802.1X в ProCurve
Материал из Xgu.ru
- Автор: Наташа Самойленко
На той странице описаны принципы работы, настройка и просмотр настроек аутентификации 802.1X на коммутаторах HP ProCurve. Некоторые общие настройки, которые относятся не только к 802.1X, но и другим методам аутентификации(Web- и MAC-) описаны на странице Аутентификация при доступе к сети. В том числе там описаны:
- Настройка параметров RADIUS-сервера
- Параметры и таймеры аутентификации
- Правила динамического размещения порта коммутатора в VLAN'е по результатам аутентификации
[править] Базовая настройка 802.1X на коммутаторе ProCurve
Для того чтобы выполнить базовую настройку коммутатора для работы по 802.1X необходимо:
- Настроить параметры RADIUS-сервера
- Настроить вид аутентификации 802.1X на коммутаторе
- Настроить аутентификацию 802.1X на портах коммутатора
- Включить аутентификацию 802.1X глобально на коммутаторе
- (опционально) Полезным будет также указать интерфейс коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу
Пример базовой настройки 802.1X на портах 1-12 и настройка параметров RADIUS-сервера:
!Настройка RADIUS-сервера: radius-server host 10.0.1.1 key procurve aaa authentication port-access eap-radius !Указание интерфейса коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу: ip source-interface radius vlan 2 address 10.0.2.100 !Включение 802.1X на интерфейсах: aaa port-access authenticator 1-12 !Включение аутентификацию 802.1X на коммутаторе: aaa port-access authenticator active
Далее на странице рассматриваются эти и другие команды, которые необходимы для более сложной настройки. Для тестовых целей достаточно выполнить базовую настройку. В реальном использовании, скорее всего, понадобятся дополнительные настройки описанные ниже.
[править] Настройка параметров RADIUS-сервера
Настройка RADIUS-сервера:
switch(config)# radius-server host 10.0.1.1 key procurve
Минимальная настройка, которую необходимо выполнить это указание адреса RADIUS-сервера. Задание ключа является обязательным только если он указан на RADIUS-сервере.
Указание интерфейса, IP-адрес которого будет использоваться как адрес отправителя в сообщениях коммутатора:
switch(config)# ip source-interface radius <loopback <id>|vlan <vlan-id> address <ip-address>>
Включаем Accounting, без них на радиус сервер не будет приходить START и апдейт пакеты
aaa accounting exec start-stop radius aaa accounting network start-stop radius aaa accounting system start-stop radius aaa accounting update periodic 15
[править] Настройка аутентификации 802.1X
[править] Настройка аутентификации 802.1X на портах коммутатора
Включение 802.1X на интерфейсе:
switch(config)# aaa port-access authenticator <port-list>
[править] Увеличение максимального количества авторизованных клиентов на портах
Указание максимального количества авторизованных MAC-адресов на порту (по умолчанию 1):
switch(config)# aaa port-access authenticator client-limit <port-list> <1-32>
По умолчанию количество адресов — 1, а максимальное значение — 32. Если на коммутаторе на одном порту настроена аутентификация 802.1X и MAC- или Web-аутентификация, то это суммарное количество клиентов для обоих методов.
[править] Настройка режима контроля аутентификации на портах
Настройка режима контроля аутентификации на портах:
switch(config)# aaa port-access authenticator <port-list> control <authorized | auto | unauthorized>
Параметры команды:
- authorized - обязательно авторизовать клиента. Аутентификация не обязательна. Используется также термин force-authorized;
- unauthorized - не переводить порт в авторизованное состояние. Это означает, что трафик клиенту через этот порт проходить не может. Используется также термин force-unauthorized;
- auto - использовать 802.1X дли перехода из неавторизованного в авторизованное состояние. Используется по умолчанию.
