Ce document explique comment configurer IEEE 802.1x sur un Catalyst 6500/6000 qui s'exécute en mode hybride (CatOS sur le Supervisor Engine et le logiciel Cisco IOS® sur la MSFC) et un serveur RADIUS (Remote Authentication Dial-In User Service) pour l'authentification et l'affectation de VLAN.
Les lecteurs de ce document devraient avoir connaissance des sujets suivants :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Catalyst 6500 qui exécute le logiciel CatOS version 8.5(6) sur le Supervisor Engine et le logiciel Cisco IOS version 12.2(18)SXF sur la carte MSFC
Remarque : Vous avez besoin de CatOS version 6.2 ou ultérieure pour prendre en charge l'authentification basée sur les ports 802.1x.
Remarque : avant la version 7.2(2) du logiciel, une fois l'hôte 802.1x authentifié, il rejoint un VLAN configuré en mémoire NVRAM. Avec les versions 7.2(2) et ultérieures du logiciel, après authentification, un hôte 802.1x peut recevoir son affectation VLAN du serveur RADIUS.
Cet exemple utilise Cisco Secure Access Control Server (ACS) 4.1 comme serveur RADIUS.
Remarque : un serveur RADIUS doit être spécifié avant d'activer 802.1x sur le commutateur.
Clients PC prenant en charge l'authentification 802.1x.
Remarque : Cet exemple utilise des clients Microsoft Windows XP.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
La norme IEEE 802.1x définit un protocole de contrôle d'accès et d'authentification basé sur le serveur client qui empêche les périphériques non autorisés de se connecter à un réseau local via des ports accessibles au public. 802.1x contrôle l'accès au réseau en créant deux points d'accès virtuels distincts sur chaque port. Un point d'accès est un port non contrôlé ; l'autre est un port contrôlé. Tout le trafic via le port unique est disponible pour les deux points d'accès. 802.1x authentifie chaque périphérique utilisateur connecté à un port de commutateur et attribue le port à un VLAN avant de rendre disponibles tous les services proposés par le commutateur ou le réseau local. Tant que le périphérique n'est pas authentifié, le contrôle d'accès 802.1x n'autorise que le trafic EAP (Extensible Authentication Protocol) sur le LAN (EAPOL) via le port auquel le périphérique est connecté. Une fois l'authentification réussie, le trafic normal peut passer par le port.
Dans cette section, vous trouverez les informations nécessaires à la configuration de la fonctionnalité 802.1x décrite dans ce document.
Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.
Cette configuration requiert les étapes suivantes :
Configuration du commutateur Catalyst pour l'authentification 802.1x
Configurer les clients PC pour utiliser l'authentification 802.1x
Ce document utilise la configuration réseau suivante :
Serveur RADIUS : effectue l'authentification réelle du client. Le serveur RADIUS valide l'identité du client et indique au commutateur si le client est autorisé ou non à accéder aux services du réseau local et du commutateur. Ici, le serveur RADIUS est configuré pour l'authentification et l'affectation de VLAN.
Switch : contrôle l'accès physique au réseau en fonction de l'état d'authentification du client. Le commutateur agit comme un intermédiaire (proxy) entre le client et le serveur RADIUS, demandant des informations d'identité au client, vérifiant ces informations avec le serveur RADIUS et relayant une réponse au client. Ici, le commutateur Catalyst 6500 est également configuré en tant que serveur DHCP. La prise en charge de l'authentification 802.1x pour le protocole DHCP (Dynamic Host Configuration Protocol) permet au serveur DHCP d'attribuer les adresses IP aux différentes classes d'utilisateurs finaux en ajoutant l'identité d'utilisateur authentifié dans le processus de détection DHCP.
Clients : périphériques (stations de travail) qui demandent l'accès aux services LAN et de commutation et répondent aux demandes du commutateur. Ici, les PC 1 à 4 sont les clients qui demandent un accès réseau authentifié. Les PC 1 et 2 utilisent les mêmes informations d'identification de connexion que dans le VLAN 2. De même, les PC 3 et 4 utilisent des informations d'identification de connexion pour VLAN 3. Les clients PC sont configurés pour obtenir l'adresse IP à partir d'un serveur DHCP.
Remarque : Dans cette configuration, tout client qui échoue à l'authentification ou tout client non compatible 802.1x se connectant au commutateur se voit refuser l'accès au réseau en les déplaçant vers un VLAN inutilisé (VLAN 4 ou 5) à l'aide de l'échec d'authentification et des fonctionnalités du VLAN invité.
Cet exemple de configuration de commutateur inclut :
Activez l'authentification 802.1x et les fonctions associées sur les ports FastEthernet.
Connectez le serveur RADIUS au VLAN 10 derrière le port FastEthernet 3/1.
