Tento článek popisuje, jak na přepínačích Dell Networking Force10 povolit ověřování protokolu 802.1x.
Cíle
- Co je protokol 802.1x?
- Co je důležité si zapamatovat
- Povolení protokolu 802.1x
- Nastavení připojení serveru RADIUS
- Ověření konfigurace
Co je protokol 802.1x?
Protokol 802.1x je metoda zabezpečení portů. Zařízení připojené k portu, který je povolen pomocí standardu 802.1x, nesmí v síti odesílat nebo přijímat pakety, dokud nebude ověřena jeho identita (například prostřednictvím uživatelského jména a hesla). Tato funkce je pojmenována podle specifikace IEEE.
Protokol 802.1x využívá protokol EAP (Extensible Authentication Protocol) k přenosu přihlašovacích údajů zařízení na ověřovací server (obvykle RADIUS) pomocí povinného zprostředkujícího zařízení pro přístup k síti, v tomto případě přepínače Dell Networking. Zařízení pro přístup k síti zprostředkovává veškerou komunikaci mezi zařízením koncového uživatele a ověřovacím serverem, aby síť zůstala zabezpečená. Zařízení pro přístup k síti používá protokol EAPOL (EAP-over-Ethernet) ke komunikaci se zařízením koncového uživatele a protokol EAP-over-RADIUS ke komunikaci se serverem.
Operační systém Dell Networking podporuje protokoly 802.1x s EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 a MS-CHAPv2 s PEAP.
Co je důležité si zapamatovat
- Operační systém Dell Networking podporuje protokoly 802.1x s EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 a MS-CHAPv2 s PEAP.
- Všechny platformy jako ověřovací server podporují pouze RADIUS.
- Pokud primární server RADIUS přestane reagovat, ověřovatel začne používat sekundární server RADIUS, je-li nakonfigurován.
- Protokol 802.1x není podporován na kanálech portu nebo u členů kanálu portu.
Povolení protokolu 802.1x
| Příkaz |
Parametry |
| FTOS# configure |
Konfigurační režim. |
| FTOS(conf)# dot1x authentication |
Globální povolení ověřování dot1x. |
| FTOS(conf)# interface range te 1/1 – 2 |
Zadání specifického rozsahu portů, které mají být konfigurovány. |
| FTOS(conf-if-te-1/1-2)# switchport |
Povolení režimu switchport vrstvy 2 v rozhraní. |
| FTOS(conf-if-te-1/1-2)# dot1x authentication |
Povolení ověřování dot1x na úrovni portu pro daný rozsah. |
Nastavení připojení serveru RADIUS
| Příkaz |
Parametry |
| FTOS# configure |
Konfigurační režim. |
| FTOS(conf)#radius-server host 10.180.58.10 |
Nastavení adresy IP nebo názvu hostitele, který odkazuje na umístění serveru RADIUS. |
| FTOS(conf)#radius-server key {typ-šifrování} key |
Nastavení klíče serveru RADIUS pro handshake se serverem RADIUS.
Možnosti typu šifrování jsou následující:
0 Bude následovat NEZAŠIFROVANÝ klíč
7 Bude následovat SKRYTÝ klíč
LINE NEZAŠIFROVANÝ (prostý text) klíč uživatele (max. 42 znaků) |
| FTOS(conf)#dot1x auth-server radius |
Identifikace ověřovacího serveru dot1x jako serveru RADIUS. |
Ověření konfigurace 802.1x
Následující příkazy zobrazí konfiguraci 802.1x na přepínači.
FTOS#show running-config | find dot1x
dot1x authentication
!
[output omitted]
!
interface TenGigabitEthernet 1/1
no ip address
dot1x authentication
no shutdown
FTOS#show dot1x interface TenGigabitEthernet 1/1
802.1x information on Te 1/1
:-----------------------------
Dot1x Status: Enable
Port Control: AUTO
Port Auth Status: UNAUTHORIZED
Re-Authentication: Disable
Untagged VLAN id: None
Guest VLAN: Disable
Guest VLAN id: NON
EAuth-Fail VLAN: Disable
Auth-Fail VLAN id: NONE
Auth-Fail Max-Attempts: NONE
Mac-Auth-Bypass: Disable
Mac-Auth-Bypass Only: Disable
Tx Period: 30 s
Quiet Period: 60 s
ReAuth Max: 2
Supplicant Timeout: 30 s
Server Timeout: 30 s
Re-Auth Interval: 3600 s
Max-EAP-Req: 2
Host Mode: SINGLE_HOST
Auth PAE State: Initialize
Backend State: Initialize
FTOS#show run | grep radius|dot1x
dot1x authentication
dot1x authentication
radius-server host 10.180.58.10 key 7 7bb92471cb453a73