[править] Настройка вида аутентификации 802.1X на коммутаторе
Настройка вид аутентификации 802.1X на коммутаторе:
switch(config)# aaa authentication port-access <local | eap-radius | chap-radius>
- local — Использовать локальную базу коммутатора
- eap-radius — Использовать RADIUS-сервер в режиме EAP
- chap-radius — Использовать RADIUS-сервер в режиме CHAP (MD5)
[править] Включение аутентификации 802.1X на коммутаторе
Включить аутентификацию 802.1X на коммутаторе:
switch(config)# aaa port-access authenticator active
[править] Административная реаутентификация клиентов
На указанных портах заблокировать входящий и исходящий трафик и перезапустить процесс аутентификации:
switch(config)# aaa port-access authenticator <port-list> initialize
Инициировать реаутентификацию клиентов на указанных портах (если аутентификатор не находится в состоянии “HELD”):
switch(config)# aaa port-access authenticator <port-list> reauthenticate
[править] Изменение параметров и таймеров аутентификации
Интервал времени, который порт ожидает для передачи следующего EAPOL PDU во время сессии аутентификации (по умолчанию 30 секунд):
switch(config)# aaa port-access authenticator <port-list> tx-period <0-65535>
[править] Управление аутентифицированной сессией
Интервал времени (logoff-period) после которого неактивная сессия обрывается (по умолчанию 300 секунд):
switch(config)# aaa port-access authenticator <port-list> logoff-period <60-9999999>
Интервал времени от момента прохождения аутентификации (reauth-period), по истечению которого клиент будет повторно аутентифицирован (по умолчанию 0 секунд):
switch(config)# aaa port-access authenticator <port-list> reauth-period <0-9999999>
Если установить этот интервал в 0, то реаутентификация будет отключена.
[править] Неуспешная аутентификация
Количество попыток (max-retries) для пользователя ввести правильно имя и пароль (по умолчанию 3):
switch(config)# aaa port-access web-based <port-list> max-retries <1-10>
Время которое коммутатор ждет (quiet-period) прежде чем отправит повторный запрос на аутентификацию клиенту, который её не прошел (по умолчанию 60 секунд):
switch(config)# aaa port-access authenticator <port-list> quiet-period <1-65535>
Интервал времени (supplicant-timeout) в течение которого коммутатор ждет ответ от supplicant на EAP-запрос. Если supplicant не отвечает по истечению интервала, то сессия time out (по умолчанию 30 секунд):
switch(config)# aaa port-access authenticator <port-list> supplicant-timeout <1-300>
Задержка в секундах (unauth-period) для перемещения порта в VLAN для неавторизованных клиентов. Эта задержка позволяет дать больше времени клиенту для инициации аутентификации. Если клиент не инициировал аутентификацию до истечения таймера, то порт попадает в VLAN для неавторизованных клиентов (по умолчанию 0 секунд):
switch(config)# aaa port-access authenticator <port-list> unauth-period <0-255>
[править] Недоступность RADIUS-сервера
Количество запросов (max-requests) на RADIUS-сервер, если он недоступен (по умолчанию 2):
switch(config)# aaa port-access authenticator <port-list> max-requests <1-10>
Интервал времени (server-timeout) в течении которого коммутатор ждет ответа от RADIUS-сервера (по умолчанию 30 секунд):
switch(config)# aaa port-access authenticator <port-list> server-timeout <1-300>
[править] Настройка динамического размещения порта коммутатора в VLAN'е по результатам аутентификации
При настройке коммутатора нужно настроить на нем все VLAN, которые используются для аутентификации клиентов.
Для того чтобы VLAN назначенный RADIUS-сервером был применен на интерфейсе, необходимо чтобы соответствующий VLAN был создан на коммутаторе.
Если аутентификация прошла, но VLAN'а, который динамически назначен с RADIUS-сервера, на коммутаторе нет, то в логах будет такое сообщение:
W 07/11/09 15:29:40 02400 dca: 8021X client, RADIUS-assigned VID validation
error. MAC 001BFC7DBD0E port 5 VLAN-Id 0 or unknown.
Коммутатор назначает порт в VLAN по результатам успешной аутентификации (по приоритету в порядке убывания):
- VLAN полученный от RADIUS-сервера;
- Авторизованный VLAN настроенный на коммутаторе;
- Статический VLAN заданный на этом порту.
Если на порту коммутатора находятся несколько клиентов, то
[править] VLAN для авторизованных пользователей
Задание авторизованного VLAN:
switch(config)# aaa port-access authenticator 10 auth-vid 20
[править] VLAN для неавторизованных пользователей
Задание VLAN для пользователей не прошедших аутентификацию:
switch(config)# aaa port-access authenticator 10 unauth-vid 30
В этот VLAN попадают пользователи не прошедшие аутентификацию и хосты без supplicant.
