Старт 3 радиус автоматика: Терминалы серии «Сириус» в новом конструктивном исполнении

Содержание

Подключение к Сириус-21 Д, ДД, Л к компьютеру(ноуту) через USB (Страница 1) — Спрашивайте

Страницы 1

Чтобы отправить ответ, вы должны войти или зарегистрироваться

1 Тема от

maksimlev 2014-07-01 12:43:14

  • maksimlev
  • Пользователь
  • Неактивен
Тема: Подключение к Сириус-21 Д, ДД, Л к компьютеру(ноуту) через USB

Здравствуйте уважаемые коллеги, у меня возникла необходимость снять осциллограмму с данных мп защит, но через USB порт мп защита совсем не желает работать с программой «Старт». USB порт в компьютере определяется как com9, а в программе «Старт» число ком портов ограничено до 8го. И как же его собственно связать с программой «Старт»? Уважаемые менеджеры с организации Радиус автоматика по телефону объяснили что необходимо у них приобрести специальное программное обеспечение для связи мп устройства с компьютером, может быть есть альтернатива?

2 Ответ от

nik. ilim 2014-07-01 12:54:27 (2014-07-01 13:03:37 отредактировано nik.ilim)

  • nik.ilim
  • Пользователь
  • Неактивен
Re: Подключение к Сириус-21 Д, ДД, Л к компьютеру(ноуту) через USB

maksimlev пишет:

«Старт»

Какая Старт? 2ПС или просто Старт?
Если Старт, то по RS485.

3 Ответ от

maksimlev 2014-07-01 13:37:22

  • maksimlev
  • Пользователь
  • Неактивен
Re: Подключение к Сириус-21 Д, ДД, Л к компьютеру(ноуту) через USB

nik.ilim пишет:

Если Старт, то по RS485.

Старт, как организовывается подключение через 485? С этими технологиями я не знаком:(

4 Ответ от

maksimlev 2014-07-01 13:54:08

  • maksimlev
  • Пользователь
  • Неактивен
Re: Подключение к Сириус-21 Д, ДД, Л к компьютеру(ноуту) через USB

Нашёл я это все: преобразователь и т. д. А для чего тогда этот вход USB? Как им воспользоваться?

5 Ответ от

costik 2014-07-01 14:02:41 (2014-07-01 14:05:28 отредактировано costik)

  • costik
  • Пользователь
  • Неактивен
Re: Подключение к Сириус-21 Д, ДД, Л к компьютеру(ноуту) через USB

maksimlev пишет:

Здравствуйте уважаемые коллеги, у меня возникла необходимость снять осциллограмму с данных мп защит, но через USB порт мп защита совсем не желает работать с программой «Старт». USB порт в компьютере определяется как com9, а в программе «Старт» число ком портов ограничено до 8го.

Это старая программа, она работает только с приборами, выпущенными до 2008 года.

maksimlev пишет:

И как же его собственно связать с программой «Старт»?

Нужно скачать «Старт-2ПС»

maksimlev пишет:

Уважаемые менеджеры с организации Радиус автоматика по телефону объяснили что необходимо у них приобрести специальное программное обеспечение для связи мп устройства с компьютером, может быть есть альтернатива?

Зачем его приобретать? Оно вполне бесплатно лежит на официальном сайте.
При установке выбираете локальную версию.
Если у Вас Windows 7 или 8 не забудьте запускать конфигуратор с правами администратора.
Для подключения нужен обычный USB-кабель, больше ничего не нужно.

Сайт costik


6 Ответ от

maksimlev 2014-07-01 14:56:05 (2014-07-01 14:56:33 отредактировано maksimlev)

  • maksimlev
  • Пользователь
  • Неактивен
Re: Подключение к Сириус-21 Д, ДД, Л к компьютеру(ноуту) через USB

costik пишет:

Зачем его приобретать? Оно вполне бесплатно лежит на официальном сайте.

И с помощью её можно считать осциллограмму с сириуса?

7 Ответ от

costik 2014-07-01 15:01:53

  • costik
  • Пользователь
  • Неактивен
Re: Подключение к Сириус-21 Д, ДД, Л к компьютеру(ноуту) через USB

Да.
При покупке платной версии появляются сетевые возможности, редактор мнемосхем и служба оповещения о событиях. Все остальное доступно в бесплатной версии.

Сайт costik

8 Ответ от

maksimlev 2014-07-03 12:16:34

  • maksimlev
  • Пользователь
  • Неактивен
Re: Подключение к Сириус-21 Д, ДД, Л к компьютеру(ноуту) через USB

costik пишет:

Да.
При покупке платной версии появляются сетевые возможности, редактор мнемосхем и служба оповещения о событиях. Все остальное доступно в бесплатной версии.

Спасибо вам за консультацию, снял осциллограмму. Вот только руководство по эксплуатации 2ПС совершенно не помогает разобраться с работой этой программы. И в файле комплект предустановки не хватает нескольких программ, которые указаны в руководстве.

9 Ответ от

costik 2014-07-03 14:13:37

  • costik
  • Пользователь
  • Неактивен
Re: Подключение к Сириус-21 Д, ДД, Л к компьютеру(ноуту) через USB

maksimlev пишет:

Вот только руководство по эксплуатации 2ПС совершенно не помогает разобраться с работой этой программы. И в файле комплект предустановки не хватает нескольких программ, которые указаны в руководстве.

Для установки локальной версии на Windows XP дополнительно нужно установить только Microsoft .NET Framework 4, если он не был установлен раньше. Для Windows 7 и Windows 8 установка дополнительных компонентов не требуется.

Руководство по эксплуатации писалось изначально под полную версию, поэтому там очень много лишнего.

