Questo articolo spiega come abilitare l'autenticazione 802.1x sugli switch Dell Networking Force10.
Obiettivi
- Cos'è 802.1x?
- Cose importanti da ricordare
- Abilitare 802.1x
- Configurare la connessione al server RADIUS
- Verificare la configurazione
Cos'è 802.1x?
802.1X è un metodo di protezione delle porte. Per inviare o ricevere pacchetti sulla rete da un dispositivo connesso a una porta abilitata con 802.1X, è necessario verificarne prima l'identità (ad esempio tramite nome utente e password). Questa funzione è denominata per la specifica IEEE.
802.1X utilizza il protocollo EAP (Extensible Authentication Protocol) per trasferire le credenziali di un dispositivo a un server di autenticazione (generalmente RADIUS) utilizzando un dispositivo di accesso alla rete intermedio obbligatorio, in questo caso uno switch Dell Networking. Il dispositivo di accesso alla rete media tutte le comunicazioni tra il dispositivo dell'utente finale e il server di autenticazione in modo che la rete sia protetta. Il dispositivo di accesso alla rete utilizza EAP-over-Ethernet (EAPOL) per comunicare con il dispositivo dell'utente finale e EAP-over-RADIUS per comunicare con il server.
Il sistema operativo Dell Networking supporta 802.1X con EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 e MS-CHAPv2 con PEAP.
Cose importanti da ricordare
- Il sistema operativo Dell Networking supporta 802.1X con EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 e MS-CHAPv2 con PEAP.
- Tutte le piattaforme supportano solo RADIUS come server di autenticazione.
- Se il server RADIUS primario non risponde, l'autenticatore inizia a utilizzare un server RADIUS secondario, se configurato.
- 802.1X non è supportato sui port-channel né sui relativi membri.
Abilitare 802.1x
| Comando |
Parametri |
| FTOS# configure |
Accedere alla modalità di configurazione. |
| FTOS(conf)# dot1x authentication |
Abilitare l'autenticazione dot1x a livello globale |
| FTOS(conf)# interface range te 1/1 – 2 |
Inserire un intervallo specifico di porte da configurare. |
| FTOS(conf-if-te-1/1-2)# switchport |
Abilitare la modalità switchport Layer 2 sull'interfaccia. |
| FTOS(conf-if-te-1/1-2)# dot1x authentication |
Abilitare l'autenticazione dot1x a livello delle porte per l'intervallo specificato. |
Configurare la connessione al server RADIUS
| Comando |
Parametri |
| FTOS# configure |
Accedere alla modalità di configurazione. |
| FTOS(conf)#radius-server host 10.180.58.10 |
Impostare l'indirizzo IP o il nome host che punta alla posizione del server RADIUS. |
| FTOS(conf)#radius-server key {encryption-type} key |
Impostare la chiave del server RADIUS per procedere all'handshake con il server RADIUS.
Le opzioni encryption-type sono:
0 Specify an UNENCRYPTED key will follow
7 Specify a HIDDEN key will follow
LINE The UNENCRYPTED (cleartext) user key (max 42 chars) |
| FTOS(conf)#dot1x auth-server radius |
Identificare il server di autenticazione dot1x come server RADIUS. |
Verificare la configurazione 802.1x
I comandi seguenti visualizzeranno lo standard 802.1x configurato sullo switch.
FTOS#show running-config | find dot1x
dot1x authentication
!
[output omitted]
!
interface TenGigabitEthernet 1/1
no ip address
dot1x authentication
no shutdown
FTOS#show dot1x interface TenGigabitEthernet 1/1
802.1x information on Te 1/1
:-----------------------------
Dot1x Status: Enable
Port Control: AUTO
Port Auth Status: UNAUTHORIZED
Re-Authentication: Disable
Untagged VLAN id: None
Guest VLAN: Disable
Guest VLAN id: NON
EAuth-Fail VLAN: Disable
Auth-Fail VLAN id: NONE
Auth-Fail Max-Attempts: NONE
Mac-Auth-Bypass: Disable
Mac-Auth-Bypass Only: Disable
Tx Period: 30 seconds
Quiet Period: 60 seconds
ReAuth Max: 2
Supplicant Timeout: 30 seconds
Server Timeout: 30 seconds
Re-Auth Interval: 3600 seconds
Max-EAP-Req: 2
Host Mode: SINGLE_HOST
Auth PAE State: Initialize
Backend State: Initialize
FTOS#show run | grep radius|dot1x
dot1x authentication
dot1x authentication
radius-server host 10.180.58.10 key 7 7bb92471cb453a73