18-03-05 10:44
Kako podesiti 802.1x na Ciscovu catalystu
piše IVICA ČALE
Protokol IEEE 802.1x (skraćeno dot1x) razvijen je prevenstveno za autentikaciju korisnika u bežičnim (wireless) mrežama. Međutim, zbog dobrih osobina njegova implementacija je proširena i na klasične, ožičene (wired) mreže.
Glavna osobina ovoga protokola je da port na switchu drži blokiranim dok se korisnik ne autenticira. Korištenje ovoga protokola izuzetno je koristan u velikim, otvorenim prostorima gdje nema mogućnosti za fizičko nadziranje mrežnih priključaka.
Evo male kuharice:
1. Globalno pokretanje dot1x procesa
- dot1x system-auth-control
Dot1x proces omogućuje switchu da pokrene proces autentikacije korisnika koji se spajaju na mrežu preko toga switcha. Korisnik se može autenticirati putem lokalne baze na samom switchu (nije praktično) ili putem nekog servera na kojemu je baza korisnika s njihovim pravima pristupa mreži.
Ovom se naredbom na uređaju pokreće dot1x proces.
Po temeljnim određenjima (default) dot1x je onemogućen. Pri nadogradnji IOS-a (IOS je operativni sustav cisco switcheva) može se dogoditi da se proces isključi, pa ga tada treba ponovo uključiti.
Naredba se pokreće u konfig modu (prompt switch(config)#)
2. Definiranje dot1x autentikacije
- aaa new-model
- aaa authentication dot1x default group radius
Prva naredba je za globalno pokretanje procesa AAA.
Proces AAA administratoru omogućava pregled sistemskih i mrežnih događaja na switchu.
AAA definira slijedeće:
Autentikaciju - tko pristupa mreži; identifikacija korisnika,
Autorizaciju - koja prava ima korisnik,
Accounting - što je korisnik radio i koliko dugo je koristio usluge na koje ima pravo
Druga naredba definira autentikaciju za dot1x. Uobičajena je praksa da se za pristup koristi baza korisnika koji su spremljeni na RADIUS serveru, ali može se koristiti i lokalna baza na samom switchu, te TACACS+ server.
Naredba se pokreće u konfig modu (prompt switch(config)#)
3. Pokretanje dot1x na portu switch-a
- dot1x port-control auto
Postavljanjem ove naredbe port na switchu će tražiti da se korisnik koji se spaja preko tog porta autenticira kako bi mogao koristiti mrežne usluge.
Naredba se zadaje u if-config modu rada (prompt switch(config-if)# ). Za ispravan rad dot1x procesa potrebno je na kraju naredbe odabrati auto. Naime, ostale mogućnosti force-authorized i force-unauthorized, isključuju dot1x, te je na tom portu pristup dopušten svima, odnosno nikome.
Naredba se može aktivirati i na više portova odjednom, upotrebom naredbe interface range.
4. Definiranje RADIUS servera
- radius-server host A.B.C.D auth-port 1812 acct-port 1813 key ključna_riječ
RADIUS server je samo jedna od mogućnosti pohrane lokalne baze korisnika i njihovih prava. Preporuča se i zbog velike popularnosti i ujedno je to besplatna aplikacija (open-source), koja se može dalje razvijati prema specifičnim potrebama.
5. Za slučaj da želimo pratiti tko koristi portove na switchu zaštićene s dot1x, to možemo napraviti sa jednostavnom naredbom koja će sve podatke slati na RADIUS, gdje ih onda možemo pratiti i analizirati.
- aaa accounting dot1x default start-stop group radius
|