我所拥有的:
我正在运行一个freeradius服务器,该服务器完全配置了我需要的服务器。现在一切正常。
我需要什么
我需要一定的半径,以便在身份验证之前将设备放在单独的vlan中,并在此vlan中的设备上运行漏洞扫描(nessus / openvas等)以检查软件状态(防病毒等) 如果设备通过测试,则应正常进行身份验证。 如果失败,则应将其放入第三个(如果计算unauth-vid则为第四个)VLAN。
有人可以告诉我这是否可以在半径上实现吗?
预先感谢您的回答
答案 0 :(得分:1)
是的。但这是一个非常广泛的问题,并且取决于所使用的网络设备。我将概述如何设计这样的系统。
通常,如果您可以为NAC和完全访问VLAN使用相同的DHCP服务器/ IP范围,那么您会更轻松。这意味着您不必在客户端的高层网络层中发出状态已更改的信号,您可以在后台交换出VLAN来更改它们可以访问的内容。
您将为每个客户端建立一个带有条目的数据库。这不必预先填充,可以在第一次身份验证尝试期间填充。每个客户条目的一部分将是状态字段,详细说明他们上一次完成NAC的时间。
您还需要一个会计数据库来存储有关每个客户端连接到网络的位置的信息。
如果客户端以前从未完成过NAC检查,则可以将客户端分配给NAC VLAN,并发信号通知NAC进程开始对其进行询问。
FreeRADIUS既可以充当RADIUS服务器,又可以充当DHCPv4服务器,因此您可能确实会从DHCPv4端发出NAC进程信号,因为那样您便知道客户端收到了什么IP。
可以通过两种方法来绑定RADIUS和DHCPv4。最明显的是MAC,另一种常见的方式是使用计费表的NAS /端口ID。
NAC检查完成后,您将让NAC流程以明细文件格式写出收据,并由明细文件侦听器读回(在sites-available / “解耦帐户”虚拟服务器文件)。重新读回这些条目时,您将更改数据库中的状态,并使用计费数据库中的信息将CoA数据包发送到交换机,以识别客户端。这样可以翻转VLAN,并允许它们使用标准的网络资源集。
我知道这是一个很高的层次,正确记录它可能会超出StackOverflow的字符限制。如果您需要更多帮助,建议您研究上面描述的内容,然后在FreeRADIUS用户的邮件列表https://freeradius.org/support/上开始询问RADIUS相关问题。