Re: [cisco-ttl] ag'a erisimde kimlik dogrulama ....

From: Erdal Metin <erdal_at_....>
Date: Fri Feb 23 2007 - 12:31:22 CET


Merkezde çalistiracginiz Bir DHCP server üzerinde MAC adresine göre IP dagittirabilirsiniz. Bunun için 3750 üzerindeki interface altinda ip helper-address x.y.z.t (x.y.z.t dhcp server IP adresi) girilmelidr.
DHCP server üzerinde her segment için scope tanimlanmali ve bu scope lardan da mac adresine göre IP adresi dagitilmalidir.Her PC çin MAC adresleri belirlenmeli ve bu mac adresine bir IP karsiligi dhcp de yazilmali bos kalan IP ler ise dislanmalidir DHCP üzerinden.

ancak bu sistemde kullanici kendi makinesi üzerinden (eger sistem tarafinda yetkiliyse) IP adresini statik yazarak mac adresine göre IP adresi dagittirmayi kolayca asabilir.Ve bagli oldugu segmentten istedigi bir IP yi PC sne yazip networke girebilir. Bunu önlemek için uç noktalarda (Switchlerde) 802.1x destekli switch ler kullanirsaniz, kullanicilar artik networke girerken bir radius server dan kimlik dogrulamasi yapmak durumunda kalacaklardir ki ancak öyle networke girebilsinler. (artik IP yi statik yazmasi birsey ifade etmeyecektir.)

Vlan konusunda ise dinamic vlan veritabani yaratilip kullanicilar mac adresine göre belirlenmis vlana üye olurlar.

  slm..

  Arkadaslar ,asagidaki durum icin bir cozum oneriniz var mı ?

  Bizim bilgimiz olmadan kurum ici aga erisim yapilmasini engellemek   istiyoruz.Yani kullanicilar bizden ip talep etmeli ve bizde MAC adresi   bazinda ip adresi atamak yolu ile kullanicilara erisim izni   verebilmeliyiz.(izin verilmeyen kullanicilar kesinlikle ag'a dahil   olamamalı .) Aynı zamanda MAC adresi bazinde vlan atamasida yapmamiz   gerekiyor.Ve bunlarin yaninda bu isi en basit yolu ile halletmemiz   gerekli ,cunku cisco'da uzman seviyede olan bir arkadasimiz   yok .Elimizdeki cihazlara gelince ana omurga olarak cisco 3750 'ler   kullanilmakta.Kenar anahtar olarak da cisco 2960 , 2950 ,3com 3226 'lar   kullaniliyor.Yaklasik pc sayisi 750 .

  ( not : MAC adreslerine DHCP server uzerinde tek tek elle ip   atamada dahil olmak uzere her yolu deneyebiliriz... :) )

  yardimlarinizi bekliyorum ,saygilar....    

[Non-text portions of this message have been removed] Received on Tue Feb 27 11:19:52 2007

This archive was generated by hypermail 2.1.8 : Tue Feb 27 2007 - 11:19:52 CET