802.1X – это стандарт портовой аутентификации на основе протокола EAP (Extensible Authentication Protocol). Он позволяет централизованно управлять доступом к сети через RADIUS-сервер. Клиент (суппликант) инициирует аутентификацию, коммутатор выступает в роли посредника (аутентификатора) и передаёт учётные данные на RADIUS-сервер. Если сервер подтверждает подлинность, порт переводится в авторизованное состояние, и клиент получает доступ к сети.

MAB (MAC Authentication Bypass) – механизм, при котором аутентификация выполняется по MAC-адресу устройства. Это упрощённый вариант, используемый для устройств, не поддерживающих 802.1X (например, принтеры, IP-камеры, некоторые VoIP-телефоны). Коммутатор отправляет на RADIUS-сервер запрос с MAC-адресом клиента в качестве имени пользователя и пароля (обычно тот же MAC), и если он есть в базе, порт открывается.

Базовая конфигурация RADIUS и аутентификации на портах

Интерфейс gi1/0/7 – только MAC-авторизация (MAB).

Интерфейс gi1/0/8 – только 802.1X.

Интерфейс gi1/0/9 – и 802.1X, и MAB

vlan database
vlan 100,200
exit
dot1x system-auth-control
!
radius-server host 192.168.1.10 key eltex
!
interface gigabitethernet1/0/7
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x authentication mac
dot1x port-control auto
switchport access vlan 200
exit
!
interface gigabitethernet1/0/8
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x port-control auto
switchport access vlan 200
exit
!
interface gigabitethernet1/0/9
 dot1x reauthentication
 dot1x timeout reauth-period 300
 dot1x authentication 802.1x mac
 dot1x port-control auto
 switchport access vlan 200
 exit
!
interface vlan 100
ip address 192.168.1.20 255.255.255.0
exit


Примечание: в данной конфигурации при отсутствии доступа к radius-серверу спустя настроенное количество retries по настроенному timeout порт перейдет в статус "Не авторизован". Можно изменить данное поведение, прописав команду aaa authentication dot1x default radius none - в этом случае порт перейдёт в статус "Авторизован" по методу none.

Режимы работы порта (host-mode)

Поддерживается три режима работы порта, задаваемых командой dot1x host-mode:

single-host – на порту может быть авторизовано только одно устройство. После успешной аутентификации порт открывается для этого MAC-адреса, остальные блокируются. Используется для подключения одного конечного устройства.

multi-host (по умолчанию) – порт авторизуется по первому успешно прошедшему аутентификацию устройству. После этого весь порт считается авторизованным, и все последующие устройства (даже не проходящие аутентификацию) получают доступ.

multi-sessions – каждое устройство, подключённое к порту, проходит отдельную аутентификацию. Порт может содержать одновременно несколько авторизованных сессий с разными VLAN (например, через guest VLAN или voice VLAN). Этот режим обязателен при использовании voice VLAN.

Для смены режима используется команда dot1x host-mode <режим> в конфигурации интерфейса.

Настройка guest VLAN

Guest VLAN используется для предоставления ограниченного доступа клиентам, которые не прошли аутентификацию (устройство еще не авторизовано или от RADIUS-сервера пришел Access-Reject).


interface vlan 200
dot1x guest-vlan
exit
 
interface gigabitethernet1/0/7
dot1x guest-vlan enable
exit

Настройка critical VLAN

Critical VLAN – это VLAN, в который переводится порт, когда RADIUS-сервер становится недоступным. Это позволяет сохранить связность для уже авторизованных или новых устройств в аварийной ситуации. Отличие от метода авторизации "none" в том, что порт помещается в отдельный изолированный VLAN, а не остаётся в рабочем.

interface vlan 201
 dot1x critical-vlan
 exit

interface gigabitethernet1/0/7
 dot1x critical-vlan enable
 exit

Примечание: при одновременном использовании aaa authentication dot1x default radius none и critical VLAN в случае недоступности RADIUS-сервера сработает метод none – порт перейдёт в состояние «Авторизован» и получит доступ в PVID VLAN, а не в critical VLAN.

Настройка trap-сообщений при наступлении события аутентификации

dot1x traps authentication quiet
dot1x traps authentication failure 802.1x mac
dot1x traps authentication success 802.1x mac

quiet - отправка trap-сообщений при превышении пользователем максимально допустимого количества безуспешных попыток аутентификации.

failure - отправка trap-сообщений, когда клиент не прошел аутентификацию.

success - отправка trap-сообщений, когда клиент успешно проходит аутентификацию.

Совместная работа 802.1X, MAB и voice VLAN

Начиная с версии ПО 6.6.10, добавлена команда voice vlan authentication bypass enable, которая позволяет пропускать авторизацию для VoIP-телефонов, работающих в voice VLAN. При этом основной порт может обслуживать и другие устройства, которые проходят аутентификацию через 802.1X/MAB. Данная возможность доступна только для режимов single-host и multi-sessions. Рекомендуется использовать multi-sessions, чтобы каждое устройство (телефон и компьютер) имело свою отдельную сессию.

Пример конфигурации:


vlan database
vlan 10,20
exit
!
voice vlan id 20
voice vlan state oui-enabled
voice vlan oui-table add 6813e2
!
dot1x system-auth-control
dot1x traps authentication quiet
dot1x traps authentication failure 802.1x mac
dot1x traps authentication success 802.1x mac
!
no lldp med network-policy voice auto
lldp med network-policy 1 voice vlan 20 vlan-type tagged up 4
!
encrypted radius-server host 1.1.1.1 key 5pNZcRpTRFB4If8yvO3UmSF+f73BroxCvenofyaxAsM=
!
interface gigabitethernet1/0/3
dot1x host-mode multi-sessions
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x authentication mac
dot1x port-control auto
switchport mode general
switchport general allowed vlan add 10 untagged
switchport general pvid 10
lldp med enable network-policy
lldp med network-policy add 1
voice vlan enable
voice vlan authentication bypass enable
exit
!
interface gigabitethernet1/0/12
switchport mode trunk
switchport trunk allowed vlan add 10
exit
!
interface vlan 10
ip address 1.1.1.130 255.255.255.0
exit
  • Нет меток