Artikkelissa käsitellään 802.1x-todennuksen ottamista käyttöön Dell Networking Force10 -kytkimissä.
Tavoitteet
- Mikä on 802.1x?
- Tärkeää muistettavaa
- 802.1x-todennuksen käyttöönotto
- RADIUS-palvelinyhteyden määrittäminen
- Määritysten tarkistaminen
Mikä on 802.1x?
802.1X on tapa suojata portti. Porttiin yhdistetty laite, joka otetaan käyttöön 802.1X-todennuksella, ei voi lähettää eikä vastaanottaa paketteja verkossa, ennen kuin sen tunnistetiedot on voitu tarkistaa (esimerkiksi käyttäjätunnuksen ja salasana avulla). Ominaisuus on saanut nimensä IEEE-määrityksen perusteella.
802.1X siirtää laitteen tunnistetiedot EAP-protokollalla todennuspalvelimeen (joka on yleensä RADIUS). Tiedonsiirrossa käytetään pakollista välitysverkkolaitetta, joka on tässä tapauksessa Dell Networking -kytkin. Verkkolaite välittää kaiken laitteen ja todennuspalvelimen välisen tietoliikenteen, ja tällä tavoin voidaan varmistaa, että verkko pysyy suojattuna. Verkkolaite käyttää EAPOL (EAP-over-Ethernet) -protokollaa tiedonsiirtoon loppukäyttäjän laitteeseen ja EAP-over-RADIUS-protokollaa palvelimen kanssa tapahtuvaan tiedonsiirtoon.
Dell Networking -käyttöjärjestelmä tukee 802.1X-todennusta seuraavissa protokollissa: EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 ja MS-CHAPv2, jossa PEAP.
Tärkeää muistettavaa
- Dell Networking -käyttöjärjestelmä tukee 802.1X-todennusta seuraavissa protokollissa: EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 ja MS-CHAPv2, jossa PEAP.
- RADIUS on ainoa tuettu todennuspalvelin kaikissa ympäristöissä.
- Jos ensisijainen RADIUS-palvelin ei vastaa, todentaja aloittaa toissijaisen RADIUS-palvelimen käytön, jos sellainen on määritetty.
- 802.1X-todennusta ei tueta porttikanavissa eikä porttikanavan jäsenissä.
802.1x-todennuksen käyttöönotto
| Komento |
Parametrit |
| FTOS# configure |
Avaa määritystila. |
| FTOS(conf)# dot1x authentication |
Ota dot1x-todennus yleisesti käyttöön |
| FTOS(conf)# interface range te 1/1 – 2 |
Anna määritettävä porttialue |
| FTOS(conf-if-te-1/1-2)# switchport |
Ota tason 2 switchport-tila käyttöön käyttöliittymässä |
| FTOS(conf-if-te-1/1-2)# dot1x authentication |
Ota dot1x-todennus käyttöön määritetyn alueen porttitasolla |
RADIUS-palvelinyhteyden määrittäminen
| Komento |
Parametrit |
| FTOS# configure |
Avaa määritystila. |
| FTOS(conf)#radius-server host 10.180.58.10 |
Määritä RADIUS-palvelimen sijaintiin osoittava IP-osoite tai isäntänimi. |
| FTOS(conf)#radius-server key {encryption-type} key |
Määritä RADIUS-palvelimen kanssa kättelyssä käytettävä RADIUS-palvelinavain.
encryption-type-vaihtoehdot:
0 Määritä, että UNENCRYPTED-avain seuraa
7 Määritä, että HIDDEN-avain seuraa
LINE UNENCRYPTED (cleartext) -käyttäjäavain (enintään 42 merkkiä) |
| FTOS(conf)#dot1x auth-server radius |
Määritä dot1x-todennuspalvelin RADIUS-palvelimeksi. |
802.1x-määritysten tarkistaminen
Seuraavat komennot näyttävät kytkimessä määritetyn 802.1x-todennuksen.
FTOS#show running-config | find dot1x
dot1x authentication
!
[output omitted]
!
interface TenGigabitEthernet 1/1
no ip address
dot1x authentication
no shutdown
FTOS#show dot1x interface TenGigabitEthernet 1/1
802.1x information on Te 1/1
:-----------------------------
Dot1x Status: Enable
Port Control: AUTO
Port Auth Status: UNAUTHORIZED
Re-Authentication: Disable
Untagged VLAN id: None
Guest VLAN: Disable
Guest VLAN id: NON
EAuth-Fail VLAN: Disable
Auth-Fail VLAN id: NONE
Auth-Fail Max-Attempts: NONE
Mac-Auth-Bypass: Disable
Mac-Auth-Bypass Only: Disable
Tx Period: 30 seconds
Quiet Period: 60 seconds
ReAuth Max: 2
Supplicant Timeout: 30 seconds
Server Timeout: 30 seconds
Re-Auth Interval: 3600 seconds
Max-EAP-Req: 2
Host Mode: SINGLE_HOST
Auth PAE State: Initialize
Backend State: Initialize
FTOS#show run | grep radius|dot1x
dot1x authentication
dot1x authentication
radius-server host 10.180.58.10 key 7 7bb92471cb453a73