(TK) Protokół 802.1x*

Protokół 802.1x

Teoria protokołu 802.1x

Protokół 802.1X

  • Protokół 802.1X umożliwia przeprowadzenie autentykacji użytkowników końcowych za pomocą funkcji EAPOL (Extensible Authentication Protocol over LANs). Funkcja ta wymusza przeprowadzenie procesu autoryzacji podłączonego urządzenia poprzez autentykację użytkownika za pomocą loginu i hasła. W przypadku pozytywnego wyniku ruch sieciowy na danym interfejsie zostaje odblokowany, jednak zarówno w przypadku błędnej autentykacji jak i w sytuacji, w której urządzenie końcowe nie wspiera protokołu 802.1X, ruch na danym interfejsie zostaje zablokowany.

Zasada działania autentykacji za pomocą protokołu IEEE 802.1X

  • Po włączeniu funkcji autentykacji użytkowników końcowych na danym interfejsie przełącznika, cały ruch na niego kierowany będzie blokowany do czasu pozytywnej autentykacji za pomocą protokołu 802.1x.
  • Protokół 802.1x podobnie do funkcji AAA, uwierzytelnia użytkowników za pomocą zewnętrznego serwera.
  • Protokół 802.1x jest przeważnie konfigurowany na interfejsach podłączonych do użytkowników końcowych, natomiast na interfejsach podłączonych do innych urządzeń sieciowych protokół ten powinien być wyłączony.
  • Po podłączeniu nowego urządzenia do interfejsu przełącznika z włączanym protokołem 802.1x, przełącznik (Authenticator) wyślą zapytanie 802.1x z prośbą o autentykację użytkownika końcowego (Supplicant).
  • Podłączone urządzenie końcowe musi wspierać obsługą protokołu 802.1x, w innym przypadku nie dojdzie do autentykacji a ruch sieciowy pozostanie blokowany na danym interfejsie.
  • W celu autoryzacji użytkowników końcowych, 802.1x wykorzystuje protokół EAP (Extensible Authentication Protocol).
  • W komunikacji użytkownika końcowego (Supplicant) z przełącznikiem (Authenticator), protokół EAP jest enkapsulowany w ramkę Ethernet-ową zwaną EAPoL (EAP over LAN). Po odebraniu ramki przełącznik tworzy nowy pakiet IP, wysyłając go do serwera przykładowo wspierającego protokół RADIUS.
Protokół 802.1x współpracuje jedynie z serwerami autentykacji AAA, wspierającymi protokół Radius z rozszerzeniem EAP.

Konfiguracja protokołu 802.1X

Konfiguracja Protokołu 802.1X

(config)# aaa new-model

Aktywuje funkcję AAA na konfigurowanym urządzeniu.

(config)# radius-server host adres-IP key klucz

Dodaje nowy serwer autentykacji AAA (W przypadku wykorzystywania protokołu 802.1X istnieje możliwość zastosowania jedynie autentykacji z użyciem serwera Radius).

(config)# aaa authentication dot1x default group radius

Ustawia autentykację użytkowników z wykorzystaniem standardu 802.1X na współpracę z bazą serwera AAA.

(config)# dot1x system-auth-control

Globalnie włącza autentykacje użytkowników z wykorzystaniem standardu 802.1X.

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# dot1x port-control {force-authorization / force-unauthorized / auto}(force-authorization)

Aktywuje standard 802.1X na wskazanych interfejsach danego przełącznika.
* force-authorization – Interfejs jest w stanie automatycznej autentykacji, nie wymaga tym samym podawania poświadczeń użytkownika (Za pomocą protokołu EAPOL) przy podłączeniu nowego urządzenia.
* force-unauthorized – Interfejs jest blokowany a tym samym nie może przejść w stan pełnej autentykacji.
* auto – Do odblokowania pełnej funkcjonalności interfejsu konieczna jest autoryzacja użytkownika końcowego.

(config-if)# dot1x host-mode mulit-host

Umożliwia podłączenie wielu urządzeń końcowych do jednego interfejsu.

Komendy SHOW

# show dot1x all

Wyświetla ustawienia protokołu 802.1x na danym przełączniku.

# show authentication sessions

Wyświetla wszystkie sesje użytkowników zalogowanych za pomocą protokołu 802.1X.

# show authentication history

Wyświetla historię sesji użytkowników zalogowanych za pomocą protokołu 802.1X.

# show authentication statistics

Wyświetla statystyki użytkowników zalogowanych za pomocą protokołu 802.1X.

Pozostałe tematy związane z protokołem AAA

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz