Exposé de système - La norme 802.1x
Mise en place du 802.1x - côté Authenticator
Support de la norme
Avant toute mise en place de la norme, il faut s'assurer du support de celle-ci.
En l'occurence, son support est maintenant bien répandue, mais il faut prendre
en compte les anciennes architectures.
Mise en place sur différents équipements
Cisco 2950
Switch# configure terminal
Switch(config)#aaa new-model
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x system-auth-control (A partir de la version 12.1.14)
Switch(config)#interface fastethernet 0/X
Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto
Switch(config-if)#end
Fast Iron 4802 et HP 9304
Switch# configure terminal
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x-enable
Switch(config)#interface ethernet 0/X
Switch(config-if-0/X)# dot1x port-control auto
Switch(config-if-0/X)#end
Lien avec l'Authentication Server (RADIUS)
Switch#configure terminal
Switch(config)#radius-server host { @IP / hostname } auth-port { port-number }
acct-port { port-number } key { string }
Switch(config)#end
Default VLAN
Foundry et HP
Switch(config)#default-vlan id { id-vlan }
Cisco
Modification du vlan par défaut du port
Switch(config-if)#switchport access vlan { id-vlan}
Guest VLAN
Cisco
Switch(config)#interface fastethernet 0/X
Switch(config-if)#dot1x guest-vlan { vlan-id }
Switch(config-if)#end
Host mode
Foundry et HP
Switch(config)#interface ethernet0/X
Switch(config-if)#dot1x multiple-hosts
Switch(config-if)#end
Cisco
Switch(config)#interface fastethernet0/X
Switch(config-if)#dot1x host-mode multi-host
Switch(config-if)#end
Port security
Switch(config)#interface fastethernet 0/X
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum { max_addrs }
Switch(config-if)#switchport port-security violation {shutdown | restrict | protect}
Cisco:
Propose toutes les options.
Foundry, HP :
Ne proposent que les options shutdown et restrict.
Authentification et timers
Re-authentification forcée:
Switch#dot1x re-authenticate interface fastethernet 0/X
Re-authentification périodique:
Switch(config-if)#dot1x reauthentication
Switch(config-if)#dot1x timeout reauth-period { secondes }
Temps d’attente entre deux essais d’authentification:
Switch(config-if)#dot1x timeout quiet-period { secondes }
Temps d’attente entre deux envois de demande d’authentification (EAP-request/identity) si pas de réponses (EAP-response/identity) :
Switch(config-if)#dot1x timeout tx-period { secondes }
Nombre de demande d’authentification consécutifs:
Switch(config-if)#dot1x max-req { nombre }
Commandes de debug
Switch#show dot1x
Switch#show dot1x config { portnum / all}
Switch#show dot1x statistics { portnum / all}
Switch#show dot1x interface { interface-id }