802.1X в ProCurve

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

На той странице описаны принципы работы, настройка и просмотр настроек аутентификации 802.1X на коммутаторах HP ProCurve. Некоторые общие настройки, которые относятся не только к 802.1X, но и другим методам аутентификации(Web- и MAC-) описаны на странице Аутентификация при доступе к сети. В том числе там описаны:

  • Настройка параметров RADIUS-сервера
  • Параметры и таймеры аутентификации
  • Правила динамического размещения порта коммутатора в VLAN'е по результатам аутентификации


Содержание

[править] Базовая настройка 802.1X на коммутаторе ProCurve

Для того чтобы выполнить базовую настройку коммутатора для работы по 802.1X необходимо:

  • Настроить параметры RADIUS-сервера
  • Настроить вид аутентификации 802.1X на коммутаторе
  • Настроить аутентификацию 802.1X на портах коммутатора
  • Включить аутентификацию 802.1X глобально на коммутаторе
  • (опционально) Полезным будет также указать интерфейс коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу

Пример базовой настройки 802.1X на портах 1-12 и настройка параметров RADIUS-сервера:

!Настройка RADIUS-сервера:
radius-server host 10.0.1.1 key procurve
aaa authentication port-access eap-radius

!Указание интерфейса коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу:
ip source-interface radius vlan 2 address 10.0.2.100

!Включение 802.1X на интерфейсах:
aaa port-access authenticator 1-12

!Включение аутентификацию 802.1X на коммутаторе: 
aaa port-access authenticator active

Далее на странице рассматриваются эти и другие команды, которые необходимы для более сложной настройки. Для тестовых целей достаточно выполнить базовую настройку. В реальном использовании, скорее всего, понадобятся дополнительные настройки описанные ниже.

[править] Настройка параметров RADIUS-сервера

Настройка RADIUS-сервера:

switch(config)# radius-server host 10.0.1.1 key procurve

Минимальная настройка, которую необходимо выполнить это указание адреса RADIUS-сервера. Задание ключа является обязательным только если он указан на RADIUS-сервере.

Указание интерфейса, IP-адрес которого будет использоваться как адрес отправителя в сообщениях коммутатора:

switch(config)# ip source-interface radius <loopback <id>|vlan <vlan-id> address <ip-address>>

Включаем Accounting, без них на радиус сервер не будет приходить START и апдейт пакеты

aaa accounting exec start-stop radius
aaa accounting network start-stop radius
aaa accounting system start-stop radius
aaa accounting update periodic 15

[править] Настройка аутентификации 802.1X

[править] Настройка аутентификации 802.1X на портах коммутатора

Включение 802.1X на интерфейсе:

switch(config)# aaa port-access authenticator <port-list>

[править] Увеличение максимального количества авторизованных клиентов на портах

Указание максимального количества авторизованных MAC-адресов на порту (по умолчанию 1):

switch(config)# aaa port-access authenticator client-limit <port-list> <1-32>

По умолчанию количество адресов — 1, а максимальное значение — 32. Если на коммутаторе на одном порту настроена аутентификация 802.1X и MAC- или Web-аутентификация, то это суммарное количество клиентов для обоих методов.

[править] Настройка режима контроля аутентификации на портах

Настройка режима контроля аутентификации на портах:

switch(config)# aaa port-access authenticator <port-list> control <authorized | auto | unauthorized>

Параметры команды:

  • authorized - обязательно авторизовать клиента. Аутентификация не обязательна. Используется также термин force-authorized;
  • unauthorized - не переводить порт в авторизованное состояние. Это означает, что трафик клиенту через этот порт проходить не может. Используется также термин force-unauthorized;
  • auto - использовать 802.1X дли перехода из неавторизованного в авторизованное состояние. Используется по умолчанию.