Configuration du serveur DHCP pour deux pools d’adresses IP, l’un pour les clients du VLAN 2 et l’autre pour les clients du VLAN 3.
Routage entre réseaux locaux virtuels pour établir une connectivité entre les clients après authentification.
Reportez-vous aux Directives de configuration de l'authentification pour obtenir les instructions relatives à la configuration de l'authentification 802.1x.
Remarque : Assurez-vous que le serveur RADIUS se connecte toujours derrière un port autorisé.
Catalyst 6500 |
---|
Console (enable) set system name Cat6K System name set. !--- Sets the hostname for the switch. Cat6K> (enable) set localuser user admin password cisco Added local user admin. Cat6K> (enable) set localuser authentication enable LocalUser authentication enabled !--- Uses local user authentication to access the switch. Cat6K> (enable) set vtp domain cisco VTP domain cisco modified !--- Domain name must be configured for VLAN configuration. Cat6K> (enable) set vlan 2 name VLAN2 VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 2 configuration successful !--- VLAN should be existing in the switch !--- for a successsful authentication. Cat6K> (enable) set vlan 3 name VLAN3 VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 3 configuration successful !--- VLAN names will be used in RADIUS server for VLAN assignment. Cat6K> (enable) set vlan 4 name AUTHFAIL_VLAN VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 4 configuration successful !--- A VLAN for non-802.1x capable hosts. Cat6K> (enable) set vlan 5 name GUEST_VLAN VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 4 configuration successful !--- A VLAN for failed authentication hosts. Cat6K> (enable) set vlan 10 name RADIUS_SERVER VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 10 configuration successful !--- This is a dedicated VLAN for the RADIUS Server. Cat6K> (enable) set interface sc0 10 172.16.1.2 255.255.255.0 Interface sc0 vlan set, IP address and netmask set. !--- Note: 802.1x authentication always uses the !--- sc0 interface as the identifier for the authenticator !--- when communicating with the RADIUS server. Cat6K> (enable) set vlan 10 3/1 VLAN 10 modified. VLAN 1 modified. VLAN Mod/Ports ---- ----------------------- 10 3/1 !--- Assigns port connecting to RADIUS server to VLAN 10. Cat6K> (enable) set radius server 172.16.1.1 primary 172.16.1.1 with auth-port 1812 acct-port 1813 added to radius server table as primary server. !--- Sets the IP address of the RADIUS server. Cat6K> (enable) set radius key cisco Radius key set to cisco !--- The key must match the key used on the RADIUS server. Cat6K> (enable) set dot1x system-auth-control enable dot1x system-auth-control enabled. Configured RADIUS servers will be used for dot1x authentication. !--- Globally enables 802.1x. !--- You must specify at least one RADIUS server before !--- you can enable 802.1x authentication on the switch. Cat6K> (enable) set port dot1x 3/2-48 port-control auto Port 3/2-48 dot1x port-control is set to auto. Trunking disabled for port 3/2-48 due to Dot1x feature. Spantree port fast start option enabled for port 3/2-48. !--- Enables 802.1x on all FastEthernet ports. !--- This disables trunking and enables portfast automatically. Cat6K> (enable) set port dot1x 3/2-48 auth-fail-vlan 4 Port 3/2-48 Auth Fail Vlan is set to 4 !--- Ports will be put in VLAN 4 after three !--- failed authentication attempts. Cat6K> (enable) set port dot1x 3/2-48 guest-vlan 5 Ports 3/2-48 Guest Vlan is set to 5 !--- Any non-802.1x capable host connecting or 802.1x !--- capable host failing to respond to the username and password !--- authentication requests from the Authenticator is placed in the !--- guest VLAN after 60 seconds. !--- Note: An authentication failure VLAN is independent !--- of the guest VLAN. However, the guest VLAN can be the same !--- VLAN as the authentication failure VLAN. If you do not want to !--- differentiate between the non-802.1x capable hosts and the !--- authentication failed hosts, you can configure both hosts to !--- the same VLAN (either a guest VLAN or an authentication failure VLAN). !--- For more information, refer to !--- Understanding How 802.1x Authentication for the Guest VLAN Works. Cat6K> (enable) switch console Trying Router-16... Connected to Router-16. Type ^C^C^C to switch back... !--- Transfers control to the routing module (MSFC). Router>enable Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface vlan 10 Router(config-if)#ip address 172.16.1.3 255.255.255.0 !