802.1X в Cisco
Материал из Xgu.ru
- Автор: Наташа Самойленко
На той странице описаны принципы работы, настройка и просмотр настроек аутентификации 802.1X на коммутаторах Cisco.
Начиная с версий IOS 12.2(50)SE и выше в Cisco существенно изменилась в лучшую сторону реализация 802.1X. На этой странице пока что описаны настройки для более старых версий IOS. |
[править] Базовая настройка 802.1X на коммутаторе Cisco
Для того чтобы выполнить базовую настройку коммутатора для работы по 802.1X необходимо:
- Настроить параметры RADIUS-сервера
- Включить AAA и настроить аутентификацию 802.1X на коммутаторе
- Включить аутентификацию 802.1X глобально на коммутаторе
- Настроить аутентификацию 802.1X на интерфейсах коммутатора
- (опционально) Полезным будет также указать интерфейс коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу
Пример базовой настройки 802.1X на портах 1-12 и настройка параметров RADIUS-сервера:
!Настройка RADIUS-сервера: radius-server host 192.168.1.3 radius-server key radiuskey !Указание интерфейса коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу: ip radius source-interface Loopback0 !Включение ААА: aaa new-model !Настройка аутентификации: aaa authentication dot1x default group radius !Включение аутентификации 802.1X на коммутаторе: dot1x system-auth-control !Включение 802.1X на интерфейсах: interface range FastEthernet0/1 - 12 dot1x port-control auto
[править] Настройка параметров RADIUS-сервера
Если используется аутентификация на RADIUS-сервере, то должны быть настроены адрес (или имя) сервера и пароль использующийся между сервером и аутентификатором:
Switch(config)# radius-server host [host name | IP address] auth-port [port] acct-port [port] Switch(config)# radius-server key [string]
По умолчанию на коммутаторах Cisco для аутентификации используется порт 1645.
[править] Настройка аутентификации 802.1X на коммутаторе
Включение ААА:
Switch(config)# aaa new-model
Для аутентификации при доступе к порту коммутатора, необходимо указать методы аутентификации:
Switch(config)# aaa authentication dot1x <default|listname> method1 [method2 ...]
Возможные методы:
- group <group-name|radius|tacacs+> — использовать сервер аутентификации.
- enable — использовать пароль привилегированного режима enable
- krb5 — использовать Kerberos 5 аутентификацию
- line — использовать пароль line
- local — использовать локальные имена и пароли
- none — не выполнять аутентификацию
Единственный метод, который действительно поддерживает 802.1X это group radius метод, в котором подлинность пользователя проверяется на RADIUS-сервере. Метод group tacacs+ не поддерживает аутентификацию 802.1X, а остальные методы (enable, line, local) аутентифицируют клиента по локальным данным коммутатора.
[править] Включение аутентификации 802.1X на коммутаторе
Включить аутентификацию 802.1X на коммутаторе:
Switch(config)# dot1x system-auth-control
[править] Настройка аутентификации 802.1X на интерфейсах
Каждый порт коммутатора, на котором должна выполняться аутентификация необходимо настроить следующим образом (порт коммутатора должен быть в режиме access):
Switch(config-if)# dot1x port-control <force-autorized|force-unauthorized|auto>
Опции означают:
- force-authorized — обязательно авторизовать клиента. Аутентификация не обязательна. Используется по умолчанию.
- force-unauthorized — не переводить порт в авторизованное состояние. Это означает, что трафик клиента через этот порт проходить не может
- auto — использовать 802.1X для перехода из неавторизованного в авторизованное состояние.
Не путайте аутентифицировать и авторизовать!!! Клиент может быть авторизованным для использования порта, но при этом даже не проходить аутентификацию!
К порту коммутатора, использующему 802.1X, обычно подключается один компьютер. Если к нему подключено несколько компьютеров, необходимо дать для этого порта команду:
Switch(config-if)# dot1x multi-hosts
[править] Настройка динамического размещения порта коммутатора в VLAN'е по результатам аутентификации
Поддержка протокола 802.1X позволяет коммутатору помещать порт в различные VLAN'ы в зависимости от результатов аутентификации клиента. Для этого необходимо:
- Настроить RADIUS-сервер таким образом чтобы он передавал информацию и о принадлежности пользователя к VLANу (передается VLAN ID или имя VLAN)
- Настроить пулы адресов на DHCP-сервере
- Настроить на коммутаторе авторизацию на RADIUS-сервере для присвоения номера VLAN'а
- Настроить на коммутаторе соответствующие VLAN'ы
Настройка на коммутаторе авторизации на RADIUS-сервере для присвоения номера VLAN'а:
Switch(config)# aaa authorization network default group radius
Коммутаторы Cisco поддерживают следующие виды VLAN'ов:
- Пользовательский VLAN — обычный VLAN созданный администратором
- Guest VLAN — VLAN в который помещаются клиенты не поддерживающие 802.1X. Коммутатор помещает клиента в guest VLAN когда клиент не отправляет пакеты EAPOL или не отвечает на EAPOL Запрос/Identity
- Restricted VLAN — в этот VLAN помещаются клиенты не прошедшие аутентификацию
Описание процедуры настройки VLAN'ов на коммутаторе Cisco можно прочитать на странице VLAN.
Настройка существующего VLAN'а в качестве guest VLAN'а на интерфейсе:
Switch(config-if)# dot1x guest-vlan {vlan-id}
Настройка существующего VLAN'а в качестве restricted VLAN'а на интерфейсе:
Switch(config-if)# dot1x auth-fail vlan {vlan-id}
[править] Настройка динамических ACL для авторизованных пользователей
[править] Проверка работы 802.1X и RADIUS
test aaa group <group-name | radius> username password new-code