[править] Настройка вида аутентификации 802.1X на коммутаторе

Настройка вид аутентификации 802.1X на коммутаторе:

switch(config)# aaa authentication port-access <local | eap-radius | chap-radius>
  • local — Использовать локальную базу коммутатора
  • eap-radius — Использовать RADIUS-сервер в режиме EAP
  • chap-radius — Использовать RADIUS-сервер в режиме CHAP (MD5)

[править] Включение аутентификации 802.1X на коммутаторе

Включить аутентификацию 802.1X на коммутаторе:

switch(config)# aaa port-access authenticator active

[править] Административная реаутентификация клиентов

На указанных портах заблокировать входящий и исходящий трафик и перезапустить процесс аутентификации:

switch(config)# aaa port-access authenticator <port-list> initialize

Инициировать реаутентификацию клиентов на указанных портах (если аутентификатор не находится в состоянии “HELD”):

switch(config)# aaa port-access authenticator <port-list> reauthenticate

[править] Изменение параметров и таймеров аутентификации

Интервал времени, который порт ожидает для передачи следующего EAPOL PDU во время сессии аутентификации (по умолчанию 30 секунд):

switch(config)# aaa port-access authenticator <port-list> tx-period <0-65535>

[править] Управление аутентифицированной сессией

Интервал времени (logoff-period) после которого неактивная сессия обрывается (по умолчанию 300 секунд):

switch(config)# aaa port-access authenticator <port-list> logoff-period <60-9999999>

Интервал времени от момента прохождения аутентификации (reauth-period), по истечению которого клиент будет повторно аутентифицирован (по умолчанию 0 секунд):

switch(config)# aaa port-access authenticator <port-list> reauth-period <0-9999999>

Если установить этот интервал в 0, то реаутентификация будет отключена.

[править] Неуспешная аутентификация

Количество попыток (max-retries) для пользователя ввести правильно имя и пароль (по умолчанию 3):

switch(config)# aaa port-access web-based <port-list> max-retries <1-10>

Время которое коммутатор ждет (quiet-period) прежде чем отправит повторный запрос на аутентификацию клиенту, который её не прошел (по умолчанию 60 секунд):

switch(config)# aaa port-access authenticator <port-list> quiet-period <1-65535>

Интервал времени (supplicant-timeout) в течение которого коммутатор ждет ответ от supplicant на EAP-запрос. Если supplicant не отвечает по истечению интервала, то сессия time out (по умолчанию 30 секунд):

switch(config)# aaa port-access authenticator <port-list> supplicant-timeout <1-300>

Задержка в секундах (unauth-period) для перемещения порта в VLAN для неавторизованных клиентов. Эта задержка позволяет дать больше времени клиенту для инициации аутентификации. Если клиент не инициировал аутентификацию до истечения таймера, то порт попадает в VLAN для неавторизованных клиентов (по умолчанию 0 секунд):

switch(config)# aaa port-access authenticator <port-list> unauth-period <0-255>

[править] Недоступность RADIUS-сервера

Количество запросов (max-requests) на RADIUS-сервер, если он недоступен (по умолчанию 2):

switch(config)# aaa port-access authenticator <port-list> max-requests <1-10>

Интервал времени (server-timeout) в течении которого коммутатор ждет ответа от RADIUS-сервера (по умолчанию 30 секунд):

switch(config)# aaa port-access authenticator <port-list> server-timeout <1-300>

[править] Настройка динамического размещения порта коммутатора в VLAN'е по результатам аутентификации

При настройке коммутатора нужно настроить на нем все VLAN, которые используются для аутентификации клиентов.

Для того чтобы VLAN назначенный RADIUS-сервером был применен на интерфейсе, необходимо чтобы соответствующий VLAN был создан на коммутаторе.

Если аутентификация прошла, но VLAN'а, который динамически назначен с RADIUS-сервера, на коммутаторе нет, то в логах будет такое сообщение:

W 07/11/09 15:29:40 02400 dca: 8021X client, RADIUS-assigned VID validation
            error. MAC 001BFC7DBD0E port 5 VLAN-Id 0 or unknown.

Коммутатор назначает порт в VLAN по результатам успешной аутентификации (по приоритету в порядке убывания):

  • VLAN полученный от RADIUS-сервера;
  • Авторизованный VLAN настроенный на коммутаторе;
  • Статический VLAN заданный на этом порту.