--- This is used as the gateway address in RADIUS server. Router(config-if)#no shut Router(config-if)#interface vlan 2 Router(config-if)#ip address 172.16.2.1 255.255.255.0 Router(config-if)#no shut !--- This is the gateway address for clients in VLAN 2. Router(config-if)#interface vlan 3 Router(config-if)#ip address 172.16.3.1 255.255.255.0 Router(config-if)#no shut !--- This is the gateway address for clients in VLAN 3. Router(config-if)#exit Router(config)#ip dhcp pool vlan2_clients Router(dhcp-config)#network 172.16.2.0 255.255.255.0 Router(dhcp-config)#default-router 172.16.2.1 !--- This pool assigns ip address for clients in VLAN 2. Router(dhcp-config)#ip dhcp pool vlan3_clients Router(dhcp-config)#network 172.16.3.0 255.255.255.0 Router(dhcp-config)#default-router 172.16.3.1 !--- This pool assigns ip address for clients in VLAN 3. Router(dhcp-config)#exit Router(config)#ip dhcp excluded-address 172.16.2.1 Router(config)#ip dhcp excluded-address 172.16.3.1 !--- In order to go back to the Switching module, !--- enter Ctrl-C three times. Router# Router#^C Cat6K> (enable) Cat6K> (enable) show vlan VLAN Name Status IfIndex Mod/Ports, Vlans ---- ------------------ --------- ------- ------------------------ 1 default active 6 2/1-2 3/2-48 2 VLAN2 active 83 3 VLAN3 active 84 4 AUTHFAIL_VLAN active 85 5 GUEST_VLAN active 86 10 RADIUS_SERVER active 87 3/1 1002 fddi-default active 78 1003 token-ring-default active 81 1004 fddinet-default active 79 1005 trnet-default active 80 !--- Output suppressed. !--- All active ports will be in VLAN 1 (except 3/1) before authentication. Cat6K> (enable) show dot1x PAE Capability Authenticator Only Protocol Version 1 system-auth-control enabled max-req 2 quiet-period 60 seconds re-authperiod 3600 seconds server-timeout 30 seconds shutdown-timeout 300 seconds supp-timeout 30 seconds tx-period 30 seconds !--- Verifies dot1x status before authentication. Cat6K> (enable) |
Le serveur RADIUS est configuré avec l'adresse IP statique 172.16.1.1/24. Complétez ces étapes afin de configurer le serveur RADIUS pour un client AAA :
Afin de configurer un client AAA, cliquez sur Configuration réseau dans la fenêtre d'administration ACS.
Cliquez sur Ajouter une entrée sous la section clients AAA.
Configurez le nom d'hôte du client AAA, l'adresse IP, la clé secrète partagée et le type d'authentification comme suit :
Nom d'hôte du client AAA = Nom d'hôte du commutateur (Cat6K).
Adresse IP du client AAA = Adresse IP de l'interface de gestion (sc0)du commutateur (172.16.1.2).
Shared Secret = Radius Key configuré sur le commutateur (cisco).
Authentifier à l'aide de = RADIUS IETF.
Remarque : pour un fonctionnement correct, la clé secrète partagée doit être identique sur le client AAA et ACS. Les touches sont sensibles à la casse.
Cliquez sur Soumettre + Appliquer pour que ces modifications prennent effet, comme le montre cet exemple :
Complétez ces étapes afin de configurer le serveur RADIUS pour l'authentification, le VLAN et l'affectation d'adresses IP :
Deux noms d’utilisateur doivent être créés séparément pour les clients qui se connectent au VLAN 2 et pour le VLAN 3. Ici, un utilisateur user_vlan2 pour les clients se connectant au VLAN 2 et un autre utilisateur user_vlan3 pour les clients se connectant au VLAN 3 sont créés à cette fin.
Remarque : ici, la configuration utilisateur est affichée pour les clients qui se connectent uniquement au VLAN 2. Pour les utilisateurs qui se connectent au VLAN 3, procédez de la même manière.
Pour ajouter et configurer des utilisateurs, cliquez sur User Setup et définissez le nom d'utilisateur et le mot de passe.
Définissez l'affectation d'adresse IP du client comme Attribué par le pool de clients AAA. Entrez le nom du pool d'adresses IP configuré sur le commutateur pour les clients VLAN 2.
Remarque : sélectionnez cette option et tapez le nom du pool d'adresses IP du client AAA dans la zone, uniquement si l'adresse IP de cet utilisateur doit être attribuée par un pool d'adresses IP configuré sur le client AAA.
Définissez les attributs 64 et 65 de l'IETF (Internet Engineering Task Force).
Assurez-vous que les balises des valeurs sont définies sur 1, comme le montre cet exemple. Catalyst ignore toute balise autre que 1. Pour affecter un utilisateur à un VLAN spécifique, vous devez également définir l'attribut 81 avec un nom VLAN qui correspond.
Remarque : Le nom du VLAN doit être exactement identique à celui configuré dans le commutateur.
Remarque : l'affectation VLAN basée sur le numéro VLAN n'est pas prise en charge avec CatOS.
