В данной статье я опишу реализацию доменной авторизации на коммутаторах Zyxel ES2108 с разграничением прав для техника (чтение) и (чтение+запись) для системного администратора.
Этим мы решаем задачу по смене пароля каждые 90 дней, согласно моей групповой политике в домене. А так же при увольнения сотрудника у вас пропадёт надобность менять пароли на коммутаторах — блокировкой в домене исключаем компрометацию логина и пароля на наше сетевое устройство.
Коммутаторы конечно старенькие, но с ценой в 600 рублей мало что сейчас найдёшь.
Неоднократно приобретал Б/У у Дом.ру, канал с публикацией тут.
Прошивку сразу обновляем до последней версии, при этом пароль сбросится.
❯ Прошивка коммутатора Zyxel es-2108
Нам потребуется TeraTerm, скачиваем с оф.сайта.
Подключаем к ПК по COM порту (RS-232).
Нажимаем любую клавишу для входа в Debug mode.
После входа в Debug mode, вводим команду atlc.
Если вы загрузили коммутатор на скорости 9600, то в дебаг мод вводим команду atba5 и переподключаем терминал на скорости 15200. Это необходимо сделать, чтобы прошивка заливалась быстрее. Если вы сразу загрузились на скорости 15200, то этот шаг можно пропустить. Далее данный шаг не рассматриваю.
Скачать прошивку можно здесь.
Указываем скаченную вами прошивку в меню выбора.
Перезагружаем коммутатор командой ATGO. Это вернёт COM порт на скорость порта 9600.
❯ Настройка Zyxel es-2108
Создаём пользователя для подключения по SSH и включаем защиту от петель на портах:
config logins username adminxel password vS!b!r!-H0l0dn0-4t admin-password vS!b!r!-H0l0dn0-ag vS!b!r!-H0l0dn0-ag interface port-channel 1-7 loopguard exitНастраиваем RADIUS подключение к основному и резервному серверу, настраиваем snmp на наш community «tokb-v2», указываем сервер времени и часовой пояс:
radius-server host 2 10.10.0.2 key HawAiRules%73_Zyxel radius-server host 1 172.31.200.2 key HawAiRules%73_Zyxel radius-accounting host 2 10.10.0.2 key HawAiRules%73_Zyxel radius-accounting host 1 172.31.200.2 key HawAiRules%73_Zyxel hostname M2-F1-R2 time timezone 700 timesync server 10.200.0.2 timesync ntp storm-control loopguard snmp-server set-community tokb-v2 snmp-server trap-community tokb-v2 snmp-server contact admin location M2-F1-R2 aaa accounting system radius aaa accounting exec start-stop radius aaa authentication login radius local
- Создаём VLAN 100 управления указываем ip коммутатора, 10.10.0.61, а 10.10.0.1 основной шлюз;
- Создаём VLAN 510 на всех портах тегировано;
- Создаём VLAN 210 с 1 по 7 порт не тэгировано, 8 порт в тэге.
vlan 100 normal 1-7 fixed 8 forbidden "" untagged "" ip address default-management 10.10.0.61 255.255.255.0 ip address default-gateway 10.10.0.1 exit vlan 510 normal "" fixed 1-8 forbidden "" untagged "" exit interface port-channel 1 pvid 100 bmstorm-limit bmstorm-limit 128 loopguard exit interface port-channel 2 pvid 100 bmstorm-limit bmstorm-limit 128 loopguard exit interface port-channel 3 pvid 100 bmstorm-limit bmstorm-limit 128 loopguard exit interface port-channel 4 pvid 100 bmstorm-limit bmstorm-limit 128 loopguard exit interface port-channel 5 pvid 100 bmstorm-limit bmstorm-limit 128 loopguard exit interface port-channel 6 pvid 100 bmstorm-limit bmstorm-limit 128 loopguard exit interface port-channel 7 pvid 100 bmstorm-limit bmstorm-limit 128 loopguard exit interface port-channel 8 vlan-trunking exit write memory
❯ Настройка RADIUS (NPS на Windows Server 2016)
Считаем что роль сервера политик сети уже установлена. Запускаем Сервер политик сети -> Политики -> Сетевые политики-> Новый документ.
Создаём по аналогии:
Указываем имя политики:
Как видно из скриншота, у нас создана отдельная группа в AD — Switches-Write. Пользователи, входящие в эту группу, получают права администратора на коммутаторах и могут вносить изменения в конфигурацию.
Так как коммутаторов у нас много и вендоры разные мы создаём RADIUS клиентов с наименование вендора, в нашем случае Zyxel*, по имени и будут применяться правила.
Доступ разрешаем:
Оставляем проверку подлинности по менее безопасным проверкам подлинности CHAP и PAP:
Нажимаем «Нет»:
Далее лишнее удаляем, выделенное зелёным, изменяем согласно изображению ниже:
Создаём общий секрет для каждого вида коммутаторов:
Далее создаём RADIUS клиента, с указанием правильного имени «Zyxel…….», указываем IP-адрес коммутатора, выбираем общий секрет из выпадающего меню Zyxel:
Имя поставщика оставляем «RADIUS стандарт.
В домене можно создать учётку с логином „$ena15$“ с добавлением пользователя в группу „Switches-Write“, но я этого не делал.
При подключении по SSH и ввода логина и пароля для получения администратора, используйте команду «enable», после потребуется ввести привилегированный пароль, по умолчанию он »1234″. Если вы хотите привилегированный пароль из домена, то придётся создать в домене отдельную учётную запись – формат атрибута User-Name: $enab#$, где # представляет собой уровень привилегий (1-14)
P.S.
Доменный логин не может быть более 15 символов, я с эти столкнулся!
Увидел по логам, что на радиус сервер отправляется только первые 15 символом.
Новости, обзоры продуктов и конкурсы от команды Timeweb.Cloud — в нашем Telegram-канале ↩
Список используемых источников:
- www.zyxel.com/ru/ru/support/download?model=es-2108
- netrange.ru/network/erase-password.html
- guidebaze.com/document/215588/zyxel-communications-es-2108-switch-7.html
- ftp.gwdg.de/pub/misc/zyxel-euro/ES-2108/quick_start_guide
- prodotti.zyxel.it/SUPPORTNOTE/ZYXES-2108G.pdf
- www.manualsdir.com/manuals/227760/zyxel-communications-es-2108.html?page=105
- videoglaz.ru/upload/manuals/zyxel/Zyxel-ES-2108_Series_UG_V3-80_Ed1_rus.pdf
📚 Читайте также:
- ➤ SSO. Прошивка и настройка Extreme Networks x440, x450 коммутаторов, с привязкой к RADIUS NPS;
- ➤ Автомашинист. Запускаем блок коммутации и сопряжения;
- ➤ Большое руководство по сетям и шифрованию трафика в Linux
- ➤ Как я делал систему сбора данных на провинциальном заводе и что из этого вышло
- ➤ Rogue Trader — лучшая игра, чтобы понять «Ваху»
ссылка на оригинал статьи https://habr.com/ru/articles/850360/
Добавить комментарий