Сайт costik

Сообщений 9

Тему читают:

1 гость

Страницы 1

Чтобы отправить ответ, вы должны войти или зарегистрироваться

Перейти в раздел:
Спрашивайте — отвечаемТрудности переводаСтуденческий РазделОпросыСсылки на интернет ресурсы релейной тематикиРелейная защита среднего напряженияРелейная защита и автоматика трансформаторов, реакторов и автотрансформаторовРелейная защита и автоматика линий 110-1150кВРелейная защита и автоматика генераторов, двигателейРелейная защита и автоматика в «малой энергетике»ДЗШ, ДЗО, УРОВЦифровые устройства релейной защиты и автоматикиСтатические/Электроные релеПрограмное обеспечение МП устройств релейной защитыКак проводить анализ осциллограмм аварийных регистраторовСистемы и устройства противоаварийной автоматикиЗащиты от однофазных замыканий на землюОпределение места повреждения (ОМП)Автоматическое включение резерва (АВР)Аварии, дефекты оборудования. ..Автоматика Управления Выключателем (АУВ)Ж/Д, тяговые подстанции, транспортЦифровая подстанцияМоделирование релейной защитыВопросы эксплуатации аппаратуры передачи аварийных сигналовПосты. Совместимость.ВЧ обработка, каналы, трактыБиблиотека УПАСКЗеркало старого форума. УПАСКРазные режимные вопросыРежимная автоматикаПрограммное обеспечениеАппаратура для выполнения проверокОперации с устройствами РЗАДелай как яСхемы распределительных устройствСобственные нуждыТрансформаторы тока (ТТ), напряжения (ТН) и их вторичные цепиОперативный ток и цепи управленияВспомогательное оборудованиеИспытания и измеренияСистемы учета электроэнергии и измерительные приборыОрганизационные вопросыАСУ ТП и РЗА, МЭК 61850АИИС КУЭТелемеханика (ТИ, ТС, ТУ)Расчёт сетей напряжением до 1000ВВыбор параметров настройки устройств релейной защиты и автоматикиВыбор первичного оборудованияГрафика в релейной защитеОбщие вопросы проектированияУчимся делать расчётыБиблиотека РЗАБиблиотека электромонтёраИностранная литератураПроектированиеОрганизационые вопросы связаные с РЗАНормативно-техническая документацияНовые нормативно-технические документы по релейной защите и автоматикеПовышение квалификацииОбъявления разработчиков техники РЗА, специалистов эксплуатирующих организацийРелейщики ищут работуТребуются релейщикиКуплю/продамНовости энергетикиРазговоры на свободные темыПриемная Администрации форумаПомощьАрхивыОбсуждение продукции

Форум работает на PunBB, при поддержке Informer Technologies, Inc


Присоединяйтесь!!! Мы в социальных сетях и на Ютуб.

«РАДИУС Автоматика» ускорило выполнение заказов с помощью «1С:ERP»

Специалисты компании ООО «ИТРП» автоматизировали работу производственного предприятия «РАДИУС Автоматика». Система «1С:ERP Управление предприятием» помогла оптимизировать планирование производства и управление закупками. Обеспечено бесперебойное снабжение производственных подразделений необходимыми материалами и комплектующими. Длительность среднего производственного цикла сокращена на 15%, выполнение заказов клиентов ускорено. Появилась возможность оперативного исполнения срочных заказов, исключены потери, связанные с пересортицей и избыточными закупками.

«РАДИУС Автоматика» — российское научно-производственное предприятие, которое специализируется на разработке и реализации инноваций в области релейной защиты и автоматизации электросетевых объектов энергохозяйства. Производственная площадка АО «РАДИУС Автоматика» укомплектована наиболее современным технологическим оборудованием в Европе.

Основные клиенты компании — предприятия энергетической отрасли, сегодня в энергосистемах России задействовано более 250 000 шт. цифровых устройств релейной защиты, произведенных «РАДИУС Автоматикой». Для конкурентоспособной деятельности важным фактором являются сроки исполнения заказов, при этом для выполнения сборочных этапов точно в срок важно своевременно обеспечить производство необходимыми комплектующими.

Ранее планирование производства, продаж и закупок, мониторинг исполнения заказов и бюджетирование в компании не были автоматизированы. Производственная программа составлялась сводно в электронных таблицах, зачастую без корреляции с поступающими заказами клиентов. В использовавшейся информационной системе велся только фактический учет операций, регламентированная отчетность формировалась в отдельной устаревшей программе. На выполнение простейших действий в бизнес-процессе управления производством (оформление и обработка заказа, передача его на исполнение, занесение информации о выпуске и списании материалов в базу данных и т. д.) уходило слишком много времени, что снижало темпы производства.

Предприятию стала необходима информационная система, которая помогла бы оптимизировать работу производственных подразделений, сократить задержки в исполнении заказов, повысить точность планирования закупок комплектующих под реалистичную производственную программу, снизить трудоемкость подготовки регламентированной отчетности.

Для решения поставленных задач была выбрана система «1С:ERP Управление предприятием». Партнером по внедрению был выбран Центр ERP «Институт типовых решений — Производство» (ИТРП).

На первом этапе проекта, который длился полгода, был автоматизирован оперативный учет на складах и в производстве, а также регламентированный учет. Еще через несколько месяцев были автоматизированы задачи планирования производства на основании принимаемых клиентских заказов, реализовано автоматическое составление плана закупок по сформированной в системе производственной программе. В настоящее время 1С:ERP используют отдел продаж, производственные подразделения, служба снабжения и склады, бухгалтерия и администрация, всего автоматизировано 70 рабочих мест.

Ключевые результаты проекта:

  • Реализовано годовое и оперативное планирование производства. Формирование в 1С:ERP графика производства позволяет оптимально распределять производственные ресурсы для выполнения этапов сборки изделий.
  • Диспетчер теперь актуализирует производственную программу непосредственно при поступлении нового заказа клиента. У предприятия появилась возможность брать в работу срочные заказы. Это позволяет расширять сегмент сбыта, привлекать больше клиентов и в перспективе увеличивать объемы продаж.
  • На основании плана и графика производства в системе точно рассчитывается потребность в материалах, закупки планируются с учетом текущих заказов и имеющихся запасов. В закупочных планах устанавливаются необходимые объемы и даты поставки. Это помогло обеспечить бесперебойное снабжение производства материалами и комплектующими, устранены задержки при выполнении заказов и производственной программы в целом, сроки исполнения большинства заказов сократились на 15%. Кроме того, исключены потери, связанные с избыточными закупками и пересортицей (когда вместо требуемых комплектующих ошибочно закупались другие), общие затраты на материалы снижены на 10%.

