Configurer l'authentification basée sur MAC sur un commutateur par l'interface de ligne de commande

Objectif

le 802.1X est un outil d'administration aux périphériques de whitelist, n'assurant aucun accès non autorisé à votre réseau. Ce document t'affiche comment configurer l'authentification basée par MAC sur un commutateur utilisant l'interface de ligne de commande (CLI).

Comment Radius fonctionne-t-il ?

Il y a trois composants principaux à l'authentification de 802.1X, à un suppliant (client), à un authentificateur (périphérique de réseau tel qu'un commutateur), et à un server (RADIUS) d'authentification. Le Service RADIUS (Remote Authentication Dial-In User Service) est un serveur d'accès qui utilise le protocole d'Authentification, autorisation et comptabilité (AAA) qui aident à gérer l'accès au réseau. RADIUS utilise un client-server model dans lequel les informations d'authentification sécurisées sont permutées entre le serveur de RADIUS et un ou plusieurs clients RADIUS. Il valide l'identité du client et informe le commutateur si le client est autorisé à accéder au RÉSEAU LOCAL.

Un authentificateur ou un commutateur fonctionne entre le client et le serveur d'authentification. D'abord, il demandera les informations d'identité du client. Dans la réponse, l'authentificateur vérifierait les informations avec le serveur d'authentification. Pour finir, il transmettrait par relais une réponse au client. En cet article, l'authentificateur serait un commutateur qui inclut le client RADIUS. Le commutateur pourrait encapsuler et désencapsuler les trames de Protocole EAP (Extensible Authentication Protocol) pour interagir avec le serveur d'authentification.

Quelle est authentification basée par MAC ?

L'authentification MAC peut employer l'adresse MAC de l'hôte pour authentifier quand le suppliant ne comprend pas comment parler à l'authentificateur ou incapable de faire ainsi. Des suppliants basés par MAC sont authentifiés utilisant RADIUS pur (sans utiliser l'EAP). Le serveur de RADIUS a une base de données dédiée d'hôte qui contient seulement les adresses MAC permises. Au lieu de traiter le MAC basé la demande d'authentification comme authentification de Password Authentication Protocol (PAP), les serveurs identifient une telle demande par l'attribut 6 [type de service] = 10. que l'attribut RADIUS sont utilisés pour définir les éléments spécifiques d'AAA dans un profil utilisateur. Ici, attribuez 6 signifie que le type de service et la valeur 10 est Appel-contrôle. L'attribut 6 avec la valeur de 10 indique l'application effectuer certaines tâches comme comparent l'adresse MAC dans l'attribut de calling-station-id aux adresses MAC enregistrées dans la base de données d'hôte. A cliquez ici pour plus d'informations sur des attributs RADIUS et a cliquez ici pour plus d'informations sur la dérivation d'authentification MAC (MAB).

La version 2.4 de micrologiciels ajoute la capacité de configurer le format de l'username envoyé pour les supplicants basés par MAC et d'être méthode d'authentification EAP définie ou méthode d'authentification pure de RADIUS. Dans cette version, vous pouvez également configurer le format du nom d'utilisateur aussi bien que configurer un mot de passe spécifique, différent du nom d'utilisateur, parce que des suppliants basés par MAC.

Remarque: Pour configurer le MAC a basé l'authentification utilisant l'interface utilisateur graphique (GUI), a cliquez ici.

Topologie :

Remarque: En cet article, nous utiliserons le SG550X-24 pour le serveur de RADIUS et l'authentificateur. Le serveur de RADIUS a une adresse IP statique de 192.168.1.100 et l'authentificateur a une adresse IP statique de 192.168.1.101.

Périphériques applicables

·        Gamme Sx350X

·        Gamme SG350XG

·        Gamme Sx550X

·        Gamme SG550XG

Version de logiciel

·        2.4.0.94

Configurez le serveur de RADIUS sur un commutateur

Étape 1. SSH à votre commutateur qui va être le serveur de RADIUS. Le nom d'utilisateur et mot de passe par défaut est Cisco/Cisco. Si vous avez configuré un nouveau nom d'utilisateur ou mot de passe, entrez dans les qualifications à la place.

