Bu makalede Dell Networking Force10 anahtarlarda 802.1x kimlik doğrulamasının nasıl etkinleştirileceği açıklanmaktadır.
Hedefler
- 802.1x nedir?
- Unutmaması gereken noktalar
- 802.1x kimlik doğrulamasını etkinleştirme
- RADIUS sunucusu bağlantısını kurma
- Yapılandırma doğrulama
802.1x nedir?
802.1X, bir bağlantı noktası güvenliği yöntemidir. 802.1x özellikli bağlantı noktasına bağlı bir aygıtın, kimliği doğrulanıncaya kadar (örneğin, bir kullanıcı adı ve parola üzerinden) ağda paket göndermesine veya almasına izin verilmez. Bu özellik adını IEEE teknik özelliğinden alır.
802.1X, bir zorunlu aracı ağ erişimi aygıtı (bu örnekte, bir Dell Networking anahtarı) kullanarak bir aygıtın kimlik bilgilerini bir kimlik doğrulama sunucusuna (genellikle RADIUS) aktarmak için genişletilebilir kimlik doğrulama protokolünü (EAP) uygular. Ağ erişimi aygıtı, son kullanıcı aygıtı ile kimlik doğrulama sunucusu arasındaki tüm iletişime aracılık eder. Böylece ağ güvenli kalır. Ağ erişimi aygıtı, son kullanıcı aygıtı ile iletişim kurmak için Ethernet üzerinden EAP (EAPOL) ve sunucuyla iletişim kurmak için RADIUS üzerinden EAP yöntemini kullanır.
Dell Networking İşletim Sistemi (OS); EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 ile 802.1X'i ve PEAP ile MS-CHAPv2'yi destekler.
Unutmaması Gereken Noktalar
- Dell Networking OS; EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 ile 802.1X'i ve PEAP ile MS-CHAPv2'yi destekler.
- Tüm platformlar, kimlik doğrulama sunucusu olarak yalnızca RADIUS'u destekler.
- Birincil RADIUS sunucusu yanıt vermezse kimlik doğrulayıcı, yapılandırılmış olması halinde ikincil bir RADIUS sunucusunu kullanmaya başlar.
- 802.1X, bağlantı noktası kanallarında veya bağlantı noktası kanalı üyelerinde desteklenmez.
802.1x kimlik doğrulamasını etkinleştirme
| Komut |
Parametreler |
| FTOS# configure |
Yapılandırma modu girme. |
| FTOS(conf)# dot1x authentication |
dot1x kimlik doğrulamasını genel olarak etkinleştirin |
| FTOS(conf)# interface range te 1/1 – 2 |
Yapılandırılması için belirli bir bağlantı noktası aralığı girin. |
| FTOS(conf-if-te-1/1-2)# switchport |
Arayüzde Katman 2 switchport modunu etkinleştirin. |
| FTOS(conf-if-te-1/1-2)# dot1x authentication |
Belirtilen aralık için bağlantı noktası düzeyinde dot1x kimlik doğrulamasını etkinleştirin. |
RADIUS Sunucusu Bağlantısını Kurma
| Komut |
Parametreler |
| FTOS# configure |
Yapılandırma modu girme. |
| FTOS(conf)#radius-server host 10.180.58.10 |
RADIUS sunucu konumunu gösteren IP adresini veya ana bilgisayar adını ayarlayın. |
| FTOS(conf)#radius-server key {şifreleme-tipi} key |
RADIUS sunucusu ile el sıkışma için RADIUS sunucu anahtarını ayarlayın.
şifreleme tipi seçenekleri şunlardır:
0 Ardından ŞİFRELENMEMİŞ bir anahtarın geleceğini belirtir
7 Ardından GİZLİ bir anahtarın geleceğini belirtir
LINE ŞİFRELENMEMİŞ (şifresiz metin) kullanıcı anahtarı (maks. 42 karakter) |
| FTOS(conf)#dot1x auth-server radius |
dot1x kimlik doğrulama sunucusunu bir RADIUS sunucusu olarak tanımlayın. |
802.1x yapılandırmasını doğrulama
Aşağıdaki komutlar, anahtarda 802.1x'in yapılandırıldığını gösterir.
FTOS#show running-config | find dot1x (FTOS#çalışan yapılandırmayı göster | dot1x'i bul)
dot1x authentication (dot1x kimlik doğrulaması)
!
[output omitted] (çıkış atlandı)
!
interface TenGigabitEthernet 1/1 (arayüz OnGigabitEthernet 1/1)
no ip address
dot1x authentication (dot1x kimlik doğrulaması)
no shutdown (kapatma)
FTOS#show dot1x interface TenGigabitEthernet 1/1 (FTOS# OnGigabitEthernet 1/1 dot1x arayüzünü göster)
802.1x information on Te 1/1 (Te 1/1'deki 802.1x bilgisi)
:-----------------------------
Dot1x Status: Enable (Dot1x Durumu: Etkin)
Port Control: AUTO (Bağlantı Noktası Kontrolü: OTOMATİK)
Port Auth Status: UNAUTHORIZED (Bağlantı Noktası Durumu: YETKİSİZ)
Re-Authentication: Disable (Yeniden Kimlik Doğrulaması: Devre Dışı)
Untagged VLAN id: None (Etiketsiz VLAN Kimliği: Yok)
Guest VLAN: Disable (Konuk VLAN: Devre Dışı)
Guest VLAN id: NON (Konuk VLAN Kimliği: YOK)
EAuth-Fail VLAN: Disable (EAuth Hatası VLAN: Devre Dışı)
Auth-Fail VLAN id: NONE (Kimlik Doğrulaması Hatası VLAN Kimliği: YOK)
Auth-Fail Max-Attempts: NONE (Kimlik Doğrulaması Hatası Maks. Deneme Sayısı: YOK)
Mac-Auth-Bypass: Disable (Mac-Kimlik Doğrulaması-Atlama: Devre Dışı)
Mac-Auth-Bypass Only: Disable (Mac-Kimlik Doğrulaması-Yalnızca Atlama: Devre Dışı)
Tx Period: 30 seconds (Tx Süresi: 30 saniye)
Quiet Period: 60 seconds (Sessiz Süre: 60 saniye)
ReAuth Max: 2 (Maks. Yeniden Kimlik Doğrulama: 2)
Supplicant Timeout: 30 seconds (İzin İsteyen Zaman Aşımı: 30 saniye)
Server Timeout: 30 seconds (Sunucu Zaman Aşımı: 30 saniye)
Re-Auth Interval: 3600 seconds (Yeniden Kimlik Doğrulama Aralığı: 3600 saniye)
Max-EAP-Req: 2 (Maks-EAP-İsteği: 2)
Host Mode: SINGLE_HOST (Ana Bilgisayar Modu: TEK_ANA_BİLGİSAYAR)
Auth PAE State: Initialize (Kimlik Doğrulaması PAE Durumu: Başlat)
Backend State: Initialize (Arka Uç Durumu: Başlat)
FTOS#show run | grep radius|dot1x (FTOS#çalışmayı göster | grep radius | dot1x)
dot1x authentication (dot1x kimlik doğrulaması)
dot1x authentication (dot1x kimlik doğrulaması)
radius-server host 10.180.58.10 key 7 7bb92471cb453a73 (radius sunucu ana bilgisayarı 10.180.58.10 anahtar 7 7bb92471cb453a73)