RADIUS-server voor draadloze of bekabelde 802.1x-verbindingen

Als u draadloze 802.1x-toegang wilt implementeren, moet u draadloze toegangspunten installeren en configureren. Als u bekabelde 802.1x-toegang wilt implementeren, moet u 802.1x-verificatieswitches installeren en configureren.

Belangrijk

Clientcomputers zoals draadloze draagbare computers en andere computers met een clientbesturingssysteem, zijn geen RADIUS-clients. RADIUS-clients zijn netwerktoegangsservers, zoals draadloze toegangspunten, 802.1X-switches, VPN-servers (Virtual Private Network), en inbelservers, omdat deze gebruikmaken van het RADIUS-protocol om met RADIUS-servers zoals NPS-servers (Network Policy Server) te communiceren.

In beide gevallen moeten deze netwerktoegangsservers aan de volgende vereisten voldoen:

• Ondersteuning voor de IEEE-standaard (Institute of Electrical and Electronics Engineers) 802.1X voor verificatie
  
  
• Ondersteuning voor RADIUS-verificatie en RADIUS-accounting
  
  

Als u facturerings- of accountingtoepassingen gebruikt die sessiecorrelatie vereisen, is het volgende vereist:

• Ondersteuning voor het kenmerk Class, zoals gedefinieerd door de IETF (Internet Engineering Task Force) in RFC 2865, 'Remote Authentication Dial-in User Service (RADIUS)', om sessiecorrelatie toe te staan voor RADIUS-verificatie en accountingrecords. Als u voor sessiecorrelatie RADIUS-accounting configureert op uw NPS-server of -proxy, moet u alle accountinggegevens vastleggen waarmee toepassingen, zoals factureringstoepassingen, query's kunnen uitvoeren op de database, gerelateerde velden kunnen afstemmen en een samenhangende weergave van elke sessie kunnen retourneren in de queryresultaten. Voor sessiecorrelatie moet u ten minste de volgende NPS-accountinggegevens vastleggen: AS-IP-Address; NAS-Identifier (u hebt zowel AS-IP-Address als NAS-Identifier nodig, omdat de toegangsserver beide kenmerken kan verzenden); Class; Acct-Session-Id; Acct-Multi-Session-Id; Packet-Type; Acct-Status-Type; Acct-Interim-Interval; NAS-Port en Event-Timestamp.
  
  
• Ondersteuning voor tussentijdse accountingaanvragen, die periodiek worden verzonden door bepaalde netwerktoegangsservers (NAS-servers) tijdens een gebruikerssessie, die kan worden vastgelegd. Dit type aanvraag kan worden gebruikt wanneer het RADIUS-kenmerk Acct-Interim-Interval is geconfigureerd voor de ondersteuning van periodieke aanvragen in het RAS-profiel op de NPS-server. Als u wilt dat de tussentijdse aanvragen worden vastgelegd op de NPS-server, moet de NAS-server het gebruik van tussentijdse accountingaanvragen ondersteunen.
  
  

Als u VLAN's (Virtual Local Area Networks) gebruikt, moeten de NAS-servers VLAN's ondersteunen.

Voor WAN-omgevingen (Wide Area Network) moeten netwerktoegangsservers het volgende bieden:

• Ondersteuning voor dynamische RTO-schatting (Retransmit Timeout) of exponentiële 'backoff' om opstopping en vertragingen in een WAN-omgeving af te handelen.
  
  

Ook zijn er filterfuncties die door de netwerktoegangsservers moeten worden ondersteund om uitgebreide beveiliging te bieden voor het netwerk. Deze filterfuncties omvatten:

• DHCP-filters. De NAS-servers moeten IP-poorten filteren om de overdracht van DHCP-broadcast-berichten (Dynamic Host Configuration Protocol) te voorkomen als de client een DHCP-server is. De netwerktoegangsservers moeten voorkomen dat de client IP-pakketten vanaf poort 68 naar het netwerk kan verzenden.
  
  
• DNS-filters. De NAS-servers moeten IP-poorten filteren om te voorkomen dat een client als een DNS-server kan functioneren. De NAS-servers moeten voorkomen dat de client IP-pakketten vanaf poort 53 naar het netwerk kan verzenden.
  
  

Als u draadloze toegangspunten implementeert, wordt ondersteuning voor WPA (Wi-Fi Protected Access) aangeraden. WPA wordt ondersteund door Windows Vista® en Windows XP met Service Pack 2. Voor de implementatie van WPA moet u ook draadloze netwerkadapters gebruiken die ondersteuning voor WPA bieden.

Voor draadloos en bekabeld 802.1x kunt u de volgende verificatiemethoden gebruiken:

• EAP (Extensible Authentication Protocol) met TLS (Transport Layer Security), ook wel EAP-TLS genoemd.
  
  
• PEAP (Protected EAP) met MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol versie 2), ook wel PEAP-MS-CHAP v2 genoemd.
  
  
• PEAP met EAP-TLS, ook wel PEAP-TLS genoemd.
  
  

Voor EAP-TLS en PEAP-TLS moet u een openbare-sleutelinfrastructuur (PKI) implementeren door Active Directory® Certificate Services (AD CS) te installeren en configureren voor het verstrekken van certificaten aan clientcomputers en NPS-servers in het domein. Deze certificaten worden tijdens het verificatieproces als bewijs van identiteit gebruikt door zowel clients als NPS-servers. Indien gewenst, kunt u in plaats van clientcomputercertificaten te gebruiken ook smartcards implementeren. In dat geval moet u de werknemers binnen uw organisatie voorzien van smartcards en smartcardlezers.

Voor PEAP-MS-CHAP v2 kunt u uw eigen certificeringsinstantie (CA) implementeren met AD CS om certificaten aan NPS-servers te verstrekken, of u kunt servercertificaten aanschaffen bij een openbaar vertrouwde basis-CA, zoals VeriSign.

Zie EAP - overzicht en PEAP - overzicht voor meer informatie.

Wanneer u NPS configureert als een RADIUS-server, moet u RADIUS-clients, een netwerkbeleid en RADIUS-accounting configureren.