2009-01-28

802.1x

дано:

  • catalist c3560 - 802.1x authenticator
  • linux-2.6 and freeradius-2.0.5 - aaa server
  • winxp-sp2 - 802.1x supplicant


что можно сделать

  • автентификация на порту
  • гостевой влан
  • влан для тех кто не умеет 802.1x
  • раздачу вланов per-user, per-group


реализация:
1. RADIUS server
с сервером практически ничего делать не надо :)
надо добавить клиента(по айпи свича, с секретом например cisco), включить eap, настроить бекенд, и создать базу пользователей.
пример записи для пользователя:

1) просто пользователь login="user",password="password":
user Auth-Type := EAP, Cleartext-Password := "password"
Service-Type := Framed-User

2) пользователь login=user2,password="password2", которого мы желаем поместить в отдельный влан 21:
user2 Auth-Type := EAP, Cleartext-Password := "password2"
Service-Type := Framed-User, Tunnel-Type = vlan, Tunnel-Medium-Type = 6, Tunnel-Private-Group-ID = 21


замечания:
* крайне желательно указывать service-type - иначе циска просто будет говорить auth failed
* аттрибуты Tunnel* - см. RFC2868

2. Настройка свича

глобальная:

(config)# aaa new-model
(config)# aaa authentication dot1x default local group radius
(config)# aaa authorization network default group radius
(config)# dot1x system-auth-control
(config)# radius-server host 192.168.0.1 auth-port 1812 key cisco



замечание:
* не стоит забывать, что переключение в new-model может вас лишить доступа к устройству, если вы забудете создать пользователя, и настроить aaa authentication login

для портов необходимо указать режим 802.1x, а именно:
* force-authorized - порт становиться доверенным без автентификации
* force-unauthorized - порт становиться недоверенным независимо от автентификации
* auto - порт проводит автентификацию, и по результатам становиться доверенным либо нет

настройка портов:

(config-if)# switchport mode access
(config-if)# dot1x port-control auto
(config-if)# dot1x reauthentication
(config-if)# dot1x guest-vlan 11
(config-if)# dot1x auth-fail vlan 10


замечания
* в транковом или динамическом режиме команда dot1x недоступна
* guest-vlan - доступен если клиент не начинает переговоры eapol
* auth-fail vlan - доступен после максимального количества попыток автентификации


далее все просто.
клиент подключается, и получает запрос eapol-start.
у пользователя в этот момент может появиться окошко с запросом логина и пароля.
далее, свич запрашивает радиус-сервер, и получает ответ, в котором есть разрешение доступа, и опционально номер влана в который необходимо перевести порт.

Немає коментарів: