3.1. Общие сведения о 802.1x
Стандарт IEEE 802.1x определяет метод управления доступом к сети, он управляет аутентификацией и устройствами доступа на физическом уровне (порты коммутатора). Если пользовательские устройства, подключенные к этим портам, удается аутентифицировать, они получают доступ к ресурсам локальной сети, в противном случае доступ будет запрещен.
Стандарты IEEE 802.1x определяют протокол управления доступом к сети на основе портов. Протокол применим к соединению точка-точка между устройством доступа и портом доступа, при этом порт может быть логическим или физическим. В типичном случае один физический порт коммутатора присоединен только к одному терминирующему устройству (имеющему физические порты).
Архитектура IEEE 802.1x описана на рисунке ниже.
Рисунок 52.1 - Архитектура IEEE 802.1x
Надписи на рисунке:
Supplicant System – клиентская система;
Supplicant PAE – Порт клиентской системы;
Autenthicator system – система аутентификатора;
Autenthicator PAE – Порт аутентификатора;
Services offered by Autenthicator’s system – услуги, предоставляемые системой аутентификатора;
Controlled Port – управляемый порт;
Uncontrolled port – неуправляемый порт;
EAP protocol exchanges carried in higher layer protocol – обмен сообщениями протокола EAP происходит через протокол более высокого уровня;
Authentication Server system – система сервера аутентификации;
Authentication Server – сервер аутентификации.
802.1x имеет клиент-серверную архитектуру, которая имеет 3 составляющие: устройство, запрашивающее доступ, система аутентификации и сервер аутентификации.
Устройство, запрашивающее доступ представляет собой объект на одном конце сегмента сети, который должен быть аутентифицирован блоком управления доступом на другом конце сегмента сети. Пользователь запускает аутентификацию 802.1X через программное обеспечение запрашивающей системы. Система, запрашивающая доступ, должна поддерживать EAPOL;
Система аутентификации (в данном случае - коммутатор) представляет собой сетевое устройство, поддерживающее протокол 802.1X, к портам которого подключено устройство, запрашивающее доступ;
Сервер аутентификации используется для аутентификации и авторизации пользователей. Обычно это сервер RADIUS, который может хранить информацию о пользователях (имя, пароль, VLAN, порт и т.д).
Взаимодействие устройства, запрашивающего доступ, и устройства управления доступом (коммутатором доступа) происходит по протоколу EAPOL, определенного стандартами IEEE 802.1x. Взаимодействие сервера аутентификации с устройством управления доступом происходит по протоколу EAP. Данные аутентификации инкапсулируются в пакеты EAP. Пакет EAP передается в пакетах протоколов более высоких уровней, например, RADIUS (EAPOR - EAP over RADIUS).
Система аутентификации (коммутатор доступа) предоставляет порты для доступа к сети запрашивающим пользовательским системам. Эти порты логически можно разделить на два вида: контролируемые и неконтролируемые:
Неконтролируемый порт всегда находится в режиме двунаправленного соединения и в основном используется для передачи пакетов протокола EAPOL, чтобы гарантировать, что запрашивающие системы всегда могут отправлять или получать сообщения аутентификации.
Контролируемый порт связан с состоянием аутентификации. При отсутствии аутентификации данные из запрашивающих доступ систем передаваться не могут. Данный коммутатор может осуществлять контроль только одного направления трафика.
Управляемые и неконтролируемые порты представляют собой две логические части одного физического порта.
Реализованы методы аутентификации пользователей на основе MAC, на основе порта и на основе пользователя. Только аутентифицированные пользовательские системы, подключенные к одному и тому же физическому порту, могут получать доступ к сети. Таким образом, даже если к одному физическому порту подключено множество хостов, коммутатор может аутентифицировать их и управлять доступом каждой пользовательской системой индивидуально.
Существует 2 режима пользовательском управлении доступом имеется два режима: стандартное управление и расширенное управление. При стандартном (standard) пользовательском управлении доступ к определенным ресурсам не ограничивается до аутентификации. После аутентификации пользователи получают доступ ко всем ресурсам. При расширенном (advanced) пользовательском управлении доступом только специальные пользователи до аутентификации получат доступ к ограниченным ресурсам.
Реализована возможность использования гостевой VLAN: если устройство, запрашивающее доступ, не получит аутентификацию успешно в течение определенного промежутка времени, устройство будет добавлено в эту VLAN.
Включить IEEE 802.1x;
Конфигурация свойств блока управления доступом;
Настроить метод контроля доступа на порту;
Настроить расширенные функции;
Конфигурация свойств зависимых устройств пользователя.
Включить IEEE 802.1x:
Команда | Описание |
|---|---|
dot1x enable no dot1x enable ! В режиме глобальной конфигурации | Включить функцию dot1x на коммутаторе и портах Выключить функцию dot1x. |
dot1x privateclient enable no dot1x privateclient enable ! В режиме глобальной конфигурации | Включить режим использования клиентским ПО специального формата сообщений 802.1x. Команда no включает режим использования стандартного формата (по-умолчанию) |
dot1x user free-resource <prefix> <mask> no dot1x user free-resource ! В режиме глобальной конфигурации | Задать сеть <prefix> <mask>, доступную пользователям без аутентификации. Команда no удаляет сеть, доступную без аутентификации. |
dot1x unicast enable no dot1x unicast enable ! В режиме глобальной конфигурации | Включить функцию одноадресной сквозной передачи dot1x. Команда no отключает эту функцию. |
2. Конфигурация свойств блока управления доступом:
Настроить метод контроля доступа на порту:
Команда | Описание |
|---|---|
dot1x port-method {macbased | portbased | userbased {standard | advanced}} no dot1x port-method ! В режиме конфигурации интерфейса | Задать метод управления доступом к порту. Команда no восстанавливает значение по-умолчанию - userbased advanced. |
dot1x max-user macbased <number> no dot1x max-user macbased ! В режиме конфигурации интерфейса | Задать максимальное число <number> пользователей, которые могут получить доступ к данному порту при управлении на основе MAC-адреса. Команда no возвращает значение по-умолчанию - 1. |
dot1x max-user userbased <number>
! В режиме конфигурации интерфейса | Задать максимальное число <number> пользователей, которые могут получить доступ к данному порту при управлении на основе пользователя.. Команда no возвращает значение по-умолчанию - 10. |
dot1x guest-vlan <vlanID> no dot1x guest-vlan ! В режиме конфигурации интерфейса | Задать VLAN, доступный при неаутентифицированном состоянии (гостевой) на данном интерфейсе. Команда no запрещает гостевой VLAN (по-умолчанию). |
dot1x portbased mode single-mode no dot1x portbased mode single-mode ! В режиме конфигурации интерфейса | Включить на порту режим аутентификации единственного пользователя. Команда no отключает этот режим. |
b. Настроить расширенные функции:
Команда | Описание |
|---|---|
dot1x macfilter enable no dot1x macfilter enable ! В режиме глобальной конфигурации | Включает возможность фильтровать MAC-адреса на коммутаторе посредством dot1x. Команда no отключает эту возможность. |
dot1x macbased port-down-flush no dot1x macbased port-down-flush ! В режиме глобальной конфигурации | Включить функцию автоматического удаления пользователей, аутентифицированных на основе MAC, при перемещении между портами. Команда no отключает эту функцию. |
dot1x accept-mac <mac-address> [interface <interface-name> ] no dot1x accept-mac <mac-address> [interface <interface-name> ] ! В режиме глобальной конфигурации | Добавить адрес <mac-address> изученный с интерфейса <interface-name> в качестве разрешенного в таблицу фильтрации dot1x. Команда no удаляет этот адрес. |
dot1x eapor enable no dot1x eapor enable ! В режиме глобальной конфигурации | Включить функцию EAP-relay на коммутаторе. Команда no задает локальное окончание аутентификации. |
3. Конфигурация свойств dot1q для устройств пользователя:
Команда | Описание |
|---|---|
dot1x max-req <count> no dot1x max-req ! В режиме глобальной конфигурации | Задать число <count> запросов или MD5 кадров, посылаемых при отсутствии ответа от клиентской системы до того, как коммутатор повторно инициирует аутентификацию. Команда no восстанавливает значения по-умолчанию - 2. |
dot1x re-authentication no dot1x re-authentication ! В режиме глобальной конфигурации | Включить периодическую повторную аутентификацию клиентской системы. Команда no отключает эту функцию. |
