В этой статье описывается, как включить аутентификацию 802.1x на коммутаторах Dell Networking Force10.
Задачи
- Что такое 802.1x?
- Важные факторы
- Активация службы 802.1x
- Настройка подключения сервера RADIUS
- Проверка конфигурации
Что такое 802.1x?
802.1X — это способ обеспечения безопасности портов. Устройство, подключенное к порту с поддержкой 802.1X, не может отправлять и получать пакеты в сети до тех пор, пока его идентификационные данные не будут проверены (например, с помощью имени пользователя и пароля). Эта функция называется в соответствии со спецификацией IEEE.
802.1X использует протокол EAP (Extensible Authentication Protocol) для передачи учетных данных устройства на сервер аутентификации (обычно RADIUS) с помощью обязательного промежуточного устройства сетевого доступа, в данном случае - коммутатора Dell Networking. Устройство сетевого доступа служит для обмена данными между устройством конечного пользователя и сервером аутентификации, обеспечивая безопасность сети. Устройство сетевого доступа использует протокол EAP-over-Ethernet (EAPOL) для связи с устройством конечного пользователя и EAP-over-RADIUS для связи с сервером.
Операционная система Dell Networking Operating System (OS) поддерживает 802.1X с протоколами EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 и MS-CHAPv2 с протоколом PEAP.
Важные моменты
- Dell Networking OS поддерживает 802.1X с EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 и MS-CHAPv2 с PEAP.
- Все платформы поддерживают только RADIUS в качестве сервера аутентификации.
- Если основной RADIUS-сервер не отвечает, аутентификатор начинает использовать дополнительный RADIUS-сервер (если он настроен).
- 802.1X не поддерживается на агрегированных каналах и их участниках.
Активация службы 802.1x
| Команда |
Параметры |
| FTOS# configure |
Вход в режим конфигурирования. |
| FTOS(conf)# dot1x authentication |
Глобальное включение аутентификации dot1x |
| FTOS(conf)# interface range te 1/1 – 2 |
Ввод определенного диапазона портов для настройки. |
| FTOS(conf-if-te-1/1-2)# switchport |
Включение режима порта коммутатора уровня 2 на интерфейсе. |
| FTOS(conf-if-te-1/1-2)# dot1x authentication |
Включение аутентификации dot1x на уровне порта для указанного диапазона. |
Настройка подключения сервера RADIUS
| Команда |
Параметры |
| FTOS# configure |
Вход в режим конфигурирования. |
| FTOS(conf)#radius-server host 10.180.58.10 |
Задайте IP-адрес или имя хоста, указывающие на расположение сервера RADIUS. |
| FTOS(conf)#radius-server key {encryption-type} key |
Задайте ключ сервера RADIUS для установления связи с сервером RADIUS.
Варианты типа шифрования (encryption-type):
0 Затем укажите НЕЗАШИФРОВАННЫЙ ключ.
7 Затем укажите СКРЫТЫЙ ключ.
LINE НЕЗАШИФРОВАННЫЙ (открытый) пользовательский ключ (не более 42 знаков) |
| FTOS(conf)#dot1x auth-server radius |
Определение сервера аутентификации dot1x как сервера RADIUS. |
Проверка конфигурации 802.1x
Следующие команды показывают, что 802.1x настроен на коммутаторе.
FTOS#show running-config | find dot1x
dot1x authentication
!
[вывод пропущен]
!
interface TenGigabitEthernet 1/1
no ip address
dot1x authentication
no shutdown
FTOS#show dot1x interface TenGigabitEthernet 1/1
802.1x information on Te 1/1
:-----------------------------
Dot1x Status: Enable
Port Control: AUTO
Port Auth Status: UNAUTHORIZED
Re-Authentication: Disable
Untagged VLAN id: None
Guest VLAN: Disable
Guest VLAN id: NON
EAuth-Fail VLAN: Disable
Auth-Fail VLAN id: NONE
Auth-Fail Max-Attempts: NONE
Mac-Auth-Bypass: Disable
Mac-Auth-Bypass Only: Disable
Tx Period: 30 seconds
Quiet Period: 60 seconds
ReAuth Max: 2
Supplicant Timeout: 30 seconds
Server Timeout: 30 seconds
Re-Auth Interval: 3600 seconds
Max-EAP-Req: 2
Host Mode: SINGLE_HOST
Auth PAE State: Initialize
Backend State: Initialize
FTOS#show run | grep radius|dot1x
dot1x authentication
dot1x authentication
radius-server host 10.180.58.10 key 7 7bb92471cb453a73