Перейти к содержанию

Настройка dot1x (IEEE 802.1х). AAA

Описание и назначение функции и выполняемой настройки

Механизм dot1x (IEEE 802.1X) предназначен для контроля доступа к сети на уровне порта коммутатора с использованием аутентификации пользователей или устройств. Данный механизм реализует модель сетевого доступа, при которой устройство (клиент) должно пройти процедуру аутентификации перед получением доступа к сети передачи данных.

Функциональность используется для:

  • ограничения несанкционированного доступа;
  • централизованной аутентификации пользователей;
  • динамического управления доступом в сеть;
  • учета действий пользователей.

Необходимые условия и предварительные требования

Перед настройкой dot1x должны быть выполнены следующие условия:

  • наличие AAA-подсистемы на устройстве;
  • настройка сервера аутентификации (RADIUS);
  • доступность сервера аутентификации по сети;
  • наличие учетных записей пользователей на сервере аутентификации;
  • клиентские устройства должны поддерживать протокол 802.1X (supplicant).

При отсутствии внешнего сервера возможна локальная аутентификация.

Основная информация о применяемых технологиях

Модель 802.1X

Технология IEEE 802.1X реализует механизм контроля доступа на основе трех компонентов:

  • Supplicant — клиентское устройство, инициирующее аутентификацию;
  • Authenticator — сетевое устройство (коммутатор), контролирующее доступ;
  • Authentication Server — сервер аутентификации (например, RADIUS).

Процесс работы включает:

  1. Подключение клиента к порту.
  2. Блокировку трафика до прохождения аутентификации.
  3. Обмен EAP-сообщениями между клиентом и сервером через коммутатор.
  4. Разрешение или запрет доступа в сеть.

AAA (Authentication, Authorization, Accounting)

Подсистема AAA используется для:

  • Authentication — проверка учетных данных пользователя;
  • Authorization — определение прав доступа;
  • Accounting — учет действий пользователя.

В рамках dot1x AAA определяет:

  • метод аутентификации;
  • источник проверки (локальный или сервер);
  • параметры учета.

Протокол EAP и взаимодействие с RADIUS

Аутентификация выполняется с использованием протокола EAP (Extensible Authentication Protocol), который инкапсулируется:

  • в EAPOL (EAP over LAN) — между клиентом и коммутатором;
  • в RADIUS — между коммутатором и сервером.

Коммутатор выполняет роль посредника, передавая сообщения между клиентом и сервером.

Назначение применяемой команды/конфигурации

Глобальное управление механизмом dot1x: 

1
2
3
4
5
SW3(config)#dot1x ?
  default     Default method
  interface   interface
  start       Start dot1x
  stop        Stop dot1x

  • start — глобальное включение механизма 802.1X;
  • stop — отключение механизма;
  • default — настройка параметров по умолчанию;
  • interface — управление режимом работы интерфейсов.

Настройка параметров по умолчанию: 

1
2
3
4
5
SW3(config)#dot1x default ?
  aaa-accounting         AAA protocol accounting method
  aaa-authentication     AAA protocol authentication method
  supplicant-support     Support supplicant
  vlan-assignment-mode   Vlan assignment mode

  • aaa-authentication — метод аутентификации по умолчанию;
  • aaa-accounting — метод учета;
  • supplicant-support — поддержка клиентского режима;
  • vlan-assignment-mode — режим назначения VLAN после аутентификации.

Настройка AAA: 

1
2
3
4
5
6
7
8
SW3(config)#aaa
SW3(config-aaa)#
SW3(config-aaa)#aaa accounting dot1x ?
  local    Enable local
  method   Method list
SW3(config-aaa)#aaa authentication dot1x ?
  local    Enable local
  method   Method list

  • authentication — определяет метод проверки пользователя;
  • accounting — включает учет действий;
  • local — использование локальной базы;
  • method — использование списка методов.

Настройка группы серверов:

1
2
3
SW3(config-aaa)#server-group SW ?
  radius-server   Radius-server
  tacacs-server   Tacacs-server
  • объединяет серверы в логическую группу для использования в AAA.

Настройка dot1x на интерфейсе:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
SW3(config)#interface 10gigaethernet 1/0/24
SW3(config-10ge1/0/24)#dot1x ?
  aaa-accounting         AAA accounting method
  aaa-authentication     AAA authentication method
  authentication         The port that wishes to enforce authentication
  disable                Disable dot1x over this port
  enable                 Enable dot1x over this port
  guest                  Guest vlan
  link-mode              Work mode
  mac-delete-notify      Mac delete notify
  reauthenticate         Reauthenticate the Supplicant
  supplicant-support     Support supplicant
  unicast-trigger        unicast trigger
  vlan-assignment-mode   Vlan assignment mode

Основные параметры:

  • enable / disable — включение или отключение dot1x на порту;
  • aaa-authentication / aaa-accounting — привязка методов AAA;
  • guest — VLAN для неаутентифицированных пользователей;
  • reauthenticate — повторная аутентификация;
  • link-mode — режим работы порта;
  • supplicant-support — поддержка клиента на порту.