Генеральный директор АО «РАДИУС Автоматика» Юрий Давыденко отмечает: «В результате совместной работы с экспертами компании „ИТРП“ мы получили положительные результаты на нашем производстве. Первые результаты улучшений при переходе от ручного управления к автоматизации стали проявляться уже через несколько месяцев после старта проекта, а на текущий момент автоматизировано большинство ключевых задач. За счет увеличения скорости обработки заказов появилась возможность выполнения срочных заказов, сокращена длительность среднего производственного цикла по большинству заказов, повысились достоверность и актуальность данных материального учета. Кроме того, сократились временные затраты на выполнение рутинных задач, и снизились риски ошибок в процессе планирования за счет сокращения влияния человеческого фактора».

Информация о компании АО «РАДИУС Автоматика»

АО «РАДИУС Автоматика» — это российское научно-производственное предприятие, реализующее полный цикл работ: от научных изысканий до серийного производства всего комплекса оборудования релейной защиты и автоматики для сетей от 0,4 кВ до 220 кВ, а также средств испытания и диагностики оборудования и линий электропередачи.

Компания обеспечивает энергосистемы РФ продукцией более 30 лет. На сегодняшний день в энергосистемах России задействовано более 250 000 шт. цифровых устройств РЗА, произведенных «РАДИУС Автоматикой».

Контактная информация: 124 489, Москва, Зеленоград, Панфиловский проспект, д. 10, стр. 3

Тел. многоканальный: +7 (499) 130−5-031

Информация о компании ООО «ИТРП»
Компания «Институт типовых решений — Производство» (ИТРП) с 2000 г. внедряет системы класса ERP для производства на платформе «1С:Предприятие». «ИТРП» является дочерним предприятием фирмы «1С», имеет статусы: «1С:Франчайзи», «1С:Центр-ERP», «1С:Центр ERP-Производство», «1С:Консалтинг», «1С:КОРП Центр Компетенции».

Клиенты компании — более 1000 производственных предприятий. С 2005 года все проектные стадии строго регламентированы в системе качества, сертифицированной по стандарту ISO 9001.

Контактная информация: 127 473, г. Москва, ул. Селезневская, д. 34, стр. 4

Тел. : 8 (800) 500-61-51, +7 (495) 260-28-08, e-mail: [email protected], itrp.ru

Подписывайтесь на канал

Как работает аутентификация сервера RADIUS

RADIUS — это протокол, который изначально был разработан для аутентификации удаленных пользователей на сервере удаленного доступа. RADIUS теперь используется в широком диапазоне сценариев аутентификации. RADIUS — это клиент-серверный протокол, в котором Firebox выступает в качестве клиента, а сервер RADIUS — в качестве сервера. (Клиент RADIUS иногда называют сервером доступа к сети или NAS.) Когда пользователь пытается пройти аутентификацию, устройство отправляет сообщение на сервер RADIUS. Если сервер RADIUS правильно настроен для использования устройства в качестве клиента, RADIUS отправляет принять или отклонить сообщение обратно на устройство (сервер доступа к сети).

Когда Firebox использует RADIUS для попытки аутентификации:

  1. Пользователь пытается аутентифицироваться либо через браузерное HTTPS-подключение к устройству через порт 4100, либо через подключение с использованием Mobile VPN с IPSec. Устройство считывает имя пользователя и пароль.
  2. Устройство создает сообщение, называемое сообщением запроса доступа, и отправляет его на сервер RADIUS. Устройство использует общий секрет RADIUS в сообщении. Пароль всегда шифруется в сообщении Access-Request.
  3. Сервер RADIUS гарантирует, что сообщение Access-Request исходит от известного клиента (Firebox). Если сервер RADIUS не настроен на прием устройства в качестве клиента, сервер отбрасывает сообщение Access-Request и не отправляет сообщение обратно.
  4. Если устройство является клиентом, известным серверу RADIUS, и общий секрет правильный, сервер проверяет метод проверки подлинности, запрошенный в сообщении Access-Request.
  5. Если в сообщении Access-Request используется разрешенный метод аутентификации, сервер RADIUS получает учетные данные пользователя из сообщения и ищет совпадения в базе данных пользователей. Если имя пользователя и пароль совпадают с записью в базе данных, сервер RADIUS может получить дополнительную информацию о пользователе из базы данных пользователей (например, разрешение на удаленный доступ, членство в группе, время входа в систему и т. д.).
  6. Сервер RADIUS проверяет, есть ли в его конфигурации политика доступа или профиль, соответствующие всей имеющейся у него информации о пользователе. Если такая политика существует, сервер отправляет ответ.
  7. Если какое-либо из предыдущих условий не выполняется или если сервер RADIUS не имеет соответствующей политики, он отправляет сообщение об отказе в доступе, указывающее на сбой аутентификации. Транзакция RADIUS завершается, и пользователю отказывают в доступе.
  8. Если сообщение Access-Request соответствует всем предыдущим условиям, RADIUS отправляет на устройство сообщение Access-Accept.
  9. Сервер RADIUS использует общий секрет для любого отправляемого ответа. Если общий секрет не совпадает, устройство отклоняет ответ RADIUS.

Чтобы просмотреть сообщения журнала диагностики для проверки подлинности, установите уровень журнала диагностики и измените уровень журнала для Категория аутентификации .

