dot1x
Механизм dot1x (IEEE 802.1X) предназначен для контроля доступа к сети на уровне порта коммутатора с использованием аутентификации пользователей или устройств. Данный механизм реализует модель сетевого доступа, при которой устройство (клиент) должно пройти процедуру аутентификации перед получением доступа к сети передачи данных.
Функциональность используется для:
- Ограничения несанкционированного доступа;
- Централизованной аутентификации пользователей;
- Динамического управления доступом в сеть;
Необходимые условия и предварительные требования
Перед настройкой dot1x должны быть выполнены следующие условия:
- Настройка сервера аутентификации (RADIUS);
- Доступность сервера аутентификации по сети;
- Наличие учетных записей пользователей на сервере аутентификации;
- Клиентские устройства должны поддерживать протокол 802.1X.
Ограничения при настройке IEEE 802.1X
Note
Когда включена аутентификация по стандарту IEEE 802.1X, проверка аутентификации выполняется до включения любых других функций.
Назначение применяемой команды/конфигурации
Команды в режиме глобальной конфигурации
| dot1x authentication timer inactivity
dot1x authentication timer re-authenticate
dot1x feature { guest-vlan | radius-qos | radius-vlan } [ guest-vlan | radius-qos | radius-vlan ]
dot1x guest-vlan { <1-4094> | supplicant }
dot1x max-reauth-req <1-10>
dot1x re-authentication
dot1x system-auth-control
dot1x timeout { quiet-period <10-1000000> | tx-period <1-65535> }
no dot1x authentication timer inactivity
no dot1x authentication timer re-authenticate
no dot1x feature { guest-vlan | radius-qos | radius-vlan } [ guest-vlan | radius-qos | radius-vlan ]
no dot1x guest-vlan [supplicant]
no dot1x max-reauth-req
no dot1x re-authentication
no dot1x system-auth-control
no dot1x timeout { quiet-period | tx-period }
|
Команды в режиме настройки интерфейса
| dot1x guest-vlan
dot1x port-control { auto | force-authorized | force-unauthorized | mac-based | multi | single }
dot1x radius-qos
dot1x radius-vlan
dot1x re-authenticate
|
Команды отображения информации
| show dot1x statistics all [interface]
show dot1x statistics eapol [interface]
show dot1x statistics radius [interface]
show dot1x status brief [interface]
show dot1x status [interface { * | GigabitEthernet | 25GigabitEthernet }]
|
Команды очистки
| clear dot1x statistics [interface { * | GigabitEthernet | 25GigabitEthernet }]
|
Пример конфигурирования
Шаги конфигурирования
Шаг 1.
Включение 802.1x на коммутаторе.
| # configure terminal
(config)# dot1x system-auth-control
|
Шаг 2.
Включени функции radius vlan для автоматического назначения клиенту vlan после успешной аутентификации.
| (config)# dot1x feature radius-vlan
|
Шаг 3.
Установка интервала реаутентификации.
| (config)# dot1x authentication timer re-authenticate 3600
|
Шаг 4.
Настройка RADUIS сервера.
| (config)# radius-server host 192.168.1.107 auth-port 1812 acct-port 1813 key testing123
(config)# radius-server timeout 5
(config)# radius-server retransmit 3
|
Шаг 5.
Создание VLAN для аутентифицированных клиентов.
| (config)# vlan 10
(config-vlan)# name Client_VLAN
|
Шаг 6.
Настройка интерфейса GigabitEhernet 1/1.
| (config)# interface GigabitEthernet 1/1
(config-if)# description "Windows Client 802.1X"
(config-if)# switchport mode access
|
Шаг 7.
Включение на интерфейсе dot1x
| (config-if)# dot1x port-control auto
|
Шаг 7.
Включение на интерфейсе radius vlan
| (config-if)# dot1x radius-vlan
|
Полный вывод выполненных конфигураций
| configure terminal
!
dot1x system-auth-control
dot1x feature radius-vlan
dot1x authentication timer re-authenticate 3600
radius-server host 192.168.1.107 auth-port 1812 acct-port 1813 key testing123
radius-server timeout 5
radius-server retransmit 3
!
vlan 10
name Client_VLAN
!
interface GigabitEthernet 1/1
description "Windows Client 802.1X"
switchport mode access
no spanning-tree
dot1x port-control auto
dot1x radius-vlan
|
Изучение состояния устройства
Просмотр конфигурации
| # show dot1x status interface GigabitEthernet 1/1 brief
Interface Admin Port State Last Src Last ID QOS VLAN Guest
---------- ----- --------------- ----------------- ----------------- --- ---- -----
Gi 1/1 Port Auth 84-ba-59-5c-8d-03 testuser - 10 -
|