Аутентификация на основе стандарта 802.1х обеспечивает проверку подлинности пользователей коммутатора через внешний сервер на основе порта, к которому подключен клиент. Только аутентифицированные и авторизованные пользователи смогут передавать и принимать данные. Проверка подлинности пользователей портов выполняется сервером RADIUS посредством протокола EAP (Extensible Authentication Protocol). Помимо аутентификации пользователей по dot1x возможно выполнять проверку подлинности пользователей по MAB. По умолчанию после включения dot1x на портах всегда работают оба режима авторизации (dot1x и MAB), опционально не отключается.
Пример возможной настройки
Создадим необходимые VLAN на коммутаторе и настроим IP-адрес управления коммутатором. VLAN 100 используем в качестве DATA VLAN для авторизованных пользователей. VLAN 2 - management VLAN для управления коммутатором и обеспечения связности с Radius-сервером.
configure
vlan 2,100
vlan active
exit
interface vlan 2
ip address 192.168.2.2 /24
Radius-сервер подключим за портом gi0/24, пробросим все VLAN на данный порт:
interface gigabitethernet 0/24
switchport mode trunk
Включим режим аутентификации 802.1x на коммутаторе:
dot1x system-auth-control
Зададим базу данных Radius, к которой коммутатор в дальнейшем будет обращаться для проверки при аутентификации клиентов за портами, и укажем IP-адрес используемого Radius-сервера и ключ для аутентификации и шифрования обмена данными с ним:
aaa authentication dot1x default group radius
radius-server host 192.168.2.1 key test
Выполним далее настройки порта gi0/1, куда будет подключен пользователь, проверку подлинности которого требуется выполнять.
interface gigabitethernet 0/1
dot1x port-control auto
dot1x host-mode multi-session
dot1x reauthentication
dot1x timeout reauth-period 30
switchport general allowed vlan add 100 untagged
switchport general pvid 100
Каждые 30 секунд будет выполняться реаутентификация пользователей. Данный интервал можно изменить на любой другой из промежутка 1-65535 секунд (по умолчанию при включении реаутентификации устанавливается интервал 3600 с).
В режиме multi-session авторизацию должно пройти каждое устройство за этим портом. При режиме multi-host после авторизации пользователя трафик будет проходить от любого хоста за этим портом коммутатора, то есть авторизуется полностью порт.
Начиная с версии ПО 10.3.4, реализована команда dot1x radius-attributes vlan, позволяющая включить на коммутаторе обработку опции Tunnel-Private-Group-ID (81) в поступающих от RADIUS-сервера сообщениях. Таким образом, коммутатор сможет направлять трафик пользователя во VLAN, которую сообщил Radius-сервер в случае успешной авторизации пользователя. Команда dot1x radius-attributes vlan optional позволяет авторизовать пользователей за портом несмотря на отсутствие опции Tunnel-Private-Group-ID (81) от Radius-сервера.