  1. Устройство считывает значение любого атрибута FilterID в сообщении. Он связывает имя пользователя с атрибутом FilterID, чтобы поместить пользователя в группу RADIUS.
  2. RADIUS-сервер может поместить большое количество дополнительной информации в сообщение Access-Accept. Устройство игнорирует большую часть этой информации, например протоколы, которые разрешено использовать пользователю (такие как PPP или SLIP), порты, к которым пользователь может получить доступ, время простоя и другие атрибуты.
  3. Для устройства требуется только атрибут FilterID (атрибут RADIUS номер 11). FilterID — это текстовая строка, которую вы настраиваете на сервере RADIUS для включения в сообщение Access-Accept. Этот атрибут необходим устройству для назначения пользователя в группу RADIUS, однако он может поддерживать некоторые другие атрибуты Radius, такие как Session-Timeout (атрибут RADIUS номер 27) и Idle-Timeout (атрибут RADIUS номер 28).

Дополнительные сведения о группах RADIUS см. в следующем разделе.

О группах RADIUS

Когда вы настраиваете аутентификацию RADIUS в Firebox, вы можете установить номер группового атрибута. ОС Fireware считывает номер атрибута группы, указанный вами в конфигурации, чтобы определить, какой атрибут RADIUS содержит информацию о группе RADIUS. ОС Fireware распознает только атрибут RADIUS номер 11, FilterID, в качестве атрибута группы. При настройке сервера RADIUS не изменяйте номер атрибута группы со значения по умолчанию 11.

Когда Firebox получает сообщение Access-Accept от RADIUS, он считывает значение атрибута FilterID и использует это значение, чтобы связать пользователя с группой RADIUS. (Вы должны вручную настроить FilterID в конфигурации RADIUS.) Таким образом, значением атрибута FilterID является имя группы RADIUS, в которую устройство помещает пользователя.

Группы RADIUS, которые вы используете в своей конфигурации Firebox, не совпадают с группами Windows, определенными в вашем контроллере домена, или любыми другими группами, существующими в базе данных пользователей вашего домена. Группа RADIUS — это только логическая группа пользователей, которых использует Firebox. Убедитесь, что вы тщательно выбрали текстовую строку FilterID. Вы можете сделать так, чтобы значение FilterID совпадало с именем локальной группы или группы домена в вашей организации, но это не обязательно. Мы рекомендуем вам использовать описательное имя, которое поможет вам вспомнить, как вы определили свои группы пользователей.

Для аутентификации RADIUS вы можете добавить пользователя только в одну группу RADIUS.

Практическое использование групп RADIUS

Если в вашей организации много пользователей для аутентификации, вы можете упростить управление политиками Firebox, настроив RADIUS для отправки одного и того же значения FilterID для многих пользователей. Firebox объединяет этих пользователей в одну логическую группу, чтобы вы могли легко управлять доступом пользователей. Когда вы создаете политику, разрешающую доступ к сетевому ресурсу только пользователям, прошедшим проверку подлинности, вы используете имя группы RADIUS вместо добавления списка множества отдельных пользователей.

Например, когда Мэри проходит аутентификацию, RADIUS отправляет строку FilterID Sales , поэтому Firebox помещает Мэри в группу Sales RADIUS до тех пор, пока она аутентифицируется. Если пользователи John и Alice аутентифицируются следующими, а RADIUS помещает одно и то же значение FilterID Sales в сообщения Access-Accept для John и Alice, тогда Mary, John и Alice входят в группу Sales . Вы можете создать политику, позволяющую группе Sales получить доступ к ресурсу.

Вы можете настроить RADIUS для возврата другого идентификатора фильтра, например ИТ-поддержка , для членов вашей внутренней организации поддержки. Затем вы можете добавить другую политику, чтобы разрешить пользователям ИТ-поддержки получать доступ к ресурсам.

Например, можно разрешить группе Sales доступ в Интернет с помощью политики Filtered-HTTP. Затем вы можете отфильтровать их веб-доступ с помощью WebBlocker. Другая политика в Policy Manager может разрешить ИТ-поддержка пользователей для доступа в Интернет с политикой Unfiltered-HTTP, чтобы они получали доступ в Интернет без фильтрации WebBlocker. Вы используете имя группы RADIUS (или имена пользователей) в списке From политики, чтобы показать, к какой группе (или к каким пользователям) применяется политика.

Значения тайм-аута и повторных попыток

Ошибка аутентификации, когда не получен ответ от основного сервера RADIUS. После трех неудачных попыток аутентификации ОС Fireware использует дополнительный сервер RADIUS. Этот процесс называется отказоустойчивость .

Это количество попыток аутентификации не совпадает с числом повторных попыток. Вы не можете изменить количество попыток проверки подлинности до того, как произойдет отработка отказа.

Firebox отправляет сообщение Access-Request на первый сервер RADIUS в списке. Если ответа нет, устройство ожидает количество секунд, заданное в текстовом поле Timeout , а затем отправляет еще один запрос на доступ. Это продолжается столько раз, сколько указано в поле Retry 9.0032 текстовое поле (или пока не будет действительного ответа). Если нет действительного ответа от сервера RADIUS или общий секрет RADIUS не совпадает, Fireware OS считает это одной неудачной попыткой аутентификации.

После трех неудачных попыток аутентификации ОС Fireware использует дополнительный сервер RADIUS для следующей попытки аутентификации. Если вторичный сервер также не отвечает после трех попыток аутентификации, ОС Fireware ожидает истечения интервала Dead Time (по умолчанию 10 минут). После Интервал Dead Time истек, ОС Fireware снова пытается использовать основной сервер RADIUS.

В Fireware v12.5.3 или более ранней версии значение Dead Time по умолчанию составляет 3 минуты. В Fireware версии 12.1.1 или ниже значение Dead Time по умолчанию составляет 10 минут.

Многофакторная аутентификация

Если аутентификация сервера RADIUS является частью многофакторной аутентификации (MFA) в вашей сети, имейте в виду, что Firebox помечает сервер RADIUS как мертвый в течение Dead Time , если пользователь не отвечает к вызову МИД. В это время Firebox не отправляет запросы аутентификации для других пользователей на сервер RADIUS.

