I den här artikeln förklaras hur du aktiverar 802.1x-autentisering på Dell Networking Force10-switchar.
Målsättningar
- Vad är 802.1x?
- Viktiga saker att komma ihåg
- Aktivera 802.1x
- Konfigurera anslutningen till RADIUS-servern
- Kontrollera konfigurationen
Vad är 802.1x?
802.1x är en metod för portsäkerhet. En enhet som är ansluten till en port som är aktiverad med 802.1x får inte skicka eller ta emot paket i nätverket förrän dess identitet kan verifieras (t.ex. med användarnamn och lösenord). Den här funktionen har fått sitt namn efter IEEE-specifikationen.
802.1x använder EAP (Extensible Authentication Protocol) till att överföra en enhets autentiseringsuppgifter till en autentiseringsserver (vanligtvis RADIUS) via en obligatorisk mellanliggande enhet för nätverksåtkomst, i det här fallet en Dell Networking-switch. Enheten för nätverksåtkomst förmedlar all kommunikation mellan slutanvändarenheten och autentiseringsservern så att nätverket förblir säkert. Enheten för nätverksåtkomst använder EAP-over-Ethernet (EAPOL) till att kommunicera med slutanvändarenheten och EAP-over-RADIUS till att kommunicera med servern.
Dell Networking Operating System (OS) har stöd för 802.1X med EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 och MS-CHAPv2 med PEAP.
Viktiga saker att komma ihåg
- Dell Networking OS har stöd för 802.1X med EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 och MS-CHAPv2 med PEAP.
- Alla plattformar har endast stöd för RADIUS som autentiseringsserver.
- Om den primära RADIUS-servern slutar svara börjar autentiseraren använda en sekundär RADIUS-server, om en sådan är konfigurerad.
- 802.1x kan inte användas på portkanaler eller medlemmar i portkanaler.
Aktivera 802.1x
| Kommando |
Parametrar |
| FTOS# configure |
Gå till konfigurationsläget. |
| FTOS(conf)# dot1x authentication |
Aktivera dot1x-autentisering globalt |
| FTOS(conf)# interface range te 1/1 – 2 |
Ange ett visst portintervall som ska konfigureras. |
| FTOS(conf-if-te-1/1-2)# switchport |
Aktivera Layer 2 switchport-läget för gränssnittet. |
| FTOS(conf-if-te-1/1-2)# dot1x authentication |
Aktivera dot1x-autentisering på portnivå för det angivna intervallet. |
Konfigurera anslutningen till RADIUS-servern
| Kommando |
Parametrar |
| FTOS# configure |
Gå till konfigurationsläget. |
| FTOS(conf)#radius-server host 10.180.58.10 |
Ange IP-adressen eller värdnamnet som pekar på RADIUS-servern. |
| FTOS(conf)#radius-server key {encryption-type} key |
Ställ in RADIUS-servernyckeln för handskakning med RADIUS-servern.
alternativen för krypteringstyp är:
0 Anger att en OKRYPTERAD nyckel följer
7 Anger att en DOLD nyckel följer
LINE Den OKRYPTERADE (klartext) användarnyckeln (max 42 tecken) |
| FTOS(conf)#dot1x auth-server radius |
Identifiera dot1x-autentiseringsservern som en RADIUS-server. |
Verifiera 802.1x-konfigurationen
Följande kommandon visar 802.1x som konfigurerats för switchen.
FTOS#show running-config | find dot1x
dot1x authentication
!
[utelämnad utdata]
!
interface TenGigabitEthernet 1/1
no ip address
dot1x authentication
no shutdown
FTOS#show dot1x interface TenGigabitEthernet 1/1
802.1x information on Te 1/1
:-----------------------------
Dot1x Status: Enable (Dot1x-status: Aktiverad)
Port Control: AUTO (Portkontroll: Automatisk)
Port Auth Status: UNAUTHORIZED (Portautentiseringsstatus: Obehörig)
Re-Authentication: Disable (Återautentisering: Avaktiverad)
Untagged VLAN id: None (Otaggat VLAN-id: Inget)
Guest VLAN: Disable (Gäst-VLAN: Avaktiverat)
Guest VLAN id: NON (Gäst-VLAN-id: Inget)
EAuth-Fail VLAN: Disable (VLAN vid autentiseringsfel: Avaktiverat)
Auth-Fail VLAN id: NONE (VLAN-id vid autentiseringsfel: Inget)
Auth-Fail Max-Attempts: NONE (Max försök vid autentiseringsfel: Inget)
Mac-Auth-Bypass: Disable (Förbikoppling vid Mac-autentisering: Avaktiverat)
Mac-Auth-Bypass Only: Disable (Endast förbikoppling vid Mac-autentisering: Avaktiverat)
Tx Period: 30 seconds (Tx-period: 30 sekunder)
Quiet Period: 60 seconds (Tyst period: 60 sekunder)
ReAuth Max: 2 (Maximalt antal omförsök: 2)
Supplicant Timeout: 30 seconds (Tidsgräns för sökande: 30 sekunder)
Server Timeout: 30 seconds (Tidsgräns för server: 30 sekunder)
Re-Auth Interval: 3600 seconds (Intervall för omförsök: 3 600 sekunder)
Max-EAP-Req: 2 (Max EAP-förfrågningar: 2)
Host Mode: SINGLE_HOST (Värdläge: SINGLE_HOST)
Auth PAE State: Initialize (PAE-autentiseringstillstånd: Initiera)
Backend State: Initialize (Servertillstånd: Initiera)
FTOS#show run | grep radius|dot1x
dot1x authentication
dot1x authentication
radius-server host 10.180.58.10 key 7 7bb92471cb453a73