802.1x — различия между версиями
Moiseevvi (обсуждение | вклад) (→Контроль доступа IEEE 802.1x на уровне порта) |
Moiseevvi (обсуждение | вклад) (→Freeradius) |
||
Строка 3: | Строка 3: | ||
==Freeradius== | ==Freeradius== | ||
Freeradius: | Freeradius: | ||
− | + | ||
+ | |||
Attr 11 -Filter-Id (string) := <ACL-NAME>.in | Attr 11 -Filter-Id (string) := <ACL-NAME>.in | ||
− | Username Cleartext-Password := “pass” | + | |
+ | |||
+ | <pre>Username Cleartext-Password := “pass” | ||
Filter-Id = “<ACL-NAME>.in | Filter-Id = “<ACL-NAME>.in | ||
Cisco: ip access-list ext <ACL-NAME> | Cisco: ip access-list ext <ACL-NAME> | ||
</pre> | </pre> | ||
+ | |||
==Коммутатор== | ==Коммутатор== | ||
<code> | <code> |
Версия 04:04, 16 мая 2017
Контроль доступа IEEE 802.1x на уровне порта
Freeradius
Freeradius:
Attr 11 -Filter-Id (string) := <ACL-NAME>.in
Username Cleartext-Password := “pass” Filter-Id = “<ACL-NAME>.in Cisco: ip access-list ext <ACL-NAME>
Коммутатор
! c2960 12.2(55)SE10
!
!
!
! Включить управление доступом AAA
!
aaa new-model
!
! По-умолчанию проверять подлинность клиентов 802.1x на группе радиус-серверов
!
aaa authentication dot1x default group radius
!
! По-умолчанию назначать на портах настройки сети полученные с группы радиус-серверов
!
aaa authorization network default group radius
!
! В пакетах учета не указывать пустое имя пользователя
!
aaa accounting suppress null-username
!
! Посылать пакеты учета сразу, как только имеется новая информация по клиенту,
! и в дальнейшем каждую 1 минуту обновлять
!
aaa accounting update newinfo periodic 1
!
! По-умолчанию вести учет по состоянию клиентов,
! уведомлять о начале и конце сессии группу радиус серверов
!
aaa accounting dot1x default start-stop group radius
!
! Исключить из DHCP пулов адреса шлюзов, и адрес RADIUS-сервера
!
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 172.16.0.1
ip dhcp excluded-address 10.0.0.1
ip dhcp excluded-address 10.0.0.100
!
! Создать пулы DHCP адресов для трех VLAN
! Админский, пользовательский, гостевой
! Время аренды адреса - 0 дней, 0 часов, 5 минут
!
ip dhcp pool guest
network 192.168.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool user
network 172.16.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool mgmt
network 10.0.0.0 255.255.255.0
lease 0 0 5
!
! Настроить DHCP снупинг на влан 10,172,192
! Включить снупинг для контроля выдачи адресов
!
ip dhcp snooping vlan 10,172,192
ip dhcp snooping
!
! Включить 802.1x
!
dot1x system-auth-control
!
! Влючить быстрый режим Spanning-tree
!
spanning-tree mode rapid-pvst
!
! Создать три VLAN'а
! Админский, пользовательский, гостевой
!
vlan 10
name Admins
!
vlan 172
name Users
!
vlan 192
name Guests
!
!
!
!
!
! Для всех пользовательских портов
! настроить 802.1x
!
interface range FastEthernet0/1 - 48
!
! включить влан доступа 172
! в этот влан попадут зарегистрированные пользователи
!
switchport access vlan 172
switchport mode access
!
! включить контроль подмены мак-адресов
!
switchport port-security
!
! в случае неуспешной авторизации или отсутствия EAP отклика
! от клиента, поместить порт в гостевай влан - 192
!
authentication event fail action authorize vlan 192
authentication event no-response action authorize vlan 192
!
! разрешить использовать помимо 802.1x
! еще и обход авторизации по MAC-уровню
! (и, в частности, гостевой влан)
!
authentication order dot1x mab
!
! запустить автоматическую аутентификацию на порту
!
authentication port-control auto
!
! при попытке неавторизованного доступа (подмена мака)
! отбрасывать пакеты
!
authentication violation protect
!
! режим порта - аутентикатор, проверяющий
!
dot1x pae authenticator
!
! установить таймауты между попытками авторизовать клиента,
! ожидания отклика от клиента, передачи запросов, все на 15 секунд
!
dot1x timeout quiet-period 15
dot1x timeout tx-period 15
dot1x timeout supp-timeout 15
!
! количество попыток проверить подлинность – 1, при неудаче, переходить к следующему
! методу (обход по мак)
!
dot1x max-req 1
dot1x max-reauth-req 1
!
! включить быстрый STP на порту,
! для быстрого перехода к авторизации клиента
!
spanning-tree portfast
!
! на гигабитные порты назначить админский влан 10
! для доступа к радиус серверу
!
interface range GigabitEthernet0/1 - 2
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
! поднять три интерфейса для трех вланов,
! сети - Админская 10, Пользовательская - 172.16,
! гостевая - 192.168.
!
interface Vlan10
descriptions Admin
ip address 10.0.0.1 255.255.255.0
no shut
!
interface Vlan172
description User
ip address 172.16.0.1 255.255.255.0
no shut
!
interface Vlan192
description Guest
ip address 192.168.0.1 255.255.255.0
no shut
!
! назначить радиус-сервер 10.0.0.100
! порт аутентикации - 1645
! порт учета - 1646
! ключ шифрования - supersecret
!
radius-server host 10.0.0.100 auth-port 1645 acct-port 1646 key supersecret
!
! разрешить отправку и прием радиус атрибутов Vendor-Specific
!
radius-server vsa send accounting
radius-server vsa send authentication
!