Cet article explique comment activer l’authentification 802.1x sur les commutateurs Dell Networking Force10.
Objectifs
- Qu’est-ce que l’authentification 802.1x ?
- Informations importantes
- Activation de l’authentification 802.1x
- Configuration de la connexion de serveur RADIUS
- Vérification de la configuration
Qu’est-ce que l’authentification 802.1x ?
L’authentification 802.1x est une méthode de sécurité des ports. Un appareil connecté à un port avec l’authentification 802.1x activée n’est pas autorisé à envoyer ou recevoir des paquets sur le réseau tant que son identité n’a pas été vérifiée (avec un nom d’utilisateur et un mot de passe, par exemple). Cette fonctionnalité est la spécification IEEE.
L’authentification 802.1x utilise l’EAP (Extensible Authentication Protocol) pour transférer les informations d’identification d’un appareil vers un serveur d’authentification (généralement RADIUS) à l’aide d’un appareil d’accès réseau intermédiaire obligatoire, en l’occurrence un commutateur Dell Networking. L’appareil d’accès réseau permet de mettre en place toutes les communications entre l’appareil de l’utilisateur final et le serveur d’authentification afin que le réseau reste sécurisé. L’appareil d’accès réseau utilise l’EAP-over-Ethernet (EAPOL) pour communiquer avec l’appareil de l’utilisateur final et l’EAP-over-RADIUS pour communiquer avec le serveur.
Le système d’exploitation Dell Networking prend en charge l’authentification 802.1x avec EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 ainsi que MS-CHAPv2 avec PEAP.
Informations importantes
- Le système d’exploitation Dell Networking prend en charge l’authentification 802.1x avec EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 ainsi que MS-CHAPv2 avec PEAP.
- Toutes les plates-formes prennent uniquement RADIUS en charge comme serveur d’authentification.
- Si le serveur RADIUS principal ne répond pas, l’authentificateur commence à utiliser un serveur RADIUS secondaire, s’il est configuré.
- L’authentification 802.1X n’est pas prise en charge sur les canaux de port ou les membres de canaux de port.
Activation de l’authentification 802.1x
Commande |
Parameters (Paramètres) |
FTOS# configure |
Accéder au mode de configuration. |
FTOS(conf)# dot1x authentication |
Activer l’authentification dot1x globalement |
FTOS(conf)# interface range te 1/1 – 2 |
Saisir une plage de ports spécifique à configurer. |
FTOS(conf-if-te-1/1-2)# switchport |
Activer le mode Switchport de couche 2 sur l’interface. |
FTOS(conf-if-te-1/1-2)# dot1x authentication |
Activer l’authentification dot1x au niveau du port pour la plage spécifiée. |
Configuration de la connexion de serveur RADIUS
Commande |
Parameters (Paramètres) |
FTOS# configure |
Accéder au mode de configuration. |
FTOS(conf)#radius-server host 10.180.58.10 |
Définir l’adresse IP ou le nom d’hôte qui pointe vers l’emplacement du serveur RADIUS. |
FTOS(conf)#radius-server key {encryption-type} key |
Définir la clé du serveur RADIUS pour la liaison avec le serveur RADIUS. les options du type de chiffrement sont les suivantes : 0 Spécifier une clé NON CHIFFRÉE suivra 7 Spécifier une clé MASQUÉE suivra LINE Clé utilisateur NON CHIFFRÉE (texte clair) (max. 42 carac.) |
FTOS(conf)#dot1x auth-server radius |
Identifier le serveur d’authentification dot1x en tant que serveur RADIUS. |
Vérification de la configuration 802.1x
Les commandes suivantes affichent la configuration 802.1x sur le commutateur.
FTOS#show running-config | find dot1x
dot1x authentication
!
[output omitted]
!
interface TenGigabitEthernet 1/1
no ip address
dot1x authentication
no shutdown
FTOS#show dot1x interface TenGigabitEthernet 1/1
802.1x information on Te 1/1
:-----------------------------
Dot1x Status: Enable
Port Control: AUTO
Port Auth Status: UNAUTHORIZED
Re-Authentication: Disable
Untagged VLAN id: None
Guest VLAN: Disable
Guest VLAN id: NON
EAuth-Fail VLAN: Disable
Auth-Fail VLAN id: NONE
Auth-Fail Max-Attempts: NONE
Mac-Auth-Bypass: Disable
Mac-Auth-Bypass Only: Disable
Tx Period: 30 seconds
Quiet Period: 60 seconds
ReAuth Max: 2
Supplicant Timeout: 30 seconds
Server Timeout: 30 seconds
Re-Auth Interval: 3600 seconds
Max-EAP-Req: 2
Host Mode: SINGLE_HOST
Auth PAE State: Initialize
Backend State: Initialize
FTOS#show run | grep radius|dot1x
dot1x authentication
dot1x authentication
radius-server host 10.180.58.10 key 7 7bb92471cb453a73