Если на порту коммутатора находятся несколько клиентов, то

[править] VLAN для авторизованных пользователей

Задание авторизованного VLAN:

switch(config)# aaa port-access authenticator 10 auth-vid 20

[править] VLAN для неавторизованных пользователей

Задание VLAN для пользователей не прошедших аутентификацию:

switch(config)# aaa port-access authenticator 10 unauth-vid 30

В этот VLAN попадают пользователи не прошедшие аутентификацию и хосты без supplicant.

[править] Настройка динамического назначения ACL по результатам аутентификации

Для того чтобы на интерфейс после прохождения аутентификации был назначен ACL, на коммутаторе не требуется никаких дополнительных настроек.

[править] Настройка ACL на RADIUS-сервере

Пример настройки ACL на RADIUS-сервере описан на странице IAS.

Итоговая настройка атрибутов для IAS выглядит так:

IAS7.jpg

[править] Правила взаимодействия с другими ACL

[править] Просмотр информации о примененном ACL

sw(config)# sh port-access authenticator 5 clients detailed

 Port Access Authenticator Client Status Detailed

  Client Base Details :                     
   Port           : 5    
   Session Status : Open                    Session Time(sec) : 0       
   Frames In      : 0                       Frames Out        : 0       
   Username       : PCU01\mstudent          MAC Address       : 001bfc-7dbd0e
   IP             : n/a                                    

  Access Policy Details :                       
   COS Map        : 00000000                In Limit %        : 0          
   Untagged VLAN  : 99                      Out Limit %       : 0          
   Tagged VLANs   : No Tagged VLANs                                        
   RADIUS-ACL List : 
      permit in 1 from any to 10.1.99.1
      permit in 6 from any to any 80
      permit in 6 from any to 10.1.99.1 22
      permit in 17 from any to any 67
      deny in ip from any to any

ACL назначенные с RADIUS-сервера:

sw(config)# sh access-list radius 5

Radius-configured Port-based ACL for
Port 5, Client -- 001BFC7DBD0E

permit in 1 from any to 10.1.99.1
permit in 6 from any to any 80
permit in 6 from any to 10.1.99.1 22
permit in 17 from any to any 67
deny in ip from any to any

[править] Просмотр настроек

[править] Просмотр общей информации о настройках 802.1X на коммутаторе

sw(config)# sh port-access authenticator 

 Port Access Authenticator Status

  Port-access authenticator activated [No] : Yes
  Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No 

       Auth     Unauth   Untagged Tagged           % In        RADIUS Cntrl
  Port Clients  Clients  VLAN     VLANs  Port COS  Limit       ACL    Dir  
  ---- -------- -------- -------- ------ --------- ----------- ------ -----
  5    1        0        99       No     000000    0           No     both 
  6    0        0        0        No     No        No          No     both 
  7    0        0        0        No     No        No          No     both 
  8    0        0        0        No     No        No          No     both 
sw(config)# sh port-access authenticator config 

 Port Access Authenticator Configuration

  Port-access authenticator activated [No] : Yes
  Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No 

       | Re-auth Access   Max   Quiet   TX       Supplicant Server   Cntrl
  Port | Period  Control  Reqs  Period  Timeout  Timeout    Timeout  Dir  
  ---- + ------- -------- ----- ------- -------- ---------- -------- -----
  5    | No      Auto     2     60      30       30         30       both 
  6    | No      Auto     2     60      30       30         30       both 
  7    | No      Auto     2     60      30       30         30       both 
  8    | No      Auto     2     60      30       30         30       both 
sw(config)# sh port-access authenticator session-counters 

 Port Access Authenticator Session Counters

  Port-access authenticator activated [No] : Yes
  Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No 

                               Session     Session                             
  Port Frames In   Frames Out  Time(sec.)  Status      User                    
  ---- ----------- ----------- ----------- ----------- ------------------------
  5    242         159         0           in-progress PCU01\mstudent          
sw(config)# sh port-access authenticator statistics 

 Port Access Authenticator Statistics

  Port-access authenticator activated [No] : Yes
  Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No 

       Source        TX     TX     RX      RX      RX      RX      RX     
  Port MAC address   ReqId  Req    Start   Logoff  RespId  Resp    Errors 
  ---- ------------- ------ ------ ------- ------- ------- ------- -------
  5    001bfc-7dbd0e 17     20     10      0       12      20      0      
  6                  0      0      0       0       0       0       0      
  7                  0      0      0       0       0       0       0      
  8                  0      0      0       0       0       0       0      
sw(config)# sh port-access authenticator vlan 

