08) 802.1x Port-security based
La norme IEEE 802.1X définit un protocole de contrôle d'accès et d'authentification basé sur le port qui empêche les stations de travail non autorisées de se connecter à un réseau local0
Supplicant (client) - Le poste de travail qui demande l'accès aux réseau local. Le poste de travail doit exécuter un logiciel client conforme à la norme 802.1X.
Authenticator (Switch) - Contrôle l'accès physique au réseau en fonction de l'authentification du client. Le commutateur agit comme un proxy entre le client (suppliant) et le serveur d'authentification. Il est chargé d'encapsuler et de désencapsuler les trames EAP (Extensible Authentication Protocol) et d'interagir avec le serveur d'authentification.
Authentication server - Effectue l'authentification du client. Le serveur d'authentification valide l'identité du client et notifie au commutateur si le client est autorisé à accéder au réseau local et à changer de services.
Tant que la station de travail n'est pas authentifiée, le contrôle d'accès 802.1X permet uniquement le trafic des protocoles EAPOL, CDP, STP (Spanning Tree Protocol) sur le port auquel la station de travail est connectée.
Configuration
Etape 1. Activez AAA en utilisant la commande aaa new-model et configurez le serveur RADIUS.
S1(config)# aaa new-model
S1(config)# radius server SRV-RADIUS
S1(config-radius-server)# address ipv4 <ipv4-address> auth-port 1812 acct-port 1813
S1(config-radius-server)# key <secret-key>
S1(config-radius-server)# exit
Etape 2. Créez une liste de méthodes d'authentification basées sur les ports 802.1X et Activez globalement l'authentification basée sur le port 802.1X.
S1(config)# aaa authentication dot1x default group radius
S1(config)# dot1x system-auth-control
Etape 4. Activez l'authentification basée sur le port sur l'interface.
S1(config)# interface F0/1
S1(config-if)# switchport mode access
S1(config-if)# authentication port-control auto !-- Enable Security port based
S1(config-if)# dot1x pae authenticator !-- Enable 802.1X Authentication
Configuration des ports pour le 802.1x
S1(config)# authentication port-control {auto | force-authorized | force-unauhorized}
| Parametre | Description |
|---|---|
| auto | Active l'authentification 802.1X basée sur le port et fait en sorte que le port commence à l'état non autorisé, permettant uniquement l'envoi et la réception de trames EAPOL, STP et CDP. |
| force-authorized | Le port envoie et reçoit un trafic sans authentification du client basée sur la norme 802.1x (Par défaut). |
| force-unauhorized | Le port reste dans l'état non autorisé, ignorant toutes les tentatives d'authentification du client. Le commutateur ne peut pas fournir de services d'authentification au client par le biais du port. |
Exemple
S1(config)# aaa new-model
S1(config)#
S1(config)# radius server CCNAS
S1(config-radius-server)# address ipv4 10.1.1.50 auth-port 1812 acct-port 1813
S1(config-radius-server)# key RADIUS-Pa55w0rd
S1(config-radius-server)# exit
S1(config)#
S1(config)# aaa authentication dot1x default group radius
S1(config)# dot1x system-auth-control
S1(config)#
S1(config)# interface F0/1
S1(config-if)# description Access Port
S1(config-if)# switchport mode access
S1(config-if)# authentication port-control auto
S1(config-if)# dot1x pae authenticator