentication-profile-name profile1;

 interface {

all {

 supplicant single;

}

 }

}

Проверка работоспособности

Изначально, на тестовом пользовательском компьютере служба проводной автонастройки отключена. Процесс 802.1x авторизации не начинается, что и видно в интерфейса коммутатора:

admin@ex4200> show dot1x interface ge-0/0/0 detail

ge-0/0/0.0

 Role: Authenticator

  Administrative state: Auto

 Supplicant mode: Single

 Number of retries: 3

 Quiet period: 60 seconds

 Transmit period: 30 seconds

  Mac Radius: Disabled

 Mac Radius Restrict: Disabled

 Reauthentication: Enabled

 Configured Reauthentication interval: 3600 seconds

 Supplicant timeout: 30 seconds

 Server timeout: 30 seconds

 Maximum EAPOL requests: 2

 Guest VLAN member: <not configured>

 После включения службы прводной автонастройки и ввода логина и пароля пользователя на тестовом компьютере, авторизация прошла успешно и порт коммутатора был переведен в нужный VLAN:

 

ge-0/0/0.0

  Role: Authenticator

 Administrative state: Auto

 Supplicant mode: Single

 Number of retries: 3

 Quiet period: 60 seconds

 Transmit period: 30 seconds

 Mac Radius: Disabled

 Mac Radius Restrict: Disabled

  Reauthentication: Enabled

 Configured Reauthentication interval: 3600 seconds

  Supplicant timeout: 30 seconds

 Server timeout: 30 seconds

 Maximum EAPOL requests: 2

 Guest VLAN member: <not configured>

Supplicant: mail\t.est, BC:AE:C5:EA:FF:FF

 Operational state: Authenticated

  Backend Authentication state: Idle

 Authentcation method: Radius

  Authenticated VLAN: test

 Session Reauth interval: 3600 seconds

  Reauthentication due in 2911 seconds

 

Для работы нескольких устройств подключенных к одному порту свича (например IP-телефона со встроенным коммутатором, через который подключается пользовательская система) потребовалось разрешить подключение нескольких пользователей в конфигурации EX4200:

authenticator {

  authentication-profile-name profile1;

 interface {

all {

  supplicant multiple;

}

 }

}

По результатам проверки на стенде работоспобность выбранных решений для построения корпоративной сети и обеспечения выполнения корпоративных политик сетевой безопасности была подтверждена.

Оценка соответствия техническому заданию

 Разработанная система полностью соответствует всем требованиям технического задания. Построенная сетевая инфраструктура головного офиса обладает следующими характеристиками:

Безопасность – за счет использования 802.1x авторизации пользователей для доступа к сети, шифрования передаваемых данных там, где это необходимо, отделения внешней сети от внутренней.

Устойчивость и высокая степень доступности – с помощью резервирования ключевых узлов системы и использования протоколов с высокой скоростью сходимости.

Масштабируемость – за счет расширяемости логической структуры сети, физической системы предусматривающей дальнейшее расширение.

Высокий уровень функциональности – за счет функционала выбранного для построения сети оборудования, и ориентированности на стандартные протоколы и технологии.

Удобство и простота в обслуживании – достигается с помощью единообразия используемого оборудования и его конфигурации, автоматизации настройки оборудования уровня доступа с использованием IEEE 802.1x – конфигурация портов в зависимости от подключенного пользователя, применение правил фильтрации передаваемых данных

Внедрение системы

Разработанная информационная система реализована и развернута в компании ООО «Мэйл.Ру». В ходе эксплуатации корпоративная сеть головного офиса доказала соответствие предъявляемым к ней требованиям и нуждам компании.

Конфигурация локальных сетей