[править] Настройка динамического назначения ACL по результатам аутентификации
Для того чтобы на интерфейс после прохождения аутентификации был назначен ACL, на коммутаторе не требуется никаких дополнительных настроек.
[править] Настройка ACL на RADIUS-сервере
Пример настройки ACL на RADIUS-сервере описан на странице IAS.
Итоговая настройка атрибутов для IAS выглядит так:
[править] Правила взаимодействия с другими ACL
[править] Просмотр информации о примененном ACL
sw(config)# sh port-access authenticator 5 clients detailed
Port Access Authenticator Client Status Detailed
Client Base Details :
Port : 5
Session Status : Open Session Time(sec) : 0
Frames In : 0 Frames Out : 0
Username : PCU01\mstudent MAC Address : 001bfc-7dbd0e
IP : n/a
Access Policy Details :
COS Map : 00000000 In Limit % : 0
Untagged VLAN : 99 Out Limit % : 0
Tagged VLANs : No Tagged VLANs
RADIUS-ACL List :
permit in 1 from any to 10.1.99.1
permit in 6 from any to any 80
permit in 6 from any to 10.1.99.1 22
permit in 17 from any to any 67
deny in ip from any to any
ACL назначенные с RADIUS-сервера:
sw(config)# sh access-list radius 5 Radius-configured Port-based ACL for Port 5, Client -- 001BFC7DBD0E permit in 1 from any to 10.1.99.1 permit in 6 from any to any 80 permit in 6 from any to 10.1.99.1 22 permit in 17 from any to any 67 deny in ip from any to any
[править] Просмотр настроек
[править] Просмотр общей информации о настройках 802.1X на коммутаторе
sw(config)# sh port-access authenticator
Port Access Authenticator Status
Port-access authenticator activated [No] : Yes
Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No
Auth Unauth Untagged Tagged % In RADIUS Cntrl
Port Clients Clients VLAN VLANs Port COS Limit ACL Dir
---- -------- -------- -------- ------ --------- ----------- ------ -----
5 1 0 99 No 000000 0 No both
6 0 0 0 No No No No both
7 0 0 0 No No No No both
8 0 0 0 No No No No both
sw(config)# sh port-access authenticator config
Port Access Authenticator Configuration
Port-access authenticator activated [No] : Yes
Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No
| Re-auth Access Max Quiet TX Supplicant Server Cntrl
Port | Period Control Reqs Period Timeout Timeout Timeout Dir
---- + ------- -------- ----- ------- -------- ---------- -------- -----
5 | No Auto 2 60 30 30 30 both
6 | No Auto 2 60 30 30 30 both
7 | No Auto 2 60 30 30 30 both
8 | No Auto 2 60 30 30 30 both
sw(config)# sh port-access authenticator session-counters
Port Access Authenticator Session Counters
Port-access authenticator activated [No] : Yes
Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No
Session Session
Port Frames In Frames Out Time(sec.) Status User
---- ----------- ----------- ----------- ----------- ------------------------
5 242 159 0 in-progress PCU01\mstudent
sw(config)# sh port-access authenticator statistics
Port Access Authenticator Statistics
Port-access authenticator activated [No] : Yes
Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No
Source TX TX RX RX RX RX RX
Port MAC address ReqId Req Start Logoff RespId Resp Errors
---- ------------- ------ ------ ------- ------- ------- ------- -------
5 001bfc-7dbd0e 17 20 10 0 12 20 0
6 0 0 0 0 0 0 0
7 0 0 0 0 0 0 0
8 0 0 0 0 0 0 0
sw(config)# sh port-access authenticator vlan
Port Access Authenticator VLAN Configuration
Port-access authenticator activated [No] : Yes
Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : No
Access Unauth Auth
Port Control VLAN ID VLAN ID
---- -------- -------- --------
5 Auto 2 10
6 Auto 2 99
7 Auto 2 99
8 Auto 2 99
[править] Просмотр информации об интерфейсе
