过去一年,我一直使用CrucibleWDS在我的环境中对机器进行成像。 我的dhcpd.conf文件列出了连接到用于映像的特定networking的客户端的PXE启动信息。 为了提高效率,我想把这个networking和我们的主局域网合并到同一套硬件上,而不是在物理上分开交换机和铜线以太网。 我们的网卡(英特尔Pro / 1000 PT)支持802.1q,所以我可以通过一个单一的以太网电缆运行VLAN,从而使单个工作站可以连接到多个networking。 据我所知,这将阻止我能够使用PXE启动/坩埚来映像我的系统,因为在启动之前,卡将不知道VLAN标记。 谁能告诉我,如果是这样的话? 当映像服务器所在的networking是802.1q VLAN中继上的多个标记的VLAN之一时,可以使用PXE启动计算机吗?
有什么项目可以在Linux中提供NAC支持吗? 我的主要目标是在向操作系统的NAC代理询问客户的健康状况后,接受/拒绝访问Linux防火墙上的其他networking。 例如: 如果客户端没有安装防病毒软件,这个Linux会阻止客户端的stream量 。 一些交换机具有这种能力。 在Linux中可能吗?
在多个AP共享相同SSID的无线networking中存在很多问题。 我有一个工具,我用我的Android手机( wifianalyzer )是有帮助的,但我需要一个更全面的诊断,将运行(最好)从Windows笔记本电脑。 有没有任何有用的开源或免费工具呢? 谢谢!
我应该从共享SSID和网段的多个接入点广播我的SSID,还是只应该从一个广播?
在我们公司,由于我们不是很专业的networking基础设施,我们面临连接问题。 我们现在正在增长,到今年年底,我们预计在办公室将有40人。 我正在考虑build立一个结构化布线(机架,配线架,交换机等)的有线networking,但办公室的形状并不是很愉快,每个办公桌的电缆。 是否有可能为这个数量的人build立一个可靠的无线networking? 我们都是开发者,所以我们要强调networking。 我怎么去做这个?
我想最终configurationSG300使用802.1x和Microsoft NPS(RADIUS)authentication有线客户端。 我目前正在使用我的SG300(testing机器)和基于AD的networking策略服务器上的单个端口(端口7)来testing此设置。 我遇到的问题是,当我将端口7的pipe理端口控制更改为强制授权时,我看到以下日志条目: 信息%SEC-I-PORTAUTHORIZED:Port gi7已授权 然后当我改变端口控制为自动的端口立即变成未经授权,我看到这个日志条目: 警告%SEC-W-PORTUNAUTHORIZED:端口gi7未经授权 但是,我从来没有看到任何RADIUS消息从SG300发送到我的RADIUS服务器或从SG300发送到testing机器插入到端口7.我在我的RADIUS服务器上使用WireShark来观看从SG300 IP地址的消息,我在configuration为监视插入端口7的testing机器中的NIC卡的第二台testing机上使用WireShark(我正在使用Hyper-V及其设备进行此NIC监视设置)。 这是我的configuration: 交换机 – 10.1.1.3 RADIUS(Microsoft NPS) – 10.1.1.15 交换机使用types – 全部(login和802.1x) 端口7configuration: VLAN模式是通用的 主机authentication是单一主机authentication pipe理端口控制是自动的 RADIUS VLAN分配已禁用 访客VLAN已启用 基于802.1x的身份validation已启用d 安全下的其他configuration – 802.1x / MAC / Webauthentication: 基于端口的身份validation已启用 身份validation方法是RADIUS 访客VLAN已启用 访客VLAN ID是2 我所有的VLAN都启用了身份validation 最后一点说明: SG300使用相同的RADIUS服务器进行pipe理控制台访问,工作正常。 当我login交换机时,WireShark将显示从交换机到RADIUS服务器的RADIUS消息并返回。 所以我知道RADIUS在交换机上configuration正确。
在我们的环境中,我们正在推出802.1x。 这样说,有相当多的客户端恢复到一个较旧(过期)的证书,防止他们进行身份validation和获取networking访问权限。 过期的证书是否可以从AD中删除,否则会导致CRL问题? pipe理层希望推进这个项目,但这个authentication问题是一个交易断路器… 谢谢 法案
我正在通过我们的networking设备进行DISA安全强化。 我们的iSCSI SANnetworking使用2台Cisco 2960G二层交换机。 SAN由2个HP P4000设备组成。 服务器是Hyper-V群集中的3个Dell R710。 DISA有一个关于启用端口安全或802.1x的规则,但是这会搞乱多pathIO或NIC绑定? 编辑:每个SAN和服务器都有一个到每个交换机的连接,并且在这两个交换机之间有一个以太网通道,所以它是一个全网状configuration。 可能没有帮助的问题,但它可能有助于可视化的configuration。