Remarque: Pour apprendre comment accéder à une PME commutez par le SSH ou le telnet, a cliquez ici.

Étape 2. Du mode d'exécution privilégié du commutateur, entrez le mode de configuration globale en entrant dans ce qui suit :

RADIUS#configure

Étape 3. Utilisez la commande d'enable de serveur de rayon d'activer le serveur de RADIUS.

Enable de serveur de RADIUS(config)#radius

Étape 4. Pour créer une clé secrète, utilisez la commande principale secrète de nas de serveur de rayon en mode de configuration globale. Les paramètres sont définis en tant que :

·       clé — Spécifie l'authentification et la clé de chiffrement pour des transmissions entre le périphérique et les utilisateurs du groupe donné. Ceci s'étend de 0-128 caractères.

·       par défaut — Spécifie la clé secrète par défaut qui sera appliquée pour communiquer avec le NAS qui n'ont pas une clé privée.

·       IP address — Spécifie l'adresse IP d'hôte de client RADIUS. L'adresse IP peut être une adresse d'ipv4, d'IPv6 ou IPv6z.

clé principale secrète de nas de serveur de rayon {par défaut|IP address}

Dans cet exemple, nous utiliserons l'exemple en tant que notre clé et le 192.168.1.101 comme adresse IP de notre authentificateur.

Exemple principal secret 192.168.1.101 de nas de serveur de RADIUS(config)#radius

Étape 5. Pour entrer dans le mode de configuration de groupe de serveurs de RADIUS et créer un groupe s'il n'existe pas, utilisez l'ordre de groupe de serveurs de rayon en mode de configuration globale.

groupe-nom de groupe de serveurs de rayon

En cet article, nous utiliserons MAC802 en tant que notre nom de groupe.

Groupe de serveurs MAC802 de #radius de RADIUS (config-RADIUS-serveur-groupe)

Étape 6. Pour créer un utilisateur, utilisez l'ordre d'utilisateur de serveur de rayon en mode de configuration globale. Les paramètres sont définis en tant que :

·       username — Spécifie le nom d'utilisateur. La longueur est 1-32 caractères.

·       groupe-nom — Spécifie le nom de groupe d'utilisateurs. La longueur du nom de groupe est de 1-32 caractères.

·       mot de passe non chiffré — Spécifie le mot de passe utilisateur. La longueur peut être de 1-64 caractères.

mot de passe non chiffré de mot de passe de groupe-nom de groupe username de nom d'utilisateur d'utilisateur de serveur de rayon

Pour cet exemple, nous utiliserons l'adresse MAC de notre port Ethernet comme notre username, MAC802 en tant que notre groupe-nom, et mot de passe non chiffré comme exemple.

Exemple de mot de passe du groupe MAC802 du nom d'utilisateur 54:EE:75:XX:XX:XX d'utilisateur de serveur de #radius de RADIUS (config-RADIUS-serveur-groupe)

Remarque: Certains des octets dans l'adresse MAC sont brouillés. L'exemple de mot de passe n'est pas un mot de passe fort. Veuillez utiliser un mot de passe plus fort comme ceci a été seulement utilisé comme exemple. En outre, notez que la commande était trop longue dans l'image qu'elle automatique a enveloppé la commande.

Étape 7. (facultative) pour finir la session de configuration en cours et à retourner au mode d'exécution privilégié, utilisent la commande de fin.

#end de RADIUS (config-RADIUS-serveur-groupe)

Étape 8. (facultative) pour copier n'importe quel fichier d'une source sur une destination, utilisent la Commande COPY dans le mode d'exécution privilégié. Dans cet exemple, nous enregistrerons notre configuration en cours au startup-config.

Startup-config de running-config de RADIUS#copy

Le message d'étape 9. A (facultatif) apparaîtra demandant si vous voudriez remplacer votre fichier startup-config. Tapez Y pour l'oui ou N pour non. Nous taperons Y pour remplacer notre fichier startup-config.

Configurer le commutateur d'authentificateur

Étape 1. SSH au commutateur qui va être l'authentificateur. Le nom d'utilisateur et mot de passe par défaut est Cisco/Cisco. Si vous avez configuré un nouveau nom d'utilisateur ou mot de passe, entrez dans ces qualifications à la place.