Чтобы избежать этой проблемы в среде MFA, мы рекомендуем вам изменить значение по умолчанию Dead Time в настройках RADIUS Firebox:

  • Если вы настраиваете только основной сервер RADIUS, укажите Dead Time равным 0 минутам. .
  • Если вы также настраиваете резервный сервер RADIUS, укажите Dead Time 10 минут.
См. также

Настройка аутентификации сервера RADIUS

О сторонних серверах аутентификации

Настройка аутентификации RADIUS с помощью WPA2-Enterprise

  1. Последнее обновление
  2. Сохранить как PDF

Точки доступа Cisco Meraki MR предлагают ряд методов аутентификации для беспроводной связи, включая использование внешних серверов аутентификации для поддержки WPA2-Enterprise. В этой статье описывается конфигурация панели мониторинга для использования сервера RADIUS для проверки подлинности WPA2-Enterprise, требования к серверу RADIUS и пример конфигурации сервера с использованием Windows NPS.

Обзор

WPA2-Enterprise с аутентификацией 802.1X можно использовать для аутентификации пользователей или компьютеров в домене. Запрашивающая сторона (беспроводной клиент) проходит проверку подлинности на сервере RADIUS (сервере проверки подлинности) с использованием метода EAP, настроенного на сервере RADIUS. Роль точки доступа шлюза (аутентификатора) заключается в отправке сообщений аутентификации между запрашивающей стороной и сервером аутентификации. Это означает, что сервер RADIUS отвечает за аутентификацию пользователей.

Точки доступа выполняют обмены EAPOL между запрашивающей стороной и преобразуют их в сообщения RADIUS Access-requests, которые отправляются на IP-адрес сервера RADIUS и порт UDP, указанные в Dashboard. Точки доступа шлюза должны получить сообщение о принятии доступа RADIUS от сервера RADIUS, чтобы предоставить запрашивающей стороне доступ к сети.

Для лучшей производительности рекомендуется располагать RADIUS-сервер и точки доступа шлюза в одном широковещательном домене уровня 2, чтобы избежать задержек брандмауэра, маршрутизации или аутентификации. Имейте в виду, что точка доступа не отвечает за аутентификацию беспроводных клиентов и действует как посредник между клиентами и сервером RADIUS.

На следующем изображении представлена ​​подробная разбивка процесса ассоциации PEAP с MSCHAPv2:

Поддерживаемые атрибуты RADIUS

точка доступа Cisco Meraki к серверу RADIUS заказчика.

Примечание:  Подробнее об этих атрибутах см. в RFC 2865. Дополнительные примечания для некоторых атрибутов приведены ниже.

  • Имя пользователя
  • NAS-IP-адрес
  • NAS-порт
  • Called-Station-ID: Содержит (1) BSSID точки доступа Meraki (все заглавные буквы, октеты разделены дефисами) и (2) SSID, к которому подключается беспроводное устройство. Эти 2 поля разделены двоеточием. Пример: «AA-BB-CC-DD-EE-FF:SSID_NAME».
  • Calling-Station-ID: Содержит MAC-адрес беспроводного устройства (все заглавные буквы, октеты разделены дефисами). Пример: «AA-BB-CC-DD-EE-FF».
  • Рамка-MTU
  • NAS-порт типа
  • Информация о подключении
  • Meraki-Device-Name: имя устройства Meraki, настроенное на панели управления

    • .

 

Следующие атрибуты учитываются Cisco Meraki при получении сообщения Access-Accept от сервера RADIUS клиента к точке доступа Cisco Meraki:

  • Tunnel-Private-Group-ID: Содержит идентификатор VLAN, который должны применяться к беспроводному пользователю или устройству. (Это можно настроить для переопределения настроек VLAN, которые администратор настроил для определенного SSID в облачном контроллере Cisco Meraki.)
  • Tunnel-Type: Указывает протокол туннелирования. Пример: ВЛАН.
  • Tunnel-Medium-Type: Задает тип транспортного носителя, используемый для создания туннеля. Пример: 802 (включая 802.11).
  • Filter-Id / Reply-Message / Airespace-ACL-Name / Aruba-User-Role: Любой из этих атрибутов можно использовать для передачи политики, которая должна применяться к беспроводному пользователю или устройству. (Тип атрибута должен соответствовать типу, настроенному на вкладке «Настройка» > странице «Групповые политики» в облачном контроллере Cisco Meraki. Значение атрибута должно соответствовать имени группы политик, настроенной на этой странице.)

Конфигурация RADIUS

Наиболее распространенной конфигурацией EAP является PEAP с MSCHAPv2, который запрашивает у пользователей учетные данные (проверку подлинности пользователя или компьютера).

Примечание. Проверка подлинности на основе сертификата с использованием EAP-TLS также поддерживается платформой Meraki, но выходит за рамки этого документа. Дополнительные сведения о WPA2-Enterprise с использованием EAP-TLS см. в нашей документации.

Требования к серверу RADIUS

Для RADIUS доступно множество вариантов сервера, которые при правильной настройке должны работать с точками доступа MR. Дополнительные сведения см. в документации к вашему RADIUS-серверу, но ключевые требования для WPA2-Enterprise с Meraki следующие:

  • На сервере должен быть размещен сертификат центра сертификации (ЦС), которому доверяют клиенты в сети.
  • Все точки доступа шлюза, транслирующие SSID WPA2-Enterprise, должны быть настроены как клиенты/аутентификаторы RADIUS на сервере с общим секретом.
  • Сервер RADIUS должен иметь базу пользователей для аутентификации.

После настройки сервера RADIUS обратитесь к разделу «Конфигурация информационной панели» ниже, чтобы получить инструкции о том, как добавить сервер RADIUS в информационную панель.

Проверка подлинности пользователя и компьютера

Наиболее распространенным методом проверки подлинности с помощью PEAP-MSCHAPv2 является проверка подлинности пользователя, при которой клиентам предлагается ввести учетные данные своего домена. Также можно настроить RADIUS для проверки подлинности компьютеров, при которой сами компьютеры аутентифицируются с помощью RADIUS, поэтому пользователю не нужно предоставлять какие-либо учетные данные для получения доступа. Аутентификация компьютера обычно выполняется с помощью EAP-TLS, хотя некоторые параметры сервера RADIUS упрощают выполнение аутентификации компьютера с помощью PEAP-MSCHAPv2 (включая Windows NPS, как показано в приведенном ниже примере конфигурации).