Настройка параметров аутентификации: 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
SW3(config-10ge1/0/24)#dot1x authentication ?
  auth-method             authentication method
  client-timeout          Supplicant timeout
  logical-port            The role that the authentication create usrlogicport
  max-request             Max-request
  max-user                Maximum user number per port
  quiet-period            Quiet timeout
  reauthenticate-period   Reauthenticate timeout
  retry                   Retry Req/Ide
  server-timeout          Server timeout
  tx-period               Txwhen timeout

  • max-user — ограничение количества пользователей на порт;
  • client-timeout — таймаут ожидания клиента;
  • server-timeout — таймаут ответа сервера;
  • retry / max-request — параметры повторных запросов;
  • reauthenticate-period — период повторной аутентификации;
  • auth-method — используемый метод аутентификации.

Пример конфигурации

Глобальное включение dot1x:

1
2
SW3(config)#dot1x start
SW3(config)#dot1x interface aaa enable

Настройка AAA и RADIUS: 

1
2
3
4
SW3(config-aaa)#radius-server RAD ip-address 100.100.100.100 key 1
SW3(config-aaa)#server-group SW radius-server RAD
SW3(config-aaa)#aaa accounting dot1x local method ACC server-group SW
SW3(config-aaa)#aaa authentication dot1x local method AUTH

Настройка интерфейса:

1
2
3
4
SW3(config)#interface 10gigaethernet 1/0/24
SW3(config-10ge1/0/24)#dot1x enable
SW3(config-10ge1/0/24)#dot1x aaa-authentication AUTH
SW3(config-10ge1/0/24)# dot1x aaa-accounting ACC

Изучение состояния устройства

Изучение параметров dot1x для интерфейса 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
SW3#show dot1x interface 10gigaethernet 1/0/24
 dot1x enable
 dot1x authentication max-user :1
 dot1x reauthenticate :disable
 dot1x authentication quiet-period :60
 dot1x authentication reauthenticate-period :3600
 dot1x authentication tx-period :30
 dot1x authentication retry :2
 dot1x authentication client-timeout :30
 dot1x authentication max-request :2
 dot1x authentication logical-port :port-mac
 dot1x authentication auth-method :chap
 dot1x link-mode :passive
 dot1x aaa-authentication  :AUTH
 dot1x aaa-accounting :ACC
 dot1x guest vlan  :0
 dot1x supplicant-support :normal
 dot1x vlan-assignment-mode : string
 dot1x mac-delete-notify : disable
 dot1x unicast-trigger : disable
Просмотр пакетной статистики dot1x 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
SW3#show dot1x statistic
 10ge1/0/24 dot1x statistic information:
 In Protocol Version Number :1
 Last EAPOL packet source :0000:0000:0000
 EAPOL Packets statistic:
 Out  Packets   :0     In  Packets    :0
  Out      EAPOL Request/Identity Packets     :0
           EAPOL Request/Challenge Packets    :0
           EAPOL Success Packets              :0
           EAPOL Failure Packets              :0
  In       EAPOL Start Packets                :0
           EAPOL LogOff Packets               :0
           EAPOL Response/Identity Packets    :0
           EAPOL Response/Challenge Packets   :0
           EAPOL Invalid Packets              :0
           EAPOL Length Error Packets         :0

Просмотр конфигурации 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
SW3#show dot1x config
Version                         :DOT1X_VB3.00.00.02
!
dot1x start
dot1x interface aaa enable

 interface 10ge1/0/24
 dot1x enable
 dot1x aaa-authentication AUTH
 dot1x aaa-accounting ACC

Полная конфигурация

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
SW3#show running-config
!
aaa
 radius-server RAD ip-address 100.100.100.100 key $9$74KV$008285a056d997f2
 server-group SW radius-server RAD
 aaa accounting dot1x local method ACC server-group SW
 aaa authentication dot1x local method AUTH
!
dot1x start
dot1x interface aaa enable
!
interface 10gigaethernet 1/0/24
 dot1x enable
 dot1x aaa-authentication AUTH
 dot1x aaa-accounting ACC
!

История возникновения команды

Команды применимы для:

  • аппаратных платформ CIT серии L3200;
  • версий программного обеспечения v1.0.2 и выше.

Версия ПО

Функциональность является актуальной, начиная с версии ПО v1.0.2.

Ссылка на внешнюю документацию

Стандарт

RFC 3580 — IEEE 802.1X Remote Authentication Dial In User Service (RADIUS)