W tym artykule wyjaśniono, jak włączyć uwierzytelnianie za pomocą metody 802.1x na przełącznikach Dell Networking Force10.
Cele
- Co to jest 802.1x?
- Ważne rzeczy do zapamiętania
- Włączanie metody 802.1x
- Konfigurowanie połączenia z serwerem RADIUS
- Sprawdzanie konfiguracji
Co to jest 802.1x?
802.1x to metoda zabezpieczania portów. Urządzenie podłączone do portu, na którym włączona jest metoda 802.1x, nie może wysyłać ani odbierać pakietów w sieci do czasu jego zidentyfikowania (na przykład za pomocą nazwy użytkownika i hasła). Nazwa tej funkcji wywodzi się od jej danych technicznych IEEE.
W metodzie 802.1x wykorzystywany jest protokół EAP (Extensible Authentication Protocol) do transferu poświadczeń urządzenia do serwera uwierzytelniania (zwykle serwera RADIUS) przy użyciu obowiązkowego urządzenia pośredniczącego w dostępie do sieci, w tym przypadku przełącznika Dell Networking. Urządzenie dostępu do sieci pośredniczy w komunikacji między urządzeniem użytkownika końcowego a serwerem uwierzytelniania, tak aby sieć była bezpieczna. Urządzenie umożliwiające dostęp do sieci korzysta z protokołu EAP-over-Ethernet (EAPOL) do komunikowania się z urządzeniem użytkownika końcowego i protokołu EAP-over-RADIUS do komunikowania się z serwerem.
System operacyjny Dell Networking (OS) obsługuje standard 802.1x z protokołem EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 i MS-CHAPv2 z PEAP.
Ważne rzeczy do zapamiętania
- System operacyjny Dell Networking obsługuje standard 802.1x z protokołem EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 i MS-CHAPv2 z PEAP.
- Wszystkie platformy obsługują jako serwer uwierzytelniania tylko serwer RADIUS.
- Jeśli podstawowy serwer RADIUS przestanie odpowiadać, moduł uwierzytelniający zacznie korzystać z pomocniczego serwera RADIUS, jeśli taki został skonfigurowany.
- Standard 802.1x nie jest obsługiwany na kanałach portu ani elementach kanału portu.
Włączanie metody 802.1x
| Polecenie |
Parametry |
| FTOS# configure |
Uruchomienie trybu konfiguracji. |
| FTOS(conf)# dot1x authentication |
Globalne włączenie uwierzytelniania dot1x. |
| FTOS(conf)# interface range te 1/1 – 2 |
Wprowadzanie określonego zakresu portów do konfiguracji. |
| FTOS(conf-if-te-1/1-2)# switchport |
Włączanie w interfejsie trybu switchport warstwy 2. |
| FTOS(conf-if-te-1/1-2)# dot1x authentication |
Włączanie uwierzytelniania dot1x na poziomie portu określonego zakresu. |
Konfigurowanie połączenia z serwerem RADIUS
| Polecenie |
Parametry |
| FTOS# configure |
Uruchomienie trybu konfiguracji. |
| FTOS(conf)#radius-server host 10.180.58.10 |
Ustawianie adresu IP lub nazwy hosta, który/która wskazuje lokalizację serwera RADIUS. |
| FTOS(conf)#radius-server key {encryption-type} key |
Ustawianie klucza serwera RADIUS na potrzeby łączenia z serwerem RADIUS.
dostępne opcje szyfrowania:
0 — stosowany będzie NIEZASZYFROWANY klucz
7 — stosowany będzie UKRYTY klucz
WIERSZ NIEZASZYFROWANY (cleartext) — klucz użytkownika (maks. 42 znaki) |
| FTOS(conf)#dot1x auth-server radius |
Identyfikacja serwera uwierzytelniania dot1x jako serwera RADIUS. |
Sprawdzanie konfiguracji metody 802.1x
Poniższe polecenia służą do wyświetlania konfiguracji metody 802.1x na przełączniku.
FTOS#show running-config | find dot1x
dot1x authentication
!
[output omitted]
!
interface TenGigabitEthernet 1/1
no ip address
dot1x authentication
no shutdown
FTOS#show dot1x interface TenGigabitEthernet 1/1
Informacje o metodzie 802.1x na Te 1/1
:-----------------------------
Dot1x Status: Enable
Port Control: AUTO
Port Auth Status: UNAUTHORIZED
Re-Authentication: Disable
Untagged VLAN id: None
Guest VLAN: Disable
Guest VLAN id: NON
EAuth-Fail VLAN: Disable
Auth-Fail VLAN id: NONE
Auth-Fail Max-Attempts: NONE
Mac-Auth-Bypass: Disable
Mac-Auth-Bypass Only: Disable
Tx Period: 30 seconds
Quiet Period: 60 seconds
ReAuth Max: 2
Supplicant Timeout: 30 seconds
Server Timeout: 30 seconds
Re-Auth Interval: 3600 seconds
Max-EAP-Req: 2
Host Mode: SINGLE_HOST
Auth PAE State: Initialize
Backend State: Initialize
FTOS#show run | grep radius|dot1x
dot1x authentication
dot1x authentication
radius-server host 10.180.58.10 key 7 7bb92471cb453a73