802.1x — различия между версиями

Материал из wiki
Перейти к: навигация, поиск
(Контроль доступа IEEE 802.1x на уровне порта)
(Freeradius)
 
(не показаны 2 промежуточные версии этого же участника)
Строка 1: Строка 1:
 
=Контроль доступа IEEE 802.1x на уровне порта=
 
=Контроль доступа IEEE 802.1x на уровне порта=
  
 +
==Freeradius==
 +
Freeradius:
 +
 +
 +
Attr 11  -Filter-Id (string) := <ACL-NAME>.in
 +
 +
 +
<pre>Username Cleartext-Password := “pass”
 +
Filter-Id = “<ACL-NAME>.in"
 +
 +
Cisco: ip access-list ext <ACL-NAME>
 +
</pre>
 +
 +
==Коммутатор==
 
<code>
 
<code>
 
!  c2960 12.2(55)SE10
 
!  c2960 12.2(55)SE10

Текущая версия на 08:40, 16 мая 2017

Контроль доступа IEEE 802.1x на уровне порта

Freeradius

Freeradius:


Attr 11 -Filter-Id (string) := <ACL-NAME>.in


Username Cleartext-Password := “pass”
	Filter-Id = “<ACL-NAME>.in"

Cisco: ip access-list ext <ACL-NAME>

Коммутатор

!   c2960 12.2(55)SE10
!
!
!
! Включить управление доступом AAA
!
aaa new-model
!
! По-умолчанию проверять подлинность клиентов 802.1x на группе радиус-серверов
!
aaa authentication dot1x default group radius
!
! По-умолчанию назначать на портах настройки сети полученные с группы радиус-серверов
!
aaa authorization network default group radius 
!
! В пакетах учета не указывать пустое имя пользователя
!
aaa accounting suppress null-username
!
! Посылать пакеты учета сразу, как только имеется новая информация по клиенту,
! и в дальнейшем каждую 1 минуту обновлять
!
aaa accounting update newinfo periodic 1
!
! По-умолчанию вести учет по состоянию клиентов,
! уведомлять о начале и конце сессии группу радиус серверов
!
aaa accounting dot1x default start-stop group radius
!
! Исключить из DHCP пулов адреса шлюзов, и адрес RADIUS-сервера
!
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 172.16.0.1
ip dhcp excluded-address 10.0.0.1
ip dhcp excluded-address 10.0.0.100
!
! Создать пулы DHCP адресов для трех VLAN
! Админский, пользовательский, гостевой
! Время аренды адреса - 0 дней, 0 часов, 5 минут
!
ip dhcp pool guest
   network 192.168.0.0 255.255.255.0
   lease 0 0 5
!
ip dhcp pool user
   network 172.16.0.0 255.255.255.0
   lease 0 0 5
!
ip dhcp pool mgmt
   network 10.0.0.0 255.255.255.0
   lease 0 0 5
!
! Настроить DHCP снупинг на влан 10,172,192
! Включить снупинг для контроля выдачи адресов
!
ip dhcp snooping vlan 10,172,192
ip dhcp snooping
!
! Включить 802.1x
!
dot1x system-auth-control
!
! Влючить быстрый режим Spanning-tree
!
spanning-tree mode rapid-pvst
!
! Создать три VLAN'а
! Админский, пользовательский, гостевой
!
vlan 10
 name Admins
!
vlan 172
 name Users
!
vlan 192
 name Guests
!
!
!
!
!
! Для всех пользовательских портов
! настроить 802.1x
!
interface range FastEthernet0/1 - 48
 ! 
 ! включить влан доступа 172
 ! в этот влан попадут зарегистрированные пользователи
 !
 switchport access vlan 172
 switchport mode access
 !
 ! включить контроль подмены мак-адресов
 !
 switchport port-security
 !
 ! в случае неуспешной авторизации или отсутствия EAP отклика
 ! от клиента, поместить порт в гостевай влан - 192
 !
 authentication event fail action authorize vlan 192
 authentication event no-response action authorize vlan 192
 !
 ! разрешить использовать помимо 802.1x
 ! еще и обход авторизации по MAC-уровню
 ! (и, в частности, гостевой влан)
 !
 authentication order dot1x mab
 !
 ! запустить автоматическую аутентификацию на порту
 !
 authentication port-control auto
 ! 
 ! при попытке неавторизованного доступа (подмена мака)
 ! отбрасывать пакеты
 !
 authentication violation protect
 !
 ! режим порта - аутентикатор, проверяющий
 ! 
 dot1x pae authenticator
 !
 ! установить таймауты между попытками авторизовать клиента,
 ! ожидания отклика от клиента, передачи запросов, все на 15 секунд
 !
 dot1x timeout quiet-period 15
 dot1x timeout tx-period 15
 dot1x timeout supp-timeout 15
 !
 ! количество попыток проверить подлинность – 1, при неудаче, переходить к следующему
 !  методу  (обход по мак)
 !
 dot1x max-req 1
 dot1x max-reauth-req 1
 !
 ! включить быстрый STP на порту,
  ! для быстрого перехода к авторизации клиента
 !
 spanning-tree portfast
!
! на гигабитные порты назначить админский влан 10
! для доступа к радиус серверу
! 
interface range GigabitEthernet0/1 - 2
 switchport access vlan 10
 switchport mode access
 spanning-tree portfast
!
! поднять три интерфейса для трех вланов,
! сети - Админская 10, Пользовательская - 172.16,
! гостевая - 192.168. 
!
interface Vlan10
 descriptions Admin
 ip address 10.0.0.1 255.255.255.0
 no shut
!
interface Vlan172
 description User
 ip address 172.16.0.1 255.255.255.0
 no shut
!
interface Vlan192
 description Guest
 ip address 192.168.0.1 255.255.255.0
 no shut
!
! назначить радиус-сервер 10.0.0.100
! порт аутентикации - 1645
! порт учета - 1646
! ключ шифрования - supersecret
!
radius-server host 10.0.0.100 auth-port 1645 acct-port 1646 key supersecret
!
! разрешить отправку и прием радиус атрибутов Vendor-Specific
!
radius-server vsa send accounting
radius-server vsa send authentication
!