dot1x timeout quiet-period <seconds> no dot1x timeout quiet-period ! В режиме глобальной конфигурации | Задать время в секундах бездействия при сбое аутентификации. Команда no восстанавливает значения по-умолчанию - 10 секунд. |
dot1x timeout re-authperiod <seconds> no dot1x timeout re-authperiod ! В режиме глобальной конфигурации | Задать время повторной периодической аутентификации пользователя в секундах. Команда no возвращает значение по-умолчанию - 3600 секунд. |
dot1x timeout tx-period <seconds> no dot1x timeout tx-period ! В режиме глобальной конфигурации | Позволяет задать интервал времени, по истечении которого клиентской системой выполняется повторная передача запроса или кадра идентичности EAP. Команда no восстанавливает значение по-умолчанию - 30 секунд. |
dot1x re-authenticate [interface <interface-name> ] ! В режиме глобальной конфигурации | Повторно принудительно аутентифицировать все устройства. При указании интерфейса <interface-name> повторно аутентифицируются только устройства в указанном интерфейсе. |
Рисунок 52.2 - Гостевая VLAN
Как показано на рисунке 52.2, для доступа в сеть коммутатор использует 802.1x и сервер RADIUS в качестве сервера аутентификации. Порт подключения пользователей на коммутаторе - Ethernet1/0/2. Сервер аутентификации находится в VLAN 2. Сервер обновлений находится в VLAN 10, Ethernet1/0/6 - порт коммутатора, используемый для выхода в Интернет, принадлежит VLAN 5. VLAN 10 установлена как гостевая на порту Ethernet1/0/2, поэтому до аутентификации пользователя порт Ethernet1/0/2 добавлен во VLAN 10, разрешая пользователю доступ к серверу обновлений.
После того, как пользователь успешно прошел аутентификацию, коммутатор добавляет порт пользователя во VLAN5, разрешая доступ в Интернет.
Конфигурация выглядит следующим образом:
# Настроить коммутатор для работы с RADIUS:
Switch(config)#radius-server authentication host 10.1.1.3 Switch(config)#radius-server accounting host 10.1.1.3 Switch(config)#radius-server key test Switch(config)#aaa enable Switch(config)#aaa-accounting enable |
# создать VLAN100:
Switch(config)#vlan 100 |
# Включить функцию 802.1x
Switch(config)#dot1x enable Switch(config)#interface ethernet1/0/2 Switch(Config-If-Ethernet1/0/2)#dot1x enable |
# Настроить порт Ethernet1/0/2
Switch(Config-If-Ethernet1/0/2)#switchport mode access Switch(Config-If-Ethernet1/0/2)#dot1x port-method portbased Switch(Config-If-Ethernet1/0/2)#dot1x port-control auto Switch(Config-If-Ethernet1/0/2)#dot1x guest-vlan 100 |
Рисунок 52.3 - Dot1x RADIUS
Хост пользователя подключен к порту коммутатора Ethernet1/0/2, на котором задействована функция аутентификации IEEE 802.1x. В качестве метода доступа используется MAC-based. IP-адрес коммутатора 10.1.1.2. Порт коммутатора Ethernet1/0/1 подключен к RADIUS серверу, который имеет IP-адрес 10.1.1.3 и испольует порт 1813 по-умолчанию для аутентификации и аккаунинга. Хост пользователя использует специализированное программное обеспечение для аутентификации IEEE 802.1x.
Конфигурация будет выглядеть следующим образом:
Switch(config)#interface vlan 1 Switch(Config-if-vlan1)#ip address 10.1.1.2 255.255.255.0 Switch(Config-if-vlan1)#exit Switch(config)#radius-server authentication host 10.1.1.3 Switch(config)#radius-server accounting host 10.1.1.3 Switch(config)#radius-server key test Switch(config)#aaa enable Switch(config)#aaa-accounting enable Switch(config)#dot1x enable Switch(config)#interface ethernet 1/0/2 Switch(Config-Ethernet1/0/2)#dot1x enable Switch(Config-Ethernet1/0/2)#exit |
Для включения 802.1x на порту должны быть выключены функции привязки MAC-адреса и агрегирования портов;
Проверьте связь между коммутатором и RADIUS-сервером, между коммутатором и устройством пользователя, а также конфигурацию их портов и VLAN;
Проверьте правильность указания ключа для RADIUS-сервера;
Для поиска возможных причин неисправности проверьте журнал событий на сервере RADIUS;