In dit artikel leest u hoe u 802.1x authenticatie kunt inschakelen op Dell Networking Force10 switches.
Doelstellingen
- Wat is 802.1x?
- Wat u moet doen
- 802.1x inschakelen
- RADIUS-serververbinding instellen
- Configuratie controleren
Wat is 802.1x?
802.1x is een poortbeveiligingsmethode. Een apparaat dat is aangesloten op een poort die voorzien is van 802.1x kan pas pakketten via het netwerk verzenden of ontvangen als de identiteit ervan is geverifieerd (bijvoorbeeld met een gebruikersnaam en wachtwoord). Deze functie is vernoemd naar de IEEE-specificatie.
802.1x maakt gebruik van het Extensible Authentication Protocol (EAP) om de aanmeldingsgegevens van een apparaat over te brengen naar een authenticatieserver (meestal RADIUS) via een verplicht intermediair netwerktoegangsapparaat, in dit geval een Dell Networking switch. Het netwerktoegangsapparaat verwerkt alle communicatie tussen het eindgebruikersapparaat en de authenticatieserver, zodat het netwerk veilig blijft. Het netwerktoegangsapparaat maakt gebruik van EAP-over-Ethernet (EAPOL) om te communiceren met het eindgebruikersapparaat en EAP-over-RADIUS om te communiceren met de server.
Het Dell Networking besturingssysteem (OS) ondersteunt 802.1x met EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 en MS-CHAPv2 met PEAP.
Belangrijke punten om te onthouden
- Dell networking OS ondersteunt 802.1x met EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 en MS-CHAPv2 met PEAP.
- Alle platforms ondersteunen alleen RADIUS als authenticatieserver.
- Als de primaire RADIUS-server niet meer reageert, gaat de authenticator een secundaire RADIUS-server gebruiken, als deze is geconfigureerd.
- 802.1x wordt niet ondersteund op poortkanalen of poortkanaalleden.
802.1x inschakelen
| Opdracht |
Parameters |
| FTOS# configure |
De configuratiemodus activeren. |
| FTOS(conf)# dot1x authentication |
Globally enable dot1x authentication |
| FTOS(conf)# interface range te 1/1 – 2 |
Voer een specifiek aantal poorten in dat moet worden geconfigureerd. |
| FTOS(conf-if-te-1/1-2)# switchport |
Schakel Layer 2 switchport-modus in op de interface. |
| FTOS(conf-if-te-1/1-2)# dot1x authentication |
Schakel dot1x-authenticatie in op poortniveau voor het opgegeven bereik. |
Maak de RADIUS-serververbinding
| Opdracht |
Parameters |
| FTOS# configure |
De configuratiemodus activeren. |
| FTOS(conf)#radius-server host 10.180.58.10 |
Stel het IP-adres of de hostnaam in dat/die verwijst naar de locatie van de RADIUS-server. |
| FTOS(conf)#radius-server key {encryption-type} key |
Stel de RADIUS-serversleutel in voor handshake met RADIUS-server.
encryptie-type opties zijn:
0 Specify an UNENCRYPTED key will follow
7 Specify a HIDDEN key will follow
LINE The UNENCRYPTED (cleartext) user key (max 42 chars) |
| FTOS(conf)#dot1x auth-server radius |
De dot1x-authenticatieserver identificeren als RADIUS-server. |
Controle van 802.1x-configuratie
In de volgende opdrachten wordt de 802.1x-configuratie op de switch getoond.
FTOS#show running-config | find dot1x
dot1x authentication
!
[output omitted]
!
interface TenGigabitEthernet 1/1
no ip address
dot1x authentication
no shutdown
FTOS#show dot1x interface TenGigabitEthernet 1/1
802.1x information on Te 1/1
:-----------------------------
Dot1x Status: Enable
Port Control: AUTO
Port Auth Status: UNAUTHORIZED
Re-Authentication: Disable
Untagged VLAN id: None
Guest VLAN: Disable
Guest VLAN id: NON
EAuth-Fail VLAN: Disable
Auth-Fail VLAN id: NONE
Auth-Fail Max-Attempts: NONE
Mac-Auth-Bypass: Disable
Mac-Auth-Bypass Only: Disable
Tx Period: 30 seconds
Quiet Period: 60 seconds
ReAuth Max: 2
Supplicant Timeout: 30 seconds
Server Timeout: 30 seconds
Re-Auth Interval: 3600 seconds
Max-EAP-Req: 2
Host Mode: SINGLE_HOST
Auth PAE State: Initialize
Backend State: Initialize
FTOS#show run | grep radius|dot1x
dot1x authentication
dot1x authentication
radius-server host 10.180.58.10 key 7 7bb92471cb453a73