我的组织即将在我们的企业中实施802.1X,但我们目前在SCCM中使用基于PXE的操作系统部署顺序。 我正在寻找一种在802.1X环境中继续使用PXE的方法 。 我们的基础设施使用运行在12.2(或更新版本)的思科networking设备。 我们是一个全Windows的networking,所有的客户端都支持802.1X。 所有新的工作站都可以使用英特尔AMT(但不是工厂configuration)。 在最糟糕的情况下,我们将使用OSD的guest虚拟机,但我宁愿让OSD出现在已validation的会话中。 我已经看过使用AMT作为PXE引导请求者的白皮书,但找不到任何实现细节…
目前我的公司已被另外买了。 因此,另外两家公司的用户将会迁移到我们的办公室。 如果我们可以根据他们尝试使用dot1xlogin到的域来为用户selectvlan,那将是非常方便的。 EG Vlans 100公司A. 200公司B 300公司C. 有人在桌子上放一台笔记本电脑,插入networking端口并按下CTRL-ALT-DEL,select域名CompanyB并login。 我想要的结果是,dot1x能够弄清楚这是来自CompanyB的用户,并设置networking端口dynamic地反映vlan 200。 可能?
我的configuration包括:作为RADIUS服务器的Cisco ACS,MS AD,MS PKI,Cisco 2960G交换机。 工作站是95%的XP专业版SP3完全修补,一些7专业版完全修补。 计算机证书自动注册已启用并正在运行。 GPO为 从工作站上的GPO生成NIC设置: 交换机上的端口configuration如下: 交换机端口访问vlan 56 switchport模式访问 身份validation控制方向 身份validation事件失败操作授权vlan 66 身份validation事件服务器无效操作重新初始化vlan 56 身份validation事件无响应操作授权vlan 66 身份validation事件服务器活动重新初始化 validation主机模式多重validation authentication端口控制自动 authentication违规保护 马伯 dot1x paeauthentication 生成树portfast 我遇到的问题是,当机器启动时,他们试图用主机名而不是证书进行validation。 这失败了,但是一分钟后,他们使用计算机证书并且authentication成功。 configuration正在工作(大部分),但每隔一段时间,我得到一台计算机(到目前为止dot1x约250设置),试图validation主机名失败,然后停止。 如果我重新启动有线自动configuration服务,它完全validation,但重新启动重新创build问题。 这也是非常烦人的,这些错误出现在日志中,因为它们的频率阻止我设置警报,以通知我实际未授权的计算机已连接到networking。 即太多的误报。 我的问题是为什么当我configuration它使用其计算机证书时,工作站首先尝试使用其主机名进行身份validation? 在无线方面,一切工作都很完美。 思科AP和WLC。 编辑*我发现一个修复程序KB957931,指示XP SP3将在接收到身份validation失败消息后20分钟忽略dot1x通信。 此修复程序允许您创build一个registry项来修改此硬编码的设置。 我将这个补丁应用到工作站,并将修补时间改为1分钟(最低限度),现在,工作站在一分钟后进行身份validation,但不更新其IP。 一分钟等待是不理想的,也不是处理更新IP,所以我仍然对原来的问题仍然很好,这是为什么盒子select自己的名字,而不是证书? 更新* 1/11/12我今天再次遇到这个问题,并探出一些客户。 我注意到,在局域网连接的身份validation选项卡上,设置不再变成灰色,而是更改为使用密码而不是证书。 我知道本地组策略在启动时应用,不pipePC是否属于某个域,我知道我的域GPO覆盖了本地设置的任何内容。 当电脑由于某种原因(networking设备的电源故障)无法validation时,不再适用域策略,显然我的设置全部改变了。 我不知道为什么他们改变,因为没有configuration本地GPO。 因此,除了想知道为什么个人电脑在使用他们的证书之前用自己的主机名识别自己,我现在还有第二个问题。 如何使用dot1x设置(缺less可用的默认模板)在XP工作站上创build本地组策略,以及如何将这些策略推送到所有工作站? 我已经看过使用安全模板,但他们不包含我需要的设置。 我需要应用设置从计算机configuration – >策略 – […]
任何人有任何build议企业networking部署负载testing无线networking的方法? 我们有各种各样的无线最坏情况的支持。 没有人或300人的房间,每个人都有1-3个无线设备,他们想要全部使用它们(可能是一次大的教室) 这些build筑中有许多人想要用他们全新的802.11N笔记本电脑,在玩反恐精英(学生宿舍)的同时,还能播放最新的“我所谓的生活”或“shania twain”专辑。 人们期望从build筑物到build筑物漫游的大型空间,都在大量的非企业802.11networking和其他噪声大都会区域。 所以,我们正在计划购买新一代的802.11networking,我们对现有的供应商感到不满意,所以这将是叉车升级。 有没有什么方法可以模拟上述用例,而不购买800台笔记本电脑,并雇用学生机器人“假装”上网或做作业? 如果我们能够在一个受控制和可重复的环境中做事,那就太棒了。 我知道ixia的testing设备看起来有点像我们想要的,但是没有如何正确地进行testing的专业知识,我不确定我们会做对。 所以,除了这个东西的替代品(或者这些东西随机放置在build筑物周围的东西之外)之外,还有哪些公司出来并进行了整个网站的testing? 另外,假设我有一个带有atheros无线射频的linux / freebsd盒子,是否有任何好的工具可以检查现有的无线stream量,从而分析频谱利用率,数据包重传等等?
