802.1X в Cisco

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

На той странице описаны принципы работы, настройка и просмотр настроек аутентификации 802.1X на коммутаторах Cisco.

Icon-caution.gif

Начиная с версий IOS 12.2(50)SE и выше в Cisco существенно изменилась в лучшую сторону реализация 802.1X. На этой странице пока что описаны настройки для более старых версий IOS.

Содержание

[править] Базовая настройка 802.1X на коммутаторе Cisco

Для того чтобы выполнить базовую настройку коммутатора для работы по 802.1X необходимо:

  • Настроить параметры RADIUS-сервера
  • Включить AAA и настроить аутентификацию 802.1X на коммутаторе
  • Включить аутентификацию 802.1X глобально на коммутаторе
  • Настроить аутентификацию 802.1X на интерфейсах коммутатора
  • (опционально) Полезным будет также указать интерфейс коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу

Пример базовой настройки 802.1X на портах 1-12 и настройка параметров RADIUS-сервера:

!Настройка RADIUS-сервера:
radius-server host 192.168.1.3
radius-server key radiuskey

!Указание интерфейса коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу:
ip radius source-interface Loopback0

!Включение ААА:
aaa new-model

!Настройка аутентификации:
aaa authentication dot1x default group radius

!Включение аутентификации 802.1X на коммутаторе: 
dot1x system-auth-control

!Включение 802.1X на интерфейсах:
interface range FastEthernet0/1 - 12
 dot1x port-control auto

[править] Настройка параметров RADIUS-сервера

Если используется аутентификация на RADIUS-сервере, то должны быть настроены адрес (или имя) сервера и пароль использующийся между сервером и аутентификатором:

Switch(config)# radius-server host [host name | IP address] auth-port [port] acct-port [port]
Switch(config)# radius-server key [string]

По умолчанию на коммутаторах Cisco для аутентификации используется порт 1645.

[править] Настройка аутентификации 802.1X на коммутаторе

Включение ААА:

Switch(config)# aaa new-model

Для аутентификации при доступе к порту коммутатора, необходимо указать методы аутентификации:

Switch(config)# aaa authentication dot1x <default|listname> method1 [method2 ...]

Возможные методы:

  • group <group-name|radius|tacacs+> — использовать сервер аутентификации.
  • enable — использовать пароль привилегированного режима enable
  • krb5 — использовать Kerberos 5 аутентификацию
  • line — использовать пароль line
  • local — использовать локальные имена и пароли
  • none — не выполнять аутентификацию

Единственный метод, который действительно поддерживает 802.1X это group radius метод, в котором подлинность пользователя проверяется на RADIUS-сервере. Метод group tacacs+ не поддерживает аутентификацию 802.1X, а остальные методы (enable, line, local) аутентифицируют клиента по локальным данным коммутатора.

[править] Включение аутентификации 802.1X на коммутаторе

Включить аутентификацию 802.1X на коммутаторе:

Switch(config)# dot1x system-auth-control

[править] Настройка аутентификации 802.1X на интерфейсах

Каждый порт коммутатора, на котором должна выполняться аутентификация необходимо настроить следующим образом (порт коммутатора должен быть в режиме access):

Switch(config-if)# dot1x port-control <force-autorized|force-unauthorized|auto>

Опции означают:

  • force-authorized — обязательно авторизовать клиента. Аутентификация не обязательна. Используется по умолчанию.
  • force-unauthorized — не переводить порт в авторизованное состояние. Это означает, что трафик клиента через этот порт проходить не может
  • auto — использовать 802.1X для перехода из неавторизованного в авторизованное состояние.

Не путайте аутентифицировать и авторизовать!!! Клиент может быть авторизованным для использования порта, но при этом даже не проходить аутентификацию!

К порту коммутатора, использующему 802.1X, обычно подключается один компьютер. Если к нему подключено несколько компьютеров, необходимо дать для этого порта команду:

Switch(config-if)# dot1x multi-hosts

[править] Настройка динамического размещения порта коммутатора в VLAN'е по результатам аутентификации

Поддержка протокола 802.1X позволяет коммутатору помещать порт в различные VLAN'ы в зависимости от результатов аутентификации клиента. Для этого необходимо:

  1. Настроить RADIUS-сервер таким образом чтобы он передавал информацию и о принадлежности пользователя к VLANу (передается VLAN ID или имя VLAN)
  2. Настроить пулы адресов на DHCP-сервере
  3. Настроить на коммутаторе авторизацию на RADIUS-сервере для присвоения номера VLAN'а
  4. Настроить на коммутаторе соответствующие VLAN'ы

Настройка на коммутаторе авторизации на RADIUS-сервере для присвоения номера VLAN'а:

Switch(config)# aaa authorization network default group radius

Коммутаторы Cisco поддерживают следующие виды VLAN'ов:

  • Пользовательский VLAN — обычный VLAN созданный администратором
  • Guest VLAN — VLAN в который помещаются клиенты не поддерживающие 802.1X. Коммутатор помещает клиента в guest VLAN когда клиент не отправляет пакеты EAPOL или не отвечает на EAPOL Запрос/Identity
  • Restricted VLAN — в этот VLAN помещаются клиенты не прошедшие аутентификацию

Описание процедуры настройки VLAN'ов на коммутаторе Cisco можно прочитать на странице VLAN.

Настройка существующего VLAN'а в качестве guest VLAN'а на интерфейсе:

Switch(config-if)# dot1x guest-vlan {vlan-id}

Настройка существующего VLAN'а в качестве restricted VLAN'а на интерфейсе:

Switch(config-if)# dot1x auth-fail vlan {vlan-id}

[править] Настройка динамических ACL для авторизованных пользователей

[править] Проверка работы 802.1X и RADIUS

test aaa group <group-name | radius> username password new-code 

[править] Дополнительная информация