Remarque: Pour apprendre comment accéder à une PME commutez par le SSH ou le telnet, a cliquez ici.

Étape 2. Du mode d'exécution privilégié du commutateur, entrez le mode de configuration globale en entrant dans ce qui suit :

Authenticator#configure

Étape 3. Pour activer le 802.1X globalement, utilisez la commande de dot1x system-auth-control en mode de configuration globale.

Système-auth-control Authenticator(config)#dot1x

Étape 4. Utilisez la commande de mode de configuration globale d'hôte de RADIUS-serveur de configurer un hôte de serveur de RADIUS. Les paramètres sont définis en tant que :

·       IP address — Spécifie l'adresse IP d'hôte de serveur de RADIUS. L'adresse IP peut être une adresse d'ipv4, d'IPv6, ou IPv6z.

·       adresse Internet — Spécifie le nom d'hôte de serveur de RADIUS. La traduction aux adresses d'ipv4 seulement est prise en charge. La longueur est de 1-158 caractères et la longueur maximum d'étiquette de chaque partie de l'adresse Internet est 63 caractères.

·       authentique-port-nombre d'authentique-port — Spécifie le numéro de port pour des demandes d'authentification. Si le numéro de port est placé à 0, l'hôte n'est pas utilisé pour l'authentification. La plage est de 0-65535.

·       acct-port-nombre de CRNA-port — Numéro de port pour des demandes de comptabilité. L'hôte n'est pas utilisé pour rendre compte si réglé à 0. Si non spécifié, le numéro de port se transfère sur 1813.

·       délai d'attente de délai d'attente — Spécifie la valeur du dépassement de durée en quelques secondes. Ceci s'étend de 1-30.

·       retransmettez les relances — Spécifie le nombre de retransmissions de relance. La plage est de 1-15.

·       temps mort de temps mort — Spécifie la durée en quelques minutes lesoù un serveur de RADIUS est ignoré plus de par des demandes de transaction. Il s'étend de 0-2000.

·       key-string principal — Spécifie l'authentification et la clé de chiffrement pour toutes les transmissions de RADIUS entre le périphérique et le serveur de RADIUS. Cette clé doit apparier le cryptage utilisé sur le démon de RADIUS. Pour spécifier une chaîne vide, entrez «  ». La longueur peut être de 0-128 caractères. Si ce paramètre est omis, la clé global-configurée de rayon sera utilisée.

·       chiffrer-clé-chaîne principale — Même que le key-string, mais la clé est dans le format chiffré.

·       priorité prioritaire — Spécifie la commande dans laquelle des serveurs sont utilisés, où 0 a le plus prioritaire. La plage prioritaire est de 0-65535.

·       l'utilisation {login|dot1.x|all} — spécifie le type d'utilisation de serveur de RADIUS. Les valeurs possibles sont :

procédure de connexion o — Spécifie que le serveur de RADIUS est utilisé pour l'authentification de paramètres d'ouverture de session utilisateur.

o dot1.x — Spécifie que le serveur de RADIUS est utilisé pour l'authentification de port de 802.1x.

o spécifie entièrement que le serveur de RADIUS est utilisé pour l'authentification d'ouverture de session utilisateur et l'authentification de port de 802.1x.

hôte de RADIUS-serveur {IP address|adresse Internet} [authentique-port-nombre d'authentique-port] [acct-port-nombre d'acct-port] [délai d'attente de délai d'attente] [retransmettez les relances] [temps mort de temps mort] [key-string principal] [priorité prioritaire] [utilisation {procédure de connexion|dot1.x|all}]

Dans cet exemple, les paramètres seulement d'hôte et de clé sont utilisés. Nous utiliserons l'adresse IP 192.168.1.100 comme adresse IP du serveur de RADIUS et l'exemple de mot comme key-string.

exemple de clé de 192.168.1.100 d'hôte d'Authenticator(config)#radius-serveur

Étape 5. Dans l'authentification basée sur MAC, le nom d'utilisateur du suppliant est basé sur l'adresse MAC de périphérique de suppliant. Ce qui suit définit le format de ce nom d'utilisateur basé sur MAC, qui est envoyé du commutateur au serveur de RADIUS, en tant qu'élément de la procédure d'authentification. Les champs suivants sont définis en tant que :

·       type de MAC-auth — choisissez un type d'authentification MAC

eap o — Utilisez RADIUS avec l'encapsulation d'EAP pour le trafic entre le commutateur (client RADIUS) et le serveur de RADIUS, qui authentifie un suppliant basé sur MAC.

rayon o — Utilisez RADIUS sans encapsulation d'EAP pour le trafic entre le commutateur (client RADIUS) et le serveur de RADIUS, qui authentifie un suppliant basé sur MAC.