Примечание. «Машинная аутентификация» — это , а не , то же самое, что и аутентификация на основе MAC-адреса, которая является еще одним параметром конфигурации на панели инструментов в разделе Беспроводная сеть > Настройка > Контроль доступа . Проверка подлинности компьютера, в частности, относится к устройствам, проходящим проверку подлинности с помощью RADIUS 

Пример конфигурации RADIUS (Windows NPS + AD)

В следующем примере конфигурации показано, как настроить Windows NPS в качестве сервера RADIUS, а Active Directory выступает в качестве базы пользователей:

  1. Добавьте роль сервера политики сети (NPS) в Windows Server.
  2. Добавьте доверенный сертификат в NPS.
  3. Добавьте точки доступа в качестве клиентов RADIUS на сервере политики сети.
  4. Настройте политику в NPS для поддержки PEAP-MSCHAPv2.
  5. (необязательно для машинной аутентификации) Разверните параметры беспроводной сети PEAP-MSCHAPv2 на компьютерах-членах домена с помощью групповой политики.
Добавление роли сервера политики сети (NPS) в Windows Server

Сервер Microsoft RADIUS для Windows Server 2008 и более поздних версий — это их сервер политики сети (NPS). Обратитесь к следующим двум документам Microsoft за инструкциями по добавлению роли NPS в Windows Server и регистрации нового сервера NPS в Active Directory (что позволит ему использовать AD в качестве базы пользователей):

  • Установка NPS.
  • Регистрация NPS в AD.
Добавление доверенного сертификата в NPS

На сервере RADIUS должен размещаться сертификат, позволяющий как сетевым клиентам, так и точкам доступа Meraki проверять подлинность сервера. Для этого сертификата существует три варианта:

  • Получить сертификат от доверенного центра сертификации
    Если используемый ЦС является доверенным для клиентов в сети, сертификат можно приобрести и загрузить в NPS для выполнения идентификации сервера. верификация (требуется клиентами). Типичными примерами доверенных центров сертификации являются GoDaddy и VeriSign.
  • Внедрение инфраструктуры открытых ключей и создание сертификата (дополнительно)
    PKI можно использовать в сети для выдачи сертификатов, которым доверяют клиенты в сети. Для этого варианта рекомендуется хорошее понимание PKI.
  • Создание самозаверяющего сертификата и отключение проверки клиент-сервера (небезопасно)
    Самозаверяющий сертификат может быть создан для тестовых/лабораторных целей, хотя клиенты не будут доверять самозаверяющему сертификату и должны будут пройти проверку сервера отключен для подключения.
    Этот вариант , а не  рекомендуется для производственного развертывания из-за значительного снижения безопасности.

После получения сертификата обратитесь к документации Microsoft за инструкциями по импорту сертификата.

Добавить точки доступа в качестве клиентов RADIUS на сервере NPS

В этом сценарии точки доступа взаимодействуют с клиентами и получают учетные данные их домена, которые точка доступа затем перенаправляет на сервер политики сети. Чтобы сообщение запроса доступа RADIUS от точки доступа могло быть обработано NPS, его необходимо сначала добавить в качестве клиента/аутентификатора RADIUS по его IP-адресу. Поскольку только точки доступа шлюза имеют IP-адрес в локальной сети, все точки доступа шлюза в сети должны быть добавлены к серверу политики сети в качестве клиентов RADIUS.

Чтобы быстро собрать IP-адреса локальной сети всех точек доступа шлюза, перейдите к Беспроводная связь > Монитор > Точки доступа  на панели мониторинга, убедитесь, что столбец «IP-адрес локальной сети» добавлен в таблицу, и запишите все перечисленные IP-адреса локальной сети. Точки доступа с IP-адресом в локальной сети «Н/Д» являются ретрансляторами, их не нужно добавлять в качестве клиентов RADIUS:

 

После того, как список IP-адресов в локальной сети точек доступа шлюза будет собран, см. документацию Microsoft. инструкции по добавлению каждой точки доступа в качестве клиента в NPS. Обратите внимание на общий секрет, настроенный в NPS, он будет указан на панели мониторинга.

Примечание. Для экономии времени целые подсети также могут быть добавлены к серверу политики сети в качестве клиентов RADIUS, и любые запросы, поступающие из этой подсети, будут обрабатываться сервером политики сети. Это рекомендуется только в том случае, если все точки доступа находятся в своей собственной управляющей VLAN и подсети, чтобы снизить риски безопасности.

Во многих случаях каждый аутентификатор RADIUS должен быть добавлен на сервер аутентификации RADIUS, такой как Microsoft NPS или Cisco ISE. Для концентрации VPN и концентрированных перемещаемых SSID уровня 3 на сервер аутентификации RADIUS необходимо добавить только концентраторы.

Настройте политику в NPS для поддержки PEAP-MSCHAPv2

NPS должен быть настроен для поддержки PEAP-MSCHAPv2 в качестве метода проверки подлинности.

Это выполняется в три шага, описанных ниже для NPS в Windows Server 2008:

  1. Создание политики NPS
  2. Изменить порядок обработки политики
  3. Отключить автоматическое исправление

