802.1X – это стандарт портовой аутентификации на основе протокола EAP (Extensible Authentication Protocol). Он позволяет централизованно управлять доступом к сети через RADIUS-сервер. Клиент (суппликант) инициирует аутентификацию, коммутатор выступает в роли посредника (аутентификатора) и передаёт учётные данные на RADIUS-сервер. Если сервер подтверждает подлинность, порт переводится в авторизованное состояние, и клиент получает доступ к сети.
MAB (MAC Authentication Bypass) – механизм, при котором аутентификация выполняется по MAC-адресу устройства. Это упрощённый вариант, используемый для устройств, не поддерживающих 802.1X (например, принтеры, IP-камеры, некоторые VoIP-телефоны). Коммутатор отправляет на RADIUS-сервер запрос с MAC-адресом клиента в качестве имени пользователя и пароля (обычно тот же MAC), и если он есть в базе, порт открывается.
Базовая конфигурация RADIUS и аутентификации на портах
Интерфейс gi1/0/7 – только MAC-авторизация (MAB).
Интерфейс gi1/0/8 – только 802.1X.
Интерфейс gi1/0/9 – и 802.1X, и MAB
vlan database vlan 100,200 exit dot1x system-auth-control ! radius-server host 192.168.1.10 key eltex ! interface gigabitethernet1/0/7 dot1x reauthentication dot1x timeout reauth-period 300 dot1x authentication mac dot1x port-control auto switchport access vlan 200 exit ! interface gigabitethernet1/0/8 dot1x reauthentication dot1x timeout reauth-period 300 dot1x port-control auto switchport access vlan 200 exit ! interface gigabitethernet1/0/9 dot1x reauthentication dot1x timeout reauth-period 300 dot1x authentication 802.1x mac dot1x port-control auto switchport access vlan 200 exit ! interface vlan 100 ip address 192.168.1.20 255.255.255.0 exit
Примечание: в данной конфигурации при отсутствии доступа к radius-серверу спустя настроенное количество retries по настроенному timeout порт перейдет в статус "Не авторизован". Можно изменить данное поведение, прописав команду aaa authentication dot1x default radius none - в этом случае порт перейдёт в статус "Авторизован" по методу none.
Режимы работы порта (host-mode)
Поддерживается три режима работы порта, задаваемых командой dot1x host-mode:
single-host – на порту может быть авторизовано только одно устройство. После успешной аутентификации порт открывается для этого MAC-адреса, остальные блокируются. Используется для подключения одного конечного устройства.
multi-host (по умолчанию) – порт авторизуется по первому успешно прошедшему аутентификацию устройству. После этого весь порт считается авторизованным, и все последующие устройства (даже не проходящие аутентификацию) получают доступ.
multi-sessions – каждое устройство, подключённое к порту, проходит отдельную аутентификацию. Порт может содержать одновременно несколько авторизованных сессий с разными VLAN (например, через guest VLAN или voice VLAN). Этот режим обязателен при использовании voice VLAN.
Для смены режима используется команда dot1x host-mode <режим> в конфигурации интерфейса.
Настройка guest VLAN
Guest VLAN используется для предоставления ограниченного доступа клиентам, которые не прошли аутентификацию (устройство еще не авторизовано или от RADIUS-сервера пришел Access-Reject).
interface vlan 200 dot1x guest-vlan exit interface gigabitethernet1/0/7 dot1x guest-vlan enable exit
Настройка critical VLAN
Critical VLAN – это VLAN, в который переводится порт, когда RADIUS-сервер становится недоступным. Это позволяет сохранить связность для уже авторизованных или новых устройств в аварийной ситуации. Отличие от метода авторизации "none" в том, что порт помещается в отдельный изолированный VLAN, а не остаётся в рабочем.
interface vlan 201 dot1x critical-vlan exit interface gigabitethernet1/0/7 dot1x critical-vlan enable exit
Примечание: при одновременном использовании aaa authentication dot1x default radius none и critical VLAN в случае недоступности RADIUS-сервера сработает метод none – порт перейдёт в состояние «Авторизован» и получит доступ в PVID VLAN, а не в critical VLAN.
Настройка trap-сообщений при наступлении события аутентификации
dot1x traps authentication quiet dot1x traps authentication failure 802.1x mac dot1x traps authentication success 802.1x mac
quiet - отправка trap-сообщений при превышении пользователем максимально допустимого количества безуспешных попыток аутентификации.
failure - отправка trap-сообщений, когда клиент не прошел аутентификацию.
success - отправка trap-сообщений, когда клиент успешно проходит аутентификацию.
Совместная работа 802.1X, MAB и voice VLAN
Начиная с версии ПО 6.6.10, добавлена команда voice vlan authentication bypass enable, которая позволяет пропускать авторизацию для VoIP-телефонов, работающих в voice VLAN. При этом основной порт может обслуживать и другие устройства, которые проходят аутентификацию через 802.1X/MAB. Данная возможность доступна только для режимов single-host и multi-sessions. Рекомендуется использовать multi-sessions, чтобы каждое устройство (телефон и компьютер) имело свою отдельную сессию.
Пример конфигурации:
vlan database vlan 10,20 exit ! voice vlan id 20 voice vlan state oui-enabled voice vlan oui-table add 6813e2 ! dot1x system-auth-control dot1x traps authentication quiet dot1x traps authentication failure 802.1x mac dot1x traps authentication success 802.1x mac ! no lldp med network-policy voice auto lldp med network-policy 1 voice vlan 20 vlan-type tagged up 4 ! encrypted radius-server host 1.1.1.1 key 5pNZcRpTRFB4If8yvO3UmSF+f73BroxCvenofyaxAsM= ! interface gigabitethernet1/0/3 dot1x host-mode multi-sessions dot1x reauthentication dot1x timeout reauth-period 300 dot1x authentication mac dot1x port-control auto switchport mode general switchport general allowed vlan add 10 untagged switchport general pvid 10 lldp med enable network-policy lldp med network-policy add 1 voice vlan enable voice vlan authentication bypass enable exit ! interface gigabitethernet1/0/12 switchport mode trunk switchport trunk allowed vlan add 10 exit ! interface vlan 10 ip address 1.1.1.130 255.255.255.0 exit