·       groupsize — Nombre de caractères ASCII entre les délimiteurs de l'adresse MAC envoyée comme nom d'utilisateur. L'option sont 1, 2, 4, ou 12 caractères ASCII entre les délimiteurs.

·       séparateur — Caractère utilisé comme délimiteur entre les groupes définis de caractères dans l'adresse MAC. Les options sont trait d'union, deux points, ou point comme délimiteur.

·       cas — Envoyez le nom d'utilisateur dans inférieur ou majuscule. Les options sont minuscules ou majuscules.

le nom d'utilisateur de type de MAC-auth de MAC-auth de dot1x groupsize groupsize la caisse de séparateur de séparateur.

Dans cet exemple, nous utiliserons l'eap en tant que notre type de MAC-authentification, un groupsize de 2, les deux points en tant que notre séparateur, et enverrons notre nom d'utilisateur dans le haut de casse.

Le nom d'utilisateur d'eap de MAC-auth Authenticator(config)#dot1x groupsize le séparateur 2 : majuscule

Étape 6. Utilisez la commande ci-dessous de définir le mot de passe que le commutateur utilisera pour l'authentification basée sur MAC au lieu de l'adresse MAC d'hôte. Nous utiliserons l'exemple de mot en tant que notre mot de passe.

Exemple de mot de passe de MAC-auth Authenticator(config)#dot1x

Étape 7. Pour écrire le mode de configuration d'interface afin de configurer une interface, utilisez la commande de mode de configuration globale d'interface. Nous configurerons GigabitEthernet1/0/1 parce que notre hôte d'extrémité est connecté à lui.

Remarque: Ne configurez pas le port qui est connecté à votre serveur de RADIUS.

Authenticator(config)#interface GigabitEthernet1/0/1

Remarque: Si vous voulez configurer des plusieurs ports en même temps, utilisez la commande d'interface range.

Voyez l'exemple ci-dessous pour configurer des ports 1-4 utilisant la commande de plage :

Chaîne GigabitEthernet1/0/1-4 d'Authenticator(config)#interface

Étape 8. Pour laisser un seul hôte (client) ou les plusieurs hôtes sur un IEEE802.1X-authorized mettent en communication, utilisent la commande de dot1x host-mode dans le mode de configuration d'interface. Les paramètres sont définis en tant que :

·       multi-hôte — Le multiple d'enable héberge le mode

le port o A est autorisé s'il y a au moins un client autorisé.

o quand un port est non autorisé et un VLAN invité est activé, le trafic non-marqué remapped au VLAN invité. Le trafic étiqueté est abandonné à moins qu'il appartienne au VLAN invité ou à un VLAN unauthenticated. Si le VLAN invité n'est pas activé sur un port, seulement le trafic étiqueté appartenant aux VLAN unauthenticated pont.

le trafic o quand un port est autorisé, non-marqué et étiqueté de tous les hôtes connectés au port pont, basé sur la configuration des ports statique d'appartenance à un VLAN.

o que vous pouvez spécifier que le trafic non-marqué du port autorisé remapped à un VLAN qui est assigné par un serveur de RADIUS pendant la procédure d'authentification. Le trafic étiqueté est abandonné à moins qu'il appartienne au VLAN RADIUS-assigné ou aux VLAN unauthenticated. L'affectation de Radius VLAN sur un port est placée dans la page d'authentification de port.