Создание политики NPS

  1. Откройте консоль сервера политики сети.
  2. Выберите NPS (локальный), , чтобы отобразить панель Начало работы .
  3. Выберите сервер RADIUS для беспроводных или проводных подключений 802.1X в раскрывающемся списке Стандартная конфигурация .
  4. Нажмите Настроить 802.1X , чтобы запустить Мастер настройки 802. 1X.
  5. Когда появится окно Select 802.1X Connections Type , выберите переключатель Secure Wireless Connections и введите Имя: для вашей политики или используйте значение по умолчанию. Щелкните Далее .
  6. Проверьте точки доступа, которые вы добавили в качестве клиентов RADIUS, в окне Указать коммутаторы 802.1X . Щелкните Далее .
  7. Для  Настройка метода аутентификации выберите Microsoft: Protected EAP (PEAP) .
  8. Щелкните Настроить , чтобы просмотреть Изменить защищенные свойства EAP . Сертификат сервера должен быть в сертификате , выпущенном раскрывающийся список. Убедитесь, что Включить быстрое повторное подключение отмечен флажком, а Тип EAP Безопасный пароль (EAP-MSCHAPv2) . Нажмите OK . Щелкните Далее .
  9. Когда появится окно Указать группы пользователей , нажмите Добавить .
  10. Введите или найдите группу пользователей домена . Эта группа должна находиться в том же домене, что и ваш сервер RADIUS.
    Примечание.  Если для аутентификации компьютера используется RADIUS, найдите  Компьютеры домена вместо группы.
  11. Когда группа будет добавлена, нажмите OK . Щелкните Далее.
  12. Нажмите Далее  в окне Настройка виртуальной локальной сети (VLAN).
  13. Когда появится Завершение создания новых безопасных проводных и беспроводных подключений IEEE 802.1X и клиентов RADIUS , нажмите Готово .

Изменить порядок обработки политики

  1. Перейдите к Политики > Политики запросов на подключение . Щелкните правой кнопкой мыши политику беспроводной сети и Move Up , чтобы она обрабатывалась первой.
  2. Перейдите к Policies>Network Policies . Щелкните правой кнопкой мыши политику беспроводной сети и выберите Move Up , чтобы она обрабатывалась первой.

Отключить автоматическое исправление

  1. Перейдите к Политики>Сетевые политики . Щелкните правой кнопкой мыши политику беспроводной сети и выберите Свойства .
  2. На вкладке Настройка для политики снимите флажок Включите автоматическое исправление клиентских компьютеров и нажмите OK .

 

На следующем изображении показан пример политики NPS, которая поддерживает проверку подлинности пользователей с помощью PEAP-MSCHAPv2:

(необязательно) Разверните профиль беспроводной сети PEAP с помощью групповой политики.

чтобы развернуть профиль беспроводной сети PEAP на компьютерах домена, чтобы пользователи могли легко связываться с SSID. Хотя это необязательно для аутентификации пользователя, это настоятельно рекомендуется для аутентификации компьютера.

В следующих инструкциях объясняется, как отправить профиль беспроводной сети PEAP на компьютеры домена с помощью объекта групповой политики на контроллере домена под управлением Windows Server 2008:

  1. Откройте оснастку домена Управление групповой политикой .
  2. Создайте новый объект групповой политики или используйте существующий объект групповой политики.
  3. Отредактируйте  объект групповой политики и перейдите к Конфигурация компьютера > Политики > Настройки Windows > Настройки безопасности > Политики открытого ключа > Политики беспроводной сети (IEEE 801.X).
  4. Щелкните правой кнопкой мыши Политики беспроводной сети (IEEE 801. X) и выберите Создать новую политику Windows Vista.
  5. Укажите Имя политики Vista.
  6. Нажмите Добавить для Подключиться к доступным сетям.
  7. Выберите  Инфраструктура.
  8. На вкладке Connection укажите имя профиля и введите SSID беспроводной сети для Network 9.0167 Имя(а). Нажмите  Добавить.
  9. Перейдите на вкладку  Безопасность  . Настройте следующее:
    • Аутентификация:  WPA2-Enterprise или WPA-Enterprise
    • Шифрование: AES или TKIP
    • Метод сетевой аутентификации:  Microsoft: защищенный EAP (PEAP)
    • Режим аутентификации: Компьютерная аутентификация (для машинной аутентификации)

 

  1. Нажмите Свойства.

  2. Для  Доверенные корневые центры сертификации  установите флажок рядом с соответствующими центрами сертификации и нажмите  ОК.

 

  1. Нажмите OK, чтобы закрыть , и нажмите Применить на странице политики беспроводной сети, чтобы сохранить настройки .

  2. Примените объект групповой политики к домену или организационной единице, содержащей компьютеры-члены домена (подробности см. в документации Microsoft).

Конфигурация панели управления

После настройки сервера RADIUS с соответствующими требованиями для поддержки аутентификации в следующих инструкциях объясняется, как настроить SSID для поддержки WPA2-Enterprise и аутентификации на сервере RADIUS:

  1. В панели управления перейдите к Wireless >  Настройка > Контроль доступа .
  2. Выберите нужный SSID из раскрывающегося списка SSID (или перейдите к Wireless > Configure > SSID , чтобы сначала создать новый SSID).
  3. Для Security выберите Enterprise с моим сервером RADIUS .
  4. Под RADIUS нажмите Добавить сервер
  5. Введите Host IP или FQDN* (IP-адрес или FQDN вашего RADIUS-сервера, доступного из точек доступа), Порт (UDP-порт, который сервер RADIUS прослушивает для запросов доступа; 1812 по умолчанию) и Секрет (общий секрет клиента RADIUS):

     

  6. Нажмите кнопку Сохранить .

* Сеть и все точки доступа должны работать под управлением MR28.0+ для поддержки полного доменного имени.

Помимо требований к серверу RADIUS, изложенных выше, все точки доступа, выполняющие аутентификацию, должны иметь возможность связываться с IP-адресом и портом, указанными в Dashboard. Убедитесь, что все ваши точки доступа имеют сетевое подключение к серверу RADIUS, а брандмауэры не препятствуют доступу.

Параметры тегирования VLAN

Dashboard предлагает ряд параметров для тегирования клиентского трафика с определенного SSID с помощью определенного тега VLAN. Чаще всего SSID будет связан с идентификатором VLAN, поэтому весь клиентский трафик с этого SSID будет отправляться в эту VLAN.

При интеграции с RADIUS идентификатор VLAN может быть встроен в ответ сервера RADIUS. Это позволяет динамически назначать VLAN на основе конфигурации сервера RADIUS. Обратитесь к нашей документации по тегированию клиентских сетей VLAN с помощью атрибутов RADIUS, чтобы узнать об особенностях конфигурации.

