Denne artikel beskriver, hvordan du aktiverer 802.1x-godkendelse på Dell Networking Force10-switche.
Målsætning
- Hvad er 802.1x?
- Vigtige ting at huske på
- Aktiver 802.1x
- Opsæt RADIUS-serverforbindelse
- Kontrollér konfiguration
Hvad er 802.1x?
802.1X er en metode til portsikkerhed. En enhed, der er tilsluttet en port, som er aktiveret med 802.1X, kan ikke sende eller modtage pakker på netværket, før dens identitet kan bekræftes (f.eks. via et brugernavn og en adgangskode). Denne funktion er navngivet efter sin IEEE-specifikation.
802.1X benytter EAP (Extensible Authentication Protocol) til at overføre en enheds legitimationsoplysninger til en godkendelsesserver (typisk RADIUS) ved hjælp af en obligatorisk mellemliggende enhed til netværksadgang, i dette tilfælde en Dell Networking-switch. Denne enhed til netværksadgang er mellemled for al kommunikation mellem slutbrugerenheden og godkendelsesservere, så netværket hele tiden er sikkert. Enheden til netværksadgang bruger EAP-over-Ethernet (EAPOL) til at kommunikere med slutbrugerenheden og EAP-over-RADIUS til at kommunikere med serveren.
Dells netværksoperativsystem (OS) understøtter 802.1X med EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 og MS-CHAPv2 med PEAP.
Vigtige ting at huske på
- Dells netværksoperativsystem understøtter 802.1X med EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 og MS-CHAPv2 med PEAP.
- Alle platforme understøtter kun RADIUS som godkendelsesserver.
- Hvis den primære RADIUS-server ikke reagerer, begynder godkenderen at bruge en sekundær RADIUS-server, hvis den er konfigureret.
- 802.1X understøttes ikke på portkanaler eller portkanalmedlemmer.
Aktiver 802.1x
| Kommando |
Parametre |
| FTOS# configure |
Gå til konfigurationstilstand. |
| FTOS(conf)# dot1x authentication |
Aktiver dot1x-dot1x authentication globalt |
| FTOS(conf)# interface range te 1/1 – 2 |
Angiv et bestemt interval af porte, der skal konfigureres. |
| FTOS(conf-if-te-1/1-2)# switchport |
Aktiver Layer 2-switchport-tilstand på grænsefladen. |
| FTOS(conf-if-te-1/1-2)# dot1x authentication |
Aktiver dot1x-dot1x authentication på portniveau for det specificerede interval. |
Konfigurer RADIUS-serverforbindelse
| Kommando |
Parametre |
| FTOS# configure |
Gå til konfigurationstilstand. |
| FTOS(conf)#radius-server host 10.180.58.10 |
Indstil IP-adresse eller værtsnavn, der peger mod RADIUS-serverens position. |
| FTOS(conf)#radius-server key {encryption-type} key |
Indstil RADIUS-servernøglen til håndtryk med RADIUS-server.
indstillinger for krypteringstype er:
0 Angiv en IKKE-KRYPTERET nøgle vil følge
7 Angiv en SKJULT nøgle vil følge
LINE Den IKKE-KRYPTEREDE (klartekst) brugernøgle (maks. 42 tegn) |
| FTOS(conf)#dot1x auth-server radius |
Identificer dot1x-dot1x authentication server som en RADIUS-server. |
Kontroller 802.1x-konfiguration
Følgende kommandoer viser 802.1x konfigureret på switchen.
FTOS#show running-config | find dot1x
dot1x-godkendelse
!
[output omitted]
!
interface TenGigabitEthernet 1/1
no ip address
dot1x dot1x authentication
no shutdown
FTOS#show dot1x interface TenGigabitEthernet 1/1
802.1x information på Te 1/1
:-----------------------------
Dot1x-status: aktivér
Port Control: AUTO
Port Auth Status: UNAUTHORIZED
Re-Authentication: Disable
Untagged VLAN id: None
Guest VLAN: Disable
Guest VLAN id: NON
EAuth-Fail VLAN: Disable
Auth-Fail VLAN id: NONE
Auth-Fail Max-Attempts: NONE
Mac-Auth-Bypass: Disable
Mac-Auth-Bypass Only: Disable
Tx Period: 30 seconds
Quiet Period: 60 seconds
ReAuth Max: 2
Supplicant Timeout: 30 seconds
Server Timeout: 30 seconds
Re-Auth Interval: 3600 seconds
Max-EAP-Req: 2
Host Mode: SINGLE_HOST
Auth PAE State: Start
Backend State: Start
FTOS#show run | grep radius|dot1x
dot1x authentication
dot1x authentication
radius-server host 10.180.58.10 key 7 7bb92471cb453a73