802.1x
Версия от 03:41, 16 мая 2017; Moiseevvi (обсуждение | вклад) (Новая страница: «=Контроль доступа IEEE 802.1x на уровне порта= <code> ! ! Включить управление доступом AAA ! aaa new-model…»)
Контроль доступа IEEE 802.1x на уровне порта
!
! Включить управление доступом AAA
!
aaa new-model
!
! По-умолчанию проверять подлинность клиентов 802.1x на группе радиус-серверов
!
aaa authentication dot1x default group radius
!
! По-умолчанию назначать на портах настройки сети полученные с группы радиус-серверов
!
aaa authorization network default group radius
!
! В пакетах учета не указывать пустое имя пользователя
!
aaa accounting suppress null-username
!
! Посылать пакеты учета сразу, как только имеется новая информация по клиенту,
! и в дальнейшем каждую 1 минуту обновлять
!
aaa accounting update newinfo periodic 1
!
! По-умолчанию вести учет по состоянию клиентов,
! уведомлять о начале и конце сессии группу радиус серверов
!
aaa accounting dot1x default start-stop group radius
!
! Исключить из DHCP пулов адреса шлюзов, и адрес RADIUS-сервера
!
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 172.16.0.1
ip dhcp excluded-address 10.0.0.1
ip dhcp excluded-address 10.0.0.100
!
! Создать пулы DHCP адресов для трех VLAN
! Админский, пользовательский, гостевой
! Время аренды адреса - 0 дней, 0 часов, 5 минут
!
ip dhcp pool guest
network 192.168.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool user
network 172.16.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool mgmt
network 10.0.0.0 255.255.255.0
lease 0 0 5
!
! Настроить DHCP снупинг на влан 10,172,192
! Включить снупинг для контроля выдачи адресов
!
ip dhcp snooping vlan 10,172,192
ip dhcp snooping
!
! Включить 802.1x
!
dot1x system-auth-control
!
! Влючить быстрый режим Spanning-tree
!
spanning-tree mode rapid-pvst
!
! Создать три VLAN'а
! Админский, пользовательский, гостевой
!
vlan 10
name Admins
!
vlan 172
name Users
!
vlan 192
name Guests
!
!
!
!
!
! Для всех пользовательских портов
! настроить 802.1x
!
interface range FastEthernet0/1 - 48
!
! включить влан доступа 172
! в этот влан попадут зарегистрированные пользователи
!
switchport access vlan 172
switchport mode access
!
! включить контроль подмены мак-адресов
!
switchport port-security
!
! в случае неуспешной авторизации или отсутствия EAP отклика
! от клиента, поместить порт в гостевай влан - 192
!
authentication event fail action authorize vlan 192
authentication event no-response action authorize vlan 192
!
! разрешить использовать помимо 802.1x
! еще и обход авторизации по MAC-уровню
! (и, в частности, гостевой влан)
!
authentication order dot1x mab
!
! запустить автоматическую аутентификацию на порту
!
authentication port-control auto
!
! при попытке неавторизованного доступа (подмена мака)
! отбрасывать пакеты
!
authentication violation protect
!
! режим порта - аутентикатор, проверяющий
!
dot1x pae authenticator
!
! установить таймауты между попытками авторизовать клиента,
! ожидания отклика от клиента, передачи запросов, все на 15 секунд
!
dot1x timeout quiet-period 15
dot1x timeout tx-period 15
dot1x timeout supp-timeout 15
!
! количество попыток проверить подлинность – 1, при неудаче, переходить к следующему
! методу (обход по мак)
!
dot1x max-req 1
dot1x max-reauth-req 1
!
! включить быстрый STP на порту,
! для быстрого перехода к авторизации клиента
!
spanning-tree portfast
!
! на гигабитные порты назначить админский влан 10
! для доступа к радиус серверу
!
interface range GigabitEthernet0/1 - 2
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
! поднять три интерфейса для трех вланов,
! сети - Админская 10, Пользовательская - 172.16,
! гостевая - 192.168.
!
interface Vlan10
descriptions Admin
ip address 10.0.0.1 255.255.255.0
no shut
!
interface Vlan172
description User
ip address 172.16.0.1 255.255.255.0
no shut
!
interface Vlan192
description Guest
ip address 192.168.0.1 255.255.255.0
no shut
!
! назначить радиус-сервер 10.0.0.100
! порт аутентикации - 1645
! порт учета - 1646
! ключ шифрования - supersecret
!
radius-server host 10.0.0.100 auth-port 1645 acct-port 1646 key supersecret
!
! разрешить отправку и прием радиус атрибутов Vendor-Specific
!
radius-server vsa send accounting
radius-server vsa send authentication
!