·       seul hôte — Mode de seul hôte d'enable

le port o A est autorisé s'il y a un client autorisé. Seulement un hôte peut être autorisé sur un port.

o quand un port est non autorisé et le VLAN invité est activé, le trafic non-marqué remapped au VLAN invité. Le trafic étiqueté est abandonné à moins qu'il appartienne au VLAN invité ou à un VLAN unauthenticated. Si un VLAN invité n'est pas activé sur le port, seulement le trafic étiqueté appartenant aux VLAN unauthenticated pont.

le trafic o quand un port est autorisé, non-marqué et étiqueté de l'hôte autorisé pont a basé sur la configuration des ports statique d'appartenance à un VLAN. Le trafic d'autres hôtes est abandonné.

l'utilisateur o A peut spécifier que le trafic non-marqué de l'hôte autorisé remapped à un VLAN qui est assigné par un serveur de RADIUS pendant la procédure d'authentification. Le trafic étiqueté est abandonné à moins qu'il appartienne au VLAN RADIUS-assigné ou aux VLAN unauthenticated. L'affectation de Radius VLAN sur un port est placée dans la page d'authentification de port.

·       multi-sessions — Mode de plusieurs sessions d'enable

o à la différence des modes de seul hôte et de multi-hôte, un port dans le mode à plusieurs sessions n'a pas un état d'authentification. Cet état est assigné à chaque client connecté au port.

le trafic étiqueté par o appartenant à un VLAN unauthenticated est toujours jeté un pont sur indépendamment de, que l'hôte soit autorisé ou pas.

le trafic étiqueté et non-marqué o des hôtes non autorisés n'appartenant pas à un VLAN unauthenticated remapped au VLAN invité s'il est défini et activé sur le VLAN, ou est abandonné si le VLAN invité n'est pas activé sur le port.

o que vous pouvez spécifier que le trafic non-marqué du port autorisé remapped à un VLAN qui est assigné par un serveur de RADIUS pendant la procédure d'authentification. Le trafic étiqueté est abandonné à moins qu'il appartienne au VLAN RADIUS-assigné ou aux VLAN unauthenticated. L'affectation de Radius VLAN sur un port est placée dans la page d'authentification de port.

hôte-mode de dot1x host-mode

Dans cet exemple, nous configurerons l'hôte-mode pour être des multi-sessions.

Multi-sessions d'hôte-mode Authentication(config-if)#dot1x

Étape 9. Pour configurer la méthode d'authentification sur un port, utilisez la commande ci-dessous d'activer l'authentification basée sur MAC.

MAC d'authentification Authentication(config-if)#dot1x

Étape 10. Pour activer l'authentification et l'autorisation basées sur port sur le périphérique, utilisez la commande de port-control de configurer la valeur de port-control. Nous sélectionnerons l'état administratif d'autorisation sur le port comme automatique. Ceci nous permettra pour activer l'authentification et l'autorisation basées sur port sur le périphérique. Les mouvements d'interface entre un état autorisé ou non autorisé basé sur l'échange d'authentification entre le périphérique et le client.

Automatique de port-control Authentication(config-if)#dot1x

Étape 11. (facultative) pour finir la session de configuration en cours et à retourner au mode d'exécution privilégié, utilisent la commande de fin.

#end d'authentification (config-si)

Étape 12. (Facultatif) pour copier n'importe quel fichier d'une source sur une destination, employez la Commande COPY dans le mode d'exécution privilégié. Dans cet exemple, nous enregistrerons notre configuration en cours au startup-config.

Startup-config de running-config d'Authentication#copy

Étape 13. Le message (facultatif) A apparaîtra et demandera si vous voudriez remplacer votre fichier startup-config. Tapez Y pour l'oui ou N pour non. Nous taperons Y pour remplacer notre fichier startup-config.

Conclusion

Vous devriez maintenant avoir configuré l'authentification basée sur MAC sur votre commutateur utilisant le CLI. Suivez les étapes ci-dessous pour vérifier que l'authentification basée sur MAC fonctionne.

Étape 1. Pour afficher les utilisateurs autorisés de 802.1X actif pour le périphérique, utilisez l'ordre d'utilisateurs de show dot1x dans le mode d'exécution privilégié.

Utilisateurs de dot1x d'Authenticator#show

Étape 2. Pour afficher les interfaces de 802.1X ou l'état d'interface spécifiée, utilisez la commande de show dot1x dans le mode d'exécution privilégié.

Interface gigabitethernet1/0/1 de dot1x d'Authenticator#show