802.1x example guide config
03.12 2019 | by massimilianoDi seguito una semplice guida di esempio per la configurazione 802.1x 1) definizione server Radius Old format radius-server […]
https://www.ingegnerianetworking.com/wp-content/uploads/2019/12/VoIP-phone-connection-a23.gif
Di seguito una semplice guida di esempio per la configurazione 802.1x
1) definizione server Radius
Old format
radius-server host 192.168.0.1 auth-port 1812 acct-port 1813
radius-server host 192.168.0.2 auth-port 1812 acct-port 1813
radius-server retransmit 1
radius-server timeout 2
radius-server key 7 < key >
New format
radius server dot1x-radius1
address ipv4 192.168.0.1 auth-port 1812 acct-port 1813
timeout 2
retransmit 1
key 7 < key >
radius server dot1x-radius2
address ipv4 192.168.0.2 auth-port 1812 acct-port 1813
timeout 2
retransmit 1
key 7 < key >
2) enable AAA
aaa new-model
aaa group server radius dot1x-auth
server name dot1x-radius1
server name dot1x-radius2
aaa authentication dot1x default group dot1x-auth
aaa accounting dot1x default start-stop group dot1x-auth
aaa authorization network default group dot1x-auth
3) enable 802.1x
dot1x system-auth-control
4) configurazione porte switch di accesso
interface range gi0/1 – 48
description 802.1x authentication
switchport
switchport mode access
authentication port-control auto
dot1x pae authenticator
authentication port-control auto # oppure < dot1x port-control auto >
5) configurazione porte VOIP
interface gi/0/1 – 48
description 802.1x authentication voip single-phone
authentication host-mode single-host
cdp enable
NOTA: la funzione single-host consente l’autenticazione per un solo mac-address (viceversa una falsa autenticazione porta la porta dello swith in uno status di err-disable); generalmente quando abbiamo un telefono voip questo è collegato alla porta dello switch secondo questo schema:
in questo caso abbiamo due mac-address, uno per i dati e l’altro per il voip, ed il comando con single-host ignora il mac visto nella voice vlan ma appena si fa uno shut no-shut della porta (oppure un reboot dello switch) i due mac-address sono visti come nel seguente output (comportamento di default):
switch#sh mac add int fa2/5
Mac Address Table
——————————————-
Vlan Mac Address Type Ports
10 aaaa.bbbb.cccc DYNAMIC fa2/5
20 aaaa.bbbb.cccc DYNAMIC fa2/5
Total Mac Addresses for this criterion: 2
Questo potrebbe essere un problema per manutenzione ed operatività . La soluzione è quella di cambiare il comando da single-host a multi-domain (MDA)
interface gi/0/1 – 48
description 802.1x authentication voip
authentication host-mode multi-domain
MDA authentication permette un mac-address per la vlan dati ed un mac-address per la vlan voce; simile alla modalità single-mode ma in questo caso richiede l’autenticazione del devices nella vlan voce.
Esiste anche una terza opzione che si chiama ” autenticazione multipla ” e la differenza con MDA è che questa permette multipli mac-address attraverso la vlan dati e tutti i devices possono accedere in modo autenticato.
interface gi/0/1 – 48
description 802.1x authentication voip
authentication host-mode multi-auth
6) modalità di recovery in caso di err-disable di una porta
errdisable detect cause security-violation shutdown vlan
errdisable recovery cause security-violation
7) configurazione MAB
Per un qualsiasi devices che non supporta 802.1x è possibile autenticarlo via MAB (Mac-Address Bypass); in caso di fallimento di una autenticazione con 802.1x cisco supporta una funzionalità che permette chiamato MAC dove lo switch di accesso invia un messaggio con il suo indirizza MAC al server Radius. Il server Radius controllo il suo database e se il mac-address devices è presente allora invia un messaggio allo switch di poter dare accesso al devices con successo
interface gi/0/1 – 48
description 802.1x authentication
mab # oppure < dot1x mac-auth-bypass >
NOTA: uno switch cisco ha un tempo di default di circa 90 sec per la transizione tra un devices non-802.1x da non autorizzato ad autorizzato e questo potrebbe essere un problema con DHCP oppure PXE client.
90 sec sono una combinazione tra < dot1x max-reauth-req > e < dot1x timeout tx-period values > ; si raccomanda in caso di necessità di modificare i seguenti valori attraverso questi comandi:
interface range gi0/1 – 48
dot1x max-reauth-req 1
dot1x timeout tx-period timer 10
8) configurazione per WoL (Wake on Lan)
interface range gi0/1 – 48
authentication control-direction in
NOTA: in caso di WoL abbiamo la necessità di configurare la porta dello switch permettendo il traffico outbound verso la porta non-autorizzata e controllare il traffico di tipo inbound .