5 janvier 2015

Configuration 802.1x – switch Cisco

Le protocole 802.1x ou radius permet entre autre d’autoriser l’accès à un réseau en fonction d’une authentification machine ou utilisateur.

Un serveur radius gère l’authentification et peut éventuellement retourner des valeurs comme un numéro de vlan à appliquer sur le port du switch en cas d’authentification réussie.

Comme le titre l’indique, ce billet traite uniquement de la configuration du switch Cisco.

On considère donc que le client dispose d’une couche 802.1x opérationnelle et qu’un serveur radius est disponible et configuré.

La configuration s’effectue en plusieurs parties:

  • Configuration générale du switch pour activer 802.1x,
  • Configuration de l’IP du serveur radius,
  • Configuration du port d’accès,
  • Quelques valeurs qui peuvent être utiles.

Pour info, la version de l’IOS du switch utilisé pour la configuration dans les copies d’écran est 15.0(2)EX5.

Activation générale de 802.1x sur le switch

Switch(config)#aaa new-model
Switch(config)#dot1x system-auth-control
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#aaa authorization network default group radius
Switch(config)#

Configuration de l’adresse IP du switch

Switch(config)#radius server NomServeurRadius
 Switch(config-radius-server)#address ipv4 192.168.2.10 auth-port 1812 acct-port 1813
Switch(config-radius-server)# key Secretcompliqueavecleserveurradius

Configuration de l’interface cliente

Switch(config)#int gigabitEthernet 1/0/3
Switch(config-if)#authentication port-control auto
Switch(config-if)#dot1x pae authenticator

Deux commandes pour vérifier que l’authentification a bien fonctionné:

Switch#sh authentication sessions

Interface  MAC Address     Method   Domain   Status         Session ID
Gi1/0/3    0020.00de.0123  dot1x    DATA     Authz Success  AC10507B0000005E44561

Switch#sh dot1x all summary
Interface       PAE     Client          Status
--------------------------------------------------------
Gi1/0/3         AUTH    0020.00de.0123   AUTHORIZED
Switch#

D’autres commandes utiles

Pour permettre à une machine de pouvoir être déplacée sur un même switch:

Switch(config)#authentication mac-move permit

Pour configurer une ré-authentification toutes les 5 minutes:

Switch(config)#int gigabitEthernet 1/0/3
Switch(config-if)#authentication periodic
Switch(config-if)#authentication timer reauthenticate 300

Il est également possible de modifier différents timers. Ceux ci apparaissent avec la commande ci-dessous:

Switch#sh dot1x interface gigabitEthernet 1/0/3
Dot1x Info for GigabitEthernet1/0/3
-----------------------------------
PAE                       = AUTHENTICATOR
QuietPeriod               = 60
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30

Switch#

Pour avoir plus d’information, je vous invite à consulter la doc Cisco.

Concernant les commandes suivantes, elles sont utilisés en cas de problème d’authentification ou de connexion avec le serveur radius. Pour que la redirection vers le vlan indiqué fonctionne rapidement, il faudra également modifier quelques “timers” (cf paragraphe ci-dessus).

Avec la commande suivante, si l’authentification ne fonctionne pas, on place la machine dans le vlan 10.

Switch(config)#int gi1/0/5
Switch(config-if)# authentication event fail action authorize vlan 10

Si le serveur radius ne répond pas, on place la machine dans le vlan 10:

Switch(config)#int gigabitEthernet 1/0/5
Switch(config-if)#authentication event server dead action authorize vlan 10
Switch(config-if)#authentication event no-response action authorize vlan 10

Les commentaires sont fermés.