我正在寻找在我们的公司networking上使用我的Linux工作站,但是我一直在遇到一些问题,特别是802.1xi相信。 我的根在我的机器和Windows域pipe理员,所以我应该能够访问任何我需要这个工作。 目前我的Linux机器的连通性受到限制,导致我相信它已经被放入非802.1x客户端的默认VLAN中。 我想我的整体问题是:我如何使我的Linux机器在有线Windowsnetworking上使用802.1x? networking是一个典型的Windows域,并使用机器帐户以及用户帐户。 这是我所知道的,迄今为止已经尝试过: 我相信我将需要获得一个有效的客户端机器证书的机器,CA证书的域名和私钥的客户端 想法1,从Windows机器/域ca机器抓住一个有效的关键我在linux机器上运行一个Windows虚拟机,并join到域,认为这将产生一个有效的客户端证书,我可以拿到Linux机器。 – 为此,我然后导出的Windows CA服务器的客户端证书和CA证书,然后将其转换为PEM格式,准备好在Linux上的networkingpipe理器(假设需要PEM而不是DER)。 – 然后我试图使用certmgr导出Windows VM本身的私钥,但它被标记为不可导出:-( 想法2是powerbroker … – 我用powerbroker打开(正式同样)join到linux的机器域,getent passwd现在显示所有的域用户。 – 我的想法是这将把系统上的客户端证书和私钥(/ etc / ssl / certs?),但我什么也找不到 想法3,问一个知道他们在做什么的人。 我应该指出,最初这个Linux机器上有它的窗户(我在Linux安装p2v'd),所以我知道networking交换机设置正确,MAC等接受在networking上; 我很确定它只是一个802.1x的问题 编辑:完全忘了提及它的Fedora 21 xfce自旋,64位。
我找不到任何权威的来源,可以简洁地解释桥梁和交换机之间的区别。 据我所知,大多数通常被称为“交换机”的设备符合IEEE 802.1D标准定义的“网桥”的描述。 虽然设备既可以是一个桥梁又可以是一个开关(也许“开关”是“桥梁”的一个子集?),但我只能find差异的“手形”解释。 我遇到的最常被引用的差异归结为以下两点之一: 交换机有很多端口,网桥只有两个(或其他一些小号) 交换机用硬件执行转发,而桥接用软件执行 我不满意这些答案,因为: IEEE标准显然没有说明或假定桥梁将只有两个端口。 如果有的话,假设是会有两个以上的端口。 所以这个解释简直是荒谬的。 (即使思科试图通过这一点作为差异之一)。 IEEE标准似乎是通过它的作用来定义“桥梁”,而不是如何去做。 标准中没有什么能说明桥接必须或应该用软件来完成。 所以,就硬件标准而言,一座硬件桥梁仍然是一座桥梁。 实际上,当我searchIEEE 802.1D标准时,根本没有提到“switch”这个词。 所以“桥梁” 似乎是技术上正确的术语。 但是,由于“开关”这个词似乎比较常用( 到目前为止 ),我不禁想知道是否有一些实际的区分因素。 或者这只是一个用不同的词来形容同样的事情? 参考资料将特别感谢。 编辑:我应该补充一点,我完全意识到桥梁与中继器不一样的事实。
假设您通过直接电缆将具有VLANfunction的networking交换机的中继端口连接到(无法使用VLAN的)客户级networking交换机。 现在,以前的交换机发送后面的交换机一个802.1Q标记的以太网帧。 后来的交换机应该做什么? 放下框架? 转发框架? 未定义的行为? 如果行为不明确,最可能的是什么? 编辑:谢谢你的答案。 总而言之,消费者转换的行为取决于: 在EtherType字段中如何处理带有0x8100帧1 它如何处理巨型帧或有效载荷大于1500字节的帧 维基百科有一个很好的比较未标记和标记的以太网帧: 有报道说一些消费级交换机通过VLAN标记的帧就好了。 1或更精确地说,其中EtherType字段预期用于非标记帧