Перейти к содержанию

Настройка dot1x (IEEE 802.1х). Параметры интерфейса

Описание и назначение функции и выполняемой настройки

IEEE 802.1X — механизм контроля доступа к сети на уровне порта, обеспечивающий аутентификацию устройств перед предоставлением доступа к сетевым ресурсам.

Основной сценарий использования:

  • контроль доступа пользователей в корпоративной сети;
  • изоляция неаутентифицированных устройств;
  • динамическое назначение VLAN через RADIUS.

Необходимые условия и предварительные требования

  • Включён глобальный механизм 802.1X
  • Настроены методы аутентификации и учёта.
  • Интерфейс работает в L2-режиме.

Основная информация о применяемых технологиях

IEEE 802.1X

IEEE 802.1X — стандарт управления доступом на канальном уровне, использующий модель:

  • Supplicant — клиентское устройство;
  • Authenticator — коммутатор;
  • Authentication Server — сервер аутентификации (обычно RADIUS).

Процесс:

  1. Клиент инициирует аутентификацию.
  2. Коммутатор передаёт данные на RADIUS-сервер.
  3. При успешной аутентификации порт переводится в разрешённое состояние.

AAA (Authentication, Authorization, Accounting)

AAA обеспечивает:

  • аутентификацию пользователя;
  • авторизацию параметров;
  • учёт действий пользователя.

В контексте 802.1X используется для централизованного управления доступом.

Guest VLAN

Guest VLAN — VLAN, в который помещаются устройства:

  • не прошедшие аутентификацию;
  • не поддерживающие 802.1X.

Назначение применяемой команды/конфигурации

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
SW3(config-10ge1/0/24)#dot1x ?
  aaa-accounting         AAA accounting method
  aaa-authentication     AAA authentication method
  authentication         The port that wishes to enforce authentication
  disable                Disable dot1x over this port
  enable                 Enable dot1x over this port
  guest                  Guest vlan
  link-mode              Work mode
  mac-delete-notify      Mac delete notify
  reauthenticate         Reauthenticate the Supplicant
  supplicant-support     Support supplicant
  unicast-trigger        unicast trigger
  vlan-assignment-mode   Vlan assignment mode
Основные параметры:

  • dot1x enable / disable
    Включение или отключение 802.1X на интерфейсе.

  • dot1x aaa-authentication <method>
    Задание метода аутентификации через AAA.

  • dot1x aaa-accounting <method>
    Задание метода учёта.

  • dot1x authentication
    Включение режима принудительной аутентификации на порту.

1
2
SW3(config-10ge1/0/24)#dot1x guest vlan ?
  <1-4094>   Vid

  • dot1x guest vlan <VLAN>
    Назначение VLAN для неаутентифицированных клиентов. 

    1
2
3
    SW3(config-10ge1/0/24)#dot1x mac-delete-notify ?
  disable   Disable
  enable    Enable

  • dot1x mac-delete-notify
    Уведомление при удалении MAC-адреса из таблицы. 

    1
2
3
4
    SW3(config-10ge1/0/24)#dot1x reauthenticate ?
  disable    Disable dot1x reauthenticate
  enable     Enable dot1x reauthenticate
  user-mac   Mac forward database

  • dot1x reauthenticate
    Управление повторной аутентификацией:

    • enable — периодическая переаутентификация;
    • user-mac — привязка к MAC. 
      1
2
3
      SW3(config-10ge1/0/24)#dot1x unicast-trigger ?
  disable   Disable
  enable    Enable

  • dot1x unicast-trigger
    Запуск аутентификации при появлении unicast-трафика. 

    1
2
3
    SW3(config-10ge1/1/0/24)#dot1x vlan-assignment-mode ?
  integer   Integer mode
  string    String mode

  • dot1x vlan-assignment-mode
    Режим назначения VLAN:

    • integer — VLAN задаётся числом;
    • string — VLAN задаётся строковым именем.

Пример конфигурации

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
dot1x start
dot1x interface aaa enable
dot1x default vlan-assignment-mode integer
!
aaa
 radius-server RAD ip-address 100.100.100.100 key $9$MvgT$99df9e3b63df1bd1
 server-group SW radius-server RAD
 aaa accounting dot1x local method ACC server-group SW
 aaa authentication dot1x local method AUTH
!
interface 10ge1/0/24
 dot1x enable
 dot1x reauthenticate enable
 dot1x guest vlan 10
 dot1x vlan-assignment-mode integer
 dot1x mac-delete-notify enable
 dot1x unicast-trigger enable
!

Изучение состояния устройства

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
SW3#sh dot1x interface 10gigaethernet 1/0/24
 dot1x enable
 dot1x authentication max-user :256
 dot1x reauthenticate :enable
 dot1x authentication quiet-period :60
 dot1x authentication reauthenticate-period :3600
 dot1x authentication tx-period :30
 dot1x authentication retry :2
 dot1x authentication client-timeout :30
 dot1x authentication max-request :2
 dot1x authentication logical-port :port-mac
 dot1x authentication auth-method :chap
 dot1x link-mode :passive
 dot1x guest vlan  :10
 dot1x supplicant-support :normal
 dot1x vlan-assignment-mode : integer
 dot1x mac-delete-notify : enable
 dot1x unicast-trigger : enable
Команда отображает:

  • состояние 802.1X на интерфейсе;
  • параметры аутентификации;
  • режим работы порта;
  • назначенные VLAN и дополнительные параметры.

История возникновения команды

Команды применимы для:

  • аппаратных платформ CIT серии L3200;
  • версий программного обеспечения v1.0.2 и выше.

Версия ПО

Функциональность является актуальной, начиная с версии ПО v1.0.2.

Ссылка на внешнюю документацию

Стандарт

  • RFC 3580 - IEEE 802.1X Remote Authentication Dial In User Service (RADIUS)