11.1. Общие сведения о MAB
Во многих сетях присутствуют устройства (такие как сетевые принтеры, мобильные устройства и т.д), не имеющие возможности использовать проверку подлинности 802.1x. К таким устройствам может быть применена аутентификация MAB (MAC Authentication Bypass), которая основывается на MAC-адресе устройства и порте доступа. Пользователю не нужно устанавливать ПО клиента аутентификации или вводить логин и пароль в процессе. Для аутентификации коммутатору достаточно получить ARP-пакет от MAB-пользователя и, после обнаружения соответствия аутентификационной информации на сервере, пользователю будет разрешен доступ.
| В настоящий момент MAB поддерживает использование только RADIUS аутентификации. Используйте MAC-адрес пользователя в качестве логина и пароля, при настройке RADIUS-сервера. |
Команда | Описание |
|---|---|
mac-authentication-bypass enable no mac-authentication-bypass enable ! В режиме глобальной конфигурации | Включить функцию MAB глобально. Команда no отключает эту функцию. |
mac-authentication-bypass enable no mac-authentication-bypass enable ! В режиме конфигурации интерфейса | Включить функцию MAB на порту. Команда no отключает эту функцию. |
2. Настроить MAB username и password;
Команда | Описание |
|---|---|
mac-authentication-bypass username-format {mac-address | {fixed username WORD password WORD}} ! В режиме глобальной конфигурации | Задать формат имени пользователя MAB: mac-address - будет передаваться MAC-адрес пользователя (по-умолчанию); fixed username WORD password WORD - передавать заданное имя пользователя и пароль |
3. Настроить параметры MAB:
Команда | Описание |
|---|---|
mac-authentication-bypass guest-vlan <1-4094> no mac-authentication-bypass guest-vlan ! В режиме конфигурации интерфейса | Задать гостевой VLAN. Команда no удаляет гостевой VLAN. |
mac-authentication-bypass binding-limit <1-100> no mac-authentication-bypass binding-limit ! В режиме конфигурации интерфейса | Задать максимальное количество записей MAB на интерфейсе. Команда no возвращает значение по-умолчанию - 3 записи. |
mac-authentication-bypass timeout reauth-period <1-3600> no mac-authentication-bypass timeout reauth-period ! В режиме глобальной конфигурации | Задать время начала повторной аутентификации после неудачной аутентификации. Команда no возвращает значение по-умолчанию - 30 секунд. |
mac-authentication-bypass timeout offline-detect (0|<60-7200>) no mac-authentication-bypass timeout offline-detect В режиме глобальной конфигурации | Задать время обнаружения пользователей offline и удаления записи MAB. Если задано значение 0, коммутатор не обнаруживает offline статус. Команда no возвращает значение по-умолчанию - 180 секунд |
mac-authentication-bypass timeout quiet-period <1-60> no mac-authentication-bypass timeout quiet-period ! В режиме глобальной конфигурации | Задать время, в течении которого коммутатор не будет реагировать на запрос аутентификации от MAC после неудачной аутентификации этого MAC. Команда no возвращает значение по-умолчанию - 30 секунд |
mac-authentication-bypass timeout stale-period <0-60> no mac-authentication-bypass timeout stale-period ! В режиме глобальной конфигурации | Задать время удаления записи MAB после перехода порта в состояние down. Команда no возвращает значение по-умолчанию - 30 секунд. |
mac-authentication-bypass timeout linkup-period <0-30> no mac-authentication-bypass timeout linkup-period ! В режиме глобальной конфигурации | Задать время, восстановления состояния порта. Если период задан, то после обновления привязки VLAN порт будет переведен в состояние down, а по истечении заданного периода в up. Команда no отключает эту функцию. |
mac-authentication-bypass spoofing-garp-check enable no mac-authentication-bypass spoofing-garp-check enable ! В режиме глобальной конфигурации | Включить функцию обнаружения атаки GARP-spoofing. Команда no отключает эту функцию. |
authentication mab {radius | local | none} no authentication mab ! В режиме глобальной конфигурации | Задать порядок и приоритет методов аутентификации MAB. Чем ранее в команде прописан метод, тем он приоритетней. Команда no восстанавливает значение по-умолчанию (только radius). |
Рисунок 60.1 - MAB
ПК пользователя подключен к порту Ethernet1/0/1 коммутатора. В соответствии с политикой безопасности, доступ в офисную сеть через VLAN 10 предоставляется только после аутентификации на RADIUS-сервере, но для гостевых устройств предусмотрен гостевой VLAN 8. Сеть управления коммутатором, как и RADIUS-сервер, находится во VLAN 9.
Конфигурация коммутатора будет выглядеть следующим образом:
Switch(config)# mac-authentication-bypass enable Switch(config)#vlan 8-10 Switch(config)#interface vlan 9 Switch(config-if-vlan9)ip address 10.0.0.9 255.255.255.0 Switch(config-if-vlan9)exit Switch(config)#radius-server authentication host 10.0.0.10 Switch(config)#radius-server accounting host 10.0.0.10 Switch(config)#radius-server key test Switch(config)#aaa enable Switch(config)#aaa-accounting enable Switch(config)#interface ethernet 1/0/1 Switch(config-if-ethernet1/0/1)#switchport mode hybrid Switch(config-if-ethernet1/0/1)#switchport hybrid native vlan 8 Switch(config-if-ethernet1/0/1)#switchport hybrid allowed vlan 8;10 untag Switch(config-if-ethernet1/0/1)#mac-authentication-bypass enable Switch(config-if-ethernet1/0/1)#mac-authentication-bypass enable guest-vlan 8 Switch(config-if-ethernet1/0/1)#exit |