802.1x example guide config

Home » Blog » Switching » ibns » 802.1x example guide config

802.1x example guide config

03.12 2019 | by massimiliano

Di seguito una semplice guida di esempio per la configurazione 802.1x   1) definizione server Radius   Old format radius-server […]


https://www.ingegnerianetworking.com/wp-content/uploads/2019/12/VoIP-phone-connection-a23.gif

Di seguito una semplice guida di esempio per la configurazione 802.1x

 

1) definizione server Radius

 

Old format

radius-server host 192.168.0.1 auth-port 1812 acct-port 1813

radius-server host 192.168.0.2 auth-port 1812 acct-port 1813

radius-server retransmit 1

radius-server timeout 2

radius-server key 7 < key >

 

New format

radius server dot1x-radius1

address ipv4 192.168.0.1 auth-port 1812 acct-port 1813

timeout 2

retransmit 1

key 7 < key >

radius server dot1x-radius2

address ipv4 192.168.0.2 auth-port 1812 acct-port 1813

timeout 2

retransmit 1

key 7 < key >

 

 

2) enable AAA

 

aaa new-model

aaa group server radius dot1x-auth

  server name dot1x-radius1

  server name dot1x-radius2

aaa authentication dot1x default group dot1x-auth

aaa accounting dot1x default start-stop group dot1x-auth

aaa authorization network default group dot1x-auth

 

3) enable 802.1x

 

dot1x system-auth-control

 

 

4) configurazione porte switch di accesso

 

interface range gi0/1 – 48

description 802.1x authentication

switchport

switchport mode access

authentication port-control auto

dot1x pae authenticator

authentication port-control auto         # oppure < dot1x port-control auto >

 

 

5) configurazione porte VOIP

 

interface gi/0/1 – 48

description 802.1x authentication voip single-phone

authentication host-mode single-host

cdp enable

 

NOTA: la funzione single-host consente l’autenticazione per un solo mac-address (viceversa una falsa autenticazione porta la porta dello swith in uno status di err-disable); generalmente quando abbiamo un telefono voip questo è collegato alla porta dello switch secondo questo schema:

 

VoIP phone connection

 

in questo caso abbiamo due mac-address, uno per i dati e l’altro per il voip, ed il comando con single-host ignora il mac visto nella voice vlan ma appena si fa uno shut no-shut della porta (oppure un reboot dello switch) i due mac-address sono visti come nel seguente output (comportamento di default):

 

switch#sh mac add int fa2/5         

Mac Address Table

——————————————- 

Vlan    Mac Address       Type        Ports

 10    aaaa.bbbb.cccc    DYNAMIC     fa2/5   

 20    aaaa.bbbb.cccc    DYNAMIC     fa2/5

 

Total Mac Addresses for this criterion: 2

 

Questo potrebbe essere un problema per manutenzione ed operatività. La soluzione è quella di cambiare il comando da single-host a multi-domain (MDA)

 

interface gi/0/1 – 48

description 802.1x authentication voip

authentication host-mode multi-domain

 

MDA authentication permette un mac-address per la vlan dati ed un mac-address per la vlan voce; simile alla modalità single-mode ma in questo caso richiede l’autenticazione del devices nella vlan voce.

Esiste anche una terza opzione che si chiama ” autenticazione multipla ” e la differenza con MDA è che questa permette multipli mac-address attraverso la vlan dati e tutti i devices possono accedere in modo autenticato.

 

interface gi/0/1 – 48

description 802.1x authentication voip

authentication host-mode multi-auth

 

 

6) modalità di recovery in caso di err-disable di una porta

 

errdisable detect cause security-violation shutdown vlan

errdisable recovery cause security-violation

 

 

7) configurazione MAB

 

Per un qualsiasi devices che non supporta 802.1x è possibile autenticarlo via MAB (Mac-Address Bypass); in caso di fallimento di una autenticazione con 802.1x cisco supporta una funzionalità che permette chiamato MAC dove lo switch di accesso invia un messaggio con il suo indirizza MAC al server Radius. Il server Radius controllo il suo database e se il mac-address devices è presente allora invia un messaggio allo switch di poter dare accesso al devices con successo

 

interface gi/0/1 – 48

description 802.1x authentication

mab    # oppure < dot1x mac-auth-bypass >

 

NOTA: uno switch cisco ha un tempo di default di circa 90 sec per la transizione tra un devices non-802.1x da non autorizzato ad autorizzato e questo potrebbe essere un problema con DHCP oppure PXE client.

90 sec sono una combinazione tra < dot1x max-reauth-req >  e < dot1x timeout tx-period values > ; si raccomanda in caso di necessità di modificare i seguenti valori attraverso questi comandi:

 

interface range gi0/1 – 48

dot1x max-reauth-req 1

dot1x timeout tx-period timer 10  

 

 

8) configurazione per WoL (Wake on Lan)

 

interface range gi0/1 – 48

authentication control-direction in

 

NOTA: in caso di WoL abbiamo la necessità di configurare la porta dello switch permettendo il traffico outbound verso la porta non-autorizzata e controllare il traffico di tipo inbound .

 

 

Torna in alto