Reportez-vous à RFC 2868: Attributs RADIUS pour la prise en charge du protocole de tunnel pour plus d'informations sur ces attributs IETF.
Remarque : dans la configuration initiale du serveur ACS, les attributs RADIUS IETF peuvent ne pas s'afficher dans le programme d'installation de l'utilisateur. Choisissez Interface configuration > RADIUS (IETF) afin d'activer les attributs IETF dans l'écran de configuration utilisateur. Ensuite, vérifiez les attributs 64, 65 et 81 dans les colonnes Utilisateur et Groupe.
Cet exemple est spécifique au client EAP (Extensible Authentication Protocol) sur LAN de Microsoft Windows XP (EAPOL). Procédez comme suit :
Choisissez Démarrer > Panneau de configuration > Connexions réseau, puis cliquez avec le bouton droit sur votre Connexion au réseau local et choisissez Propriétés.
Cochez l'icône Afficher dans la zone de notification lorsque vous êtes connecté sous l'onglet Général.
Sous l'onglet Authentification, cochez la case Activer l'authentification IEEE 802.1x pour ce réseau.
Définissez le type EAP sur MD5-Challenge, comme le montre cet exemple :
Complétez ces étapes afin de configurer les clients pour obtenir une adresse IP d'un serveur DHCP :
Choisissez Démarrer > Panneau de configuration > Connexions réseau, puis cliquez avec le bouton droit sur votre Connexion au réseau local et choisissez Propriétés.
Sous l'onglet General, cliquez sur Internet Protocol (TCP/IP), puis sur Properties.
Choisissez Obtain an IP address automatically.
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
Si vous avez correctement terminé la configuration, les clients PC affichent une invite contextuelle pour saisir un nom d'utilisateur et un mot de passe.
Cliquez sur l'invite, que cet exemple montre :
Une fenêtre de saisie de nom d'utilisateur et de mot de passe s'affiche.
Saisissez le nom d'utilisateur et mot de passe.
Remarque : Dans PC 1 et 2, saisissez les informations d'identification de l'utilisateur VLAN 2. Dans PC 3 et PC 4, saisissez les informations d'identification de l'utilisateur VLAN 3.
Si aucun message d'erreur n'apparaît, vérifiez la connectivité avec les méthodes habituelles, telles que l'accès aux ressources réseau et la commande ping. Ceci est une sortie du PC 1, qui montre une requête ping réussie vers PC 4 :
Si cette erreur apparaît, vérifiez que le nom d'utilisateur et le mot de passe sont corrects :
Si le mot de passe et le nom d'utilisateur semblent corrects, vérifiez l'état du port 802.1x sur le commutateur.
Recherchez un état de port qui indique autorisé.
Cat6K> (enable) show port dot1x 3/1-5 Port Auth-State BEnd-State Port-Control Port-Status ----- ------------------- ---------- ------------------- ------------- 3/1 force-authorized idle force-authorized authorized !--- This is the port to which RADIUS server is connected. 3/2 authenticated idle auto authorized 3/3 authenticated idle auto authorized 3/4 authenticated idle auto authorized 3/5 authenticated idle auto authorized Port Port-Mode Re-authentication Shutdown-timeout ----- ------------- ----------------- ---------------- 3/1 SingleAuth disabled disabled 3/2 SingleAuth disabled disabled 3/3 SingleAuth disabled disabled 3/4 SingleAuth disabled disabled 3/5 SingleAuth disabled disabled
Vérifiez l’état du VLAN après une authentification réussie.
Cat6K> (enable) show vlan VLAN Name Status IfIndex Mod/Ports, Vlans ---- -------------------------------- --------- ------- ------------------------ 1 default active 6 2/1-2 3/6-48 2 VLAN2 active 83 3/2-3 3 VLAN3 active 84 3/4-5 4 AUTHFAIL_VLAN active 85 5 GUEST_VLAN active 86 10 RADIUS_SERVER active 87 3/1 1002 fddi-default active 78 1003 token-ring-default active 81 1004 fddinet-default active 79 1005 trnet-default active 80 !--- Output suppressed.
Vérifiez l'état de liaison DHCP à partir du module de routage (MSFC) après une authentification réussie.
Router#show ip dhcp binding IP address Hardware address Lease expiration Type 172.16.2.2 0100.1636.3333.9c Feb 14 2007 03:00 AM Automatic 172.16.2.3 0100.166F.3CA3.42 Feb 14 2007 03:03 AM Automatic 172.16.3.2 0100.145e.945f.99 Feb 14 2007 03:05 AM Automatic 172.16.3.3 0100.1185.8D9A.F9 Feb 14 2007 03:07 AM Automatic
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
19-Mar-2007 |
Première publication |