 Port Access Authenticator VLAN Configuration

  Port-access authenticator activated [No] : Yes
  Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No 

       Access   Unauth   Auth    
  Port Control  VLAN ID  VLAN ID 
  ---- -------- -------- --------
  5    Auto     2        10      
  6    Auto     2        99      
  7    Auto     2        99      
  8    Auto     2        99      

[править] Просмотр информации об интерфейсе

sw(config)# sh port-access authenticator 5 clients 

 Port Access Authenticator Client Status

  Port  Client Name             MAC Address   IP Address    Session Status
  ----- ----------------------- ------------- ------------- --------------
  5     PCU01\mstudent          001bfc-7dbd0e n/a           Open          
sw(config)# sh port-access authenticator 5 clients detailed 

 Port Access Authenticator Client Status Detailed

  Client Base Details :                     
   Port           : 5    
   Session Status : Open                    Session Time(sec) : 0       
   Frames In      : 242                     Frames Out        : 159     
   Username       : PCU01\mstudent          MAC Address       : 001bfc-7dbd0e
   IP             : n/a                                    

  Access Policy Details :                       
   COS Map        : 00000000                In Limit %        : 0          
   Untagged VLAN  : 99                      Out Limit %       : 0          
   Tagged VLANs   : No Tagged VLANs                                        
   RADIUS-ACL List : No Radius ACL List 

[править] Просмотр статистики

Просмотр статистики:

switch# show port-access authenticator statistics

Обнуление счетчиков статистики:

switch(config)# aaa port-access authenticator <port-list> clear-statistics

[править] Проверка работы RADIUS-сервера

Настроенные RADIUS-сервера :

sw(config)# sh radius 

 Status and Counters - General RADIUS Information

  Deadtime(min) : 0           
  Timeout(secs) : 5           
  Retransmit Attempts : 3           
  Global Encryption Key :                                 
  Dynamic Authorization UDP Port : 3799        

                  Auth  Acct  DM/  Time                                    
  Server IP Addr  Port  Port  CoA  Window  Encryption Key                  
  --------------- ----- ----- ---- ------- --------------------------------
  10.1.10.10      1812  1813  No   300     procurve                        

Просмотр статистики об аутентификации:

sw(config)# sh radius authentication 

 Status and Counters - RADIUS Authentication Information

  NAS Identifier : sw                              
  Invalid Server Addresses : 0           

                  UDP                                                         
  Server IP Addr  Port  Timeouts   Requests   Challenges Accepts    Rejects   
  --------------- ----- ---------- ---------- ---------- ---------- ----------
  10.1.10.10      1812  41         32         20         2          0         


Просмотр статистики об учете (accounting):

sw(config)# sh radius accounting 

 Status and Counters - RADIUS Accounting Information

  NAS Identifier : sw                              
  Invalid Server Addresses : 0           

                  UDP                                   
  Server IP Addr  Port  Timeouts   Requests   Responses 
  --------------- ----- ---------- ---------- ----------
  10.1.10.10      1813  0          3          3         

Просмотр подробной статистики о конкретном RADIUS-сервере:

sw(config)# sh radius host 10.1.10.10

 Status and Counters - RADIUS Server Information


  Server IP Addr : 10.1.10.10     

  Authentication UDP Port : 1812         Accounting UDP Port  : 1813         
  Round Trip Time         : 1            Round Trip Time      : 0            
  Pending Requests        : 0            Pending Requests     : 0            
  Retransmissions         : 32           Retransmissions      : 0            
  Timeouts                : 41           Timeouts             : 0            
  Malformed Responses     : 0            Malformed Responses  : 0            
  Bad Authenticators      : 0            Bad Authenticators   : 0            
  Unknown Types           : 0            Unknown Types        : 0            
  Packets Dropped         : 3            Packets Dropped      : 0            
  Access Requests         : 32           Accounting Requests  : 3            
  Access Challenges       : 20           Accounting Responses : 3            
  Access Accepts          : 2            
  Access Rejects          : 0            

[править] Дополнительная информация