Тестирование RADIUS из Dashboard

Dashboard имеет встроенную утилиту тестирования RADIUS, чтобы убедиться, что все точки доступа (по крайней мере те, которые передают SSID с помощью RADIUS) могут связаться с сервером RADIUS:

  1. Перейдите к Wireless >  Настройка > Контроль доступа .
  2. Убедитесь, что WPA2-Enterprise уже настроен в соответствии с инструкциями в этой статье.
  3. В разделе RADIUS-серверов нажмите кнопку Test 9.0167  для нужного сервера.
  4. Введите учетные данные учетной записи пользователя в поля Имя пользователя и Пароль  .
  5. Щелкните Начать проверку .
  6. В окне будет показан ход тестирования каждой точки доступа (AP) в сети, а затем в конце будет представлена ​​сводка результатов.
    точки доступа прошли : точки доступа, которые были в сети и смогли успешно пройти аутентификацию с использованием предоставленных учетных данных.
    Сбой точек доступа : Точки доступа, которые были в сети, но не смогли пройти аутентификацию с использованием предоставленных учетных данных. Убедитесь, что сервер доступен с точек доступа, точки доступа добавляются в качестве клиентов на сервере RADIUS.
    Точки доступа недоступны : Точки доступа, которые не были подключены к сети и поэтому не могли быть протестированы.

 

Учет RADIUS

Дополнительно можно включить учет RADIUS для SSID, использующего WPA2-Enterprise с проверкой подлинности RADIUS. Если этот параметр включен, сообщения учета «запуск» и «остановка» отправляются с точки доступа на указанный сервер учета RADIUS.

В следующих инструкциях объясняется, как включить учет RADIUS для SSID:

  1. Перейдите к Wireless >   Configure > Access control  и выберите нужный SSID из раскрывающегося меню.
  2. В разделе Учет RADIUS выберите Учет RADIUS включен.
  3. В разделе Серверы учета RADIUS нажмите Добавить сервер.
    Примечание. Можно добавить несколько серверов для отработки отказа, сообщения RADIUS будут отправляться на эти серверы в порядке сверху вниз.
  4. Введите данные для:
    • Хост  (IP-адрес, на который точки доступа будут отправлять учетные сообщения RADIUS)
    • Порт  (порт на сервере RADIUS, который прослушивает сообщения учета; 1813 по умолчанию)
    • Секрет (общий ключ, используемый для аутентификации сообщений между точками доступа и сервером RADIUS)
  5. Нажмите  Сохранить изменения .

В этот момент учетные сообщения «Старт» и «Стоп» будут отправляться с точек доступа на сервер RADIUS всякий раз, когда клиент успешно подключается или отключается от SSID соответственно.

Настройка WPA2-Enterprise с RADIUS с использованием Cisco ISE

Точки доступа Cisco Meraki можно настроить для обеспечения корпоративной аутентификации WPA2 для беспроводных сетей с использованием Cisco Identity Services Engine (ISE) в качестве сервера RADIUS. В этой статье будут описаны инструкции по базовой интеграции с этой платформой. Дополнительные сведения о настройке Cisco ISE см. в Руководстве пользователя Cisco Identity Services Engine.

Установка сертификатов сервера

После установки Cisco ISE по умолчанию создает самозаверяющий локальный сертификат и закрытый ключ и сохраняет их на сервере. Этот сертификат будет использоваться по умолчанию для WPA2-Enterprise. В самоподписанном сертификате имя хоста Cisco ISE используется в качестве общего имени (CN), поскольку оно требуется для связи по протоколу HTTPS.

Примечание.  Для RADIUS рекомендуется использовать самоподписанный сертификат  , а не . Чтобы использовать самозаверяющий сертификат по умолчанию, клиенты должны быть настроены так, чтобы не проверять подлинность сервера RADIUS. Дополнительные сведения о параметрах сертификата на сервере RADIUS см. в нашей документации по RADIUS.

Добавление управляемых сетевых устройств

  1. В Cisco ISE выберите Администрирование > Сетевые ресурсы > Сетевые устройства .
  2. На панели навигации «Сетевые устройства» слева нажмите  Сетевые устройства .
  3. Нажмите  Добавить или установите флажок рядом с устройством и нажмите  Изменить  , чтобы изменить его, или нажмите  Дублировать , чтобы создать дубликат записи. Вы также можете нажать Добавить новое устройство на значке действия на панели навигации «Сетевые устройства» или щелкнуть имя устройства в списке, чтобы изменить его.
  4. На правой панели введите Имя и IP-адрес .
  5. Установите флажок Настройки аутентификации и определите Общий секрет для аутентификации RADIUS. Это должно соответствовать Секрет  вводится для сервера RADIUS при настройке SSID в Dashboard.
  6. Нажмите  Отправить .

Включение наборов политик

Cisco ISE поддерживает наборы политик, что позволяет группировать наборы политик аутентификации и авторизации, в отличие от базовой модели политик аутентификации и авторизации, которая представляет собой простой список правил аутентификации и авторизации. Наборы политик позволяют логически определить варианты использования ИТ-бизнеса организации в группы политик или службы, такие как VPN и 802.1X. Это значительно упрощает настройку, развертывание и устранение неполадок.

  1. В Cisco ISE выберите Администрирование > Система > Развертывание > Настройки > Наборы политик .
  2. Щелкните политику  Default . Политика по умолчанию отображается справа.
  3. Нажмите значок плюса ( + ) вверху и выберите  Создать выше .
  4. Введите Имя , Описание и Условие для этой групповой политики.
  5. Определите  политику аутентификации .
  6. Нажмите  Отправить . После настройки набора политик Cisco ISE отключит всех администраторов. Войдите еще раз, чтобы получить доступ к порталу администрирования.

Настройка политики аутентификации 

  1. В Cisco ISE выберите меню  Действия  и нажмите  Вставить новое правило выше .
  2. Присвойте подправилу Имя (пример: Dot1X).
    Старт 3 радиус автоматика: Терминалы серии «Сириус» в новом конструктивном исполнении