题 为了满足以下条件,我需要什么样的服务器和客户端configuration指令的最小集合? 虚拟2层以太网networking将不会与任何其他接口桥接。 VPN客户端可以与任何其他VPN客户端交换帧。 DHCP不是必需的(在VPN内不会使用TCP / IP) 所有在VPN上的stream量都是以太网brodcasts(实际上没有第3层+networking连接) 虚拟networking的MTU需要远远高于底层networking的MTU,这对VPN内的节点应该是透明的。 OpenVPN可以在VPN之外分割数据包 – 我认为这是通过fragment和tun-mtu指令启用的。 使用这些选项的开销不是问题。 (目标MTU是2360 ) networking的安全不是一个问题,其目的严格来说是一个完全在软件中的以太网链路,用于物理上不相邻的节点。 我已经做了什么工作? 我有很多OpenVPN的经验,所以我相当有信心,我已经涵盖了基础知识。 但是,我似乎无法确定大的MTU尺寸要求。 VPN上的客户端可以连接,如果我configurationTCP / IP进行testing,所有客户端可以互相ping通,除非pingtesting使用不分段和数据包大小超过1472.日志没有显示任何明显的东西。 请看下面的configuration文件。 服务器configuration: mode server port 1195 proto udp dev tap tun-mtu 2360 fragment 1500 comp-lzo max-clients 200 client-to-client ca special-net/ca.crt cert special-net/sn-server.crt key special-net/sn-server.key dh special-net/dh1024.pem status special-net/status.log tls-server tls-auth ta.key 0 auth-user-pass-verify […]
我正在为我们的无线客户端开发Freeradius支持的802.1Xauthentication基础结构。 我在EAP-PEAP上使用了一个相当通用的Freeradiusconfiguration。 我们的客户主要是Windows XP SP3机器,但也有一些Windows 7 32和64位笔记本电脑。 我们的域位于Windows Server 2003的function级别。 802.1xauthentication与手动configuration的testing客户端一起工作。 我想创build一个GPO,通过以下方式自动configuration客户端:1)将自签名CA证书作为受信任根证书部署,2)将ESSID设置为具有相应802.1xconfiguration的首选networking。 我没有很难部署使用GPO的客户的自签名CA证书。 但是,我无法弄清楚如何在GPO中configuration证书作为受信任的根证书。 这是从Computer Configuration – Polices – Security Settings – Wireless Network (IEEE 802.11) Polices下的GPO设置Computer Configuration – Polices – Security Settings – Wireless Network (IEEE 802.11) Polices : 受信任的根证书颁发机构下的select中没有我自签名的CA证书。 由于“validation服务器证书”设置,在802.1x PEAP设置中尝试validation客户端,而我的自签名证书不被信任。 当然,如果我手动configuration客户端来信任我的证书,则可以正确validationradius服务器的证书,然后802.1x工作。 我的目标是能够将一台机器分配到OU,在这个GPO将被应用,并且所有得到的802.1X和CA设置将被做,而不必我必须接触客户端机器。 如何为802.1x PEAP设置生成一个GPO,以便设置客户端信任我的自签名CA证书? 编辑: 由于成本问题,Microsoft NPS或NAP服务器在这一点上对于我的组织来说不是真正的select。 描述我们的环境的最佳方式是集中的位置,运行我们的核心服务,并通过速度和可靠性不同的WAN链路连接了二十多个远程站点。 我们对这些远程站点实施积极的物理或策略控制方面具有不同的能力和成功,因此它们是我无线和最终有线802.1xauthentication的主要关注点。 如果我们丢失广域网链路(这种情况不常发生),我仍然需要远程站点的客户端才能访问networking,因此在这些位置的大部分情况下都需要RADIUS服务器。 另一个窗口服务器的请求将被拒绝。 从历史上看,我们所有的Linux服务器和networking设备都与我们的域基础设施保持独立。 […]