sw(config)# sh port-access authenticator 5 clients Port Access Authenticator Client Status Port Client Name MAC Address IP Address Session Status ----- ----------------------- ------------- ------------- -------------- 5 PCU01\mstudent 001bfc-7dbd0e n/a Open
sw(config)# sh port-access authenticator 5 clients detailed Port Access Authenticator Client Status Detailed Client Base Details : Port : 5 Session Status : Open Session Time(sec) : 0 Frames In : 242 Frames Out : 159 Username : PCU01\mstudent MAC Address : 001bfc-7dbd0e IP : n/a Access Policy Details : COS Map : 00000000 In Limit % : 0 Untagged VLAN : 99 Out Limit % : 0 Tagged VLANs : No Tagged VLANs RADIUS-ACL List : No Radius ACL List
[править] Просмотр статистики
Просмотр статистики:
switch# show port-access authenticator statistics
Обнуление счетчиков статистики:
switch(config)# aaa port-access authenticator <port-list> clear-statistics
[править] Проверка работы RADIUS-сервера
Настроенные RADIUS-сервера :
sw(config)# sh radius
Status and Counters - General RADIUS Information
Deadtime(min) : 0
Timeout(secs) : 5
Retransmit Attempts : 3
Global Encryption Key :
Dynamic Authorization UDP Port : 3799
Auth Acct DM/ Time
Server IP Addr Port Port CoA Window Encryption Key
--------------- ----- ----- ---- ------- --------------------------------
10.1.10.10 1812 1813 No 300 procurve
Просмотр статистики об аутентификации:
sw(config)# sh radius authentication
Status and Counters - RADIUS Authentication Information
NAS Identifier : sw
Invalid Server Addresses : 0
UDP
Server IP Addr Port Timeouts Requests Challenges Accepts Rejects
--------------- ----- ---------- ---------- ---------- ---------- ----------
10.1.10.10 1812 41 32 20 2 0
Просмотр статистики об учете (accounting):
sw(config)# sh radius accounting
Status and Counters - RADIUS Accounting Information
NAS Identifier : sw
Invalid Server Addresses : 0
UDP
Server IP Addr Port Timeouts Requests Responses
--------------- ----- ---------- ---------- ----------
10.1.10.10 1813 0 3 3
Просмотр подробной статистики о конкретном RADIUS-сервере:
sw(config)# sh radius host 10.1.10.10 Status and Counters - RADIUS Server Information Server IP Addr : 10.1.10.10 Authentication UDP Port : 1812 Accounting UDP Port : 1813 Round Trip Time : 1 Round Trip Time : 0 Pending Requests : 0 Pending Requests : 0 Retransmissions : 32 Retransmissions : 0 Timeouts : 41 Timeouts : 0 Malformed Responses : 0 Malformed Responses : 0 Bad Authenticators : 0 Bad Authenticators : 0 Unknown Types : 0 Unknown Types : 0 Packets Dropped : 3 Packets Dropped : 0 Access Requests : 32 Accounting Requests : 3 Access Challenges : 20 Accounting Responses : 3 Access Accepts : 2 Access Rejects : 0
[править] Дополнительная информация
| ProCurve | ||
|---|---|---|
| Основы | ProCurve Adaptive Edge | ProCurve ProActive Defense | ProCurve Network Access Control | ProCurve Wireless |  |
| Программы | ProCurve Manager | ProCurve Identity Driven Manager | ProCurve Network Immunity Manager | ProCurve Mobility Manager | |
| Устройства | ProCurve Switch | ProCurve Router | ProCurve ONE Module | ProCurve TMS Module | ProCurve NAC 800 | ProCurve Access Point | ProCurve WESM | |
| Настройка | ||
| Безопасность | ProCurve Security | Доступ к коммутатору ProCurve | DHCP snooping | Dynamic ARP Protection | IP Source Guard | Port security | Аутентификация при доступе к сети | 802.1X в ProCurve | Web-аутентификация в ProCurve | MAC-аутентификация в ProCurve | |
| Канальный уровень | CDP | LLDP | VLAN в ProCurve | GVRP | STP в ProCurve | ProCurve Mesh | Агрегирование каналов | Зеркалирование трафика | QinQ | |
| Сетевой уровень | RIP в ProCurve | OSPF в ProCurve | VRRP в ProCurve | XRRP в ProCurve | QoS в ProCurve | Multicast в ProCurve | PIM в ProCurve | |
| Разное | Опция 82 DHCP | SNMP в ProCurve | |
