Exposé de système - La norme 802.1x

Mise en place du 802.1x - côté Authenticator

Support de la norme

Avant toute mise en place de la norme, il faut s'assurer du support de celle-ci.
En l'occurence, son support est maintenant bien répandue, mais il faut prendre en compte les anciennes architectures.

Mise en place sur différents équipements

Cisco 2950

Switch# configure terminal
Switch(config)#aaa new-model
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x system-auth-control (A partir de la version 12.1.14)
Switch(config)#interface fastethernet 0/X
Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto
Switch(config-if)#end

Fast Iron 4802 et HP 9304

Switch# configure terminal
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x-enable
Switch(config)#interface ethernet 0/X
Switch(config-if-0/X)# dot1x port-control auto
Switch(config-if-0/X)#end

Lien avec l'Authentication Server (RADIUS)

Switch#configure terminal
Switch(config)#radius-server host { @IP / hostname } auth-port { port-number }
acct-port { port-number } key { string } Switch(config)#end

Default VLAN

Foundry et HP


Switch(config)#default-vlan id { id-vlan }

Cisco
Modification du vlan par défaut du port


Switch(config-if)#switchport access vlan { id-vlan}

Guest VLAN

Cisco


Switch(config)#interface fastethernet 0/X
Switch(config-if)#dot1x guest-vlan { vlan-id }
Switch(config-if)#end

Host mode

Foundry et HP


Switch(config)#interface ethernet0/X
Switch(config-if)#dot1x multiple-hosts
Switch(config-if)#end

Cisco


Switch(config)#interface fastethernet0/X
Switch(config-if)#dot1x host-mode multi-host
Switch(config-if)#end

Port security


Switch(config)#interface fastethernet 0/X
Switch(config-if)#switchport port-security 
Switch(config-if)#switchport port-security maximum { max_addrs }
Switch(config-if)#switchport port-security violation {shutdown | restrict | protect}


Cisco:
Propose toutes les options.

Foundry, HP :
Ne proposent que les options shutdown et restrict.

Authentification et timers

Re-authentification forcée:

Switch#dot1x re-authenticate interface fastethernet 0/X

Re-authentification périodique:


Switch(config-if)#dot1x reauthentication
Switch(config-if)#dot1x timeout reauth-period { secondes }

Temps d’attente entre deux essais d’authentification:


Switch(config-if)#dot1x timeout quiet-period { secondes }

Temps d’attente entre deux envois de demande d’authentification (EAP-request/identity) si pas de réponses (EAP-response/identity) :


Switch(config-if)#dot1x timeout tx-period { secondes }

Nombre de demande d’authentification consécutifs:


Switch(config-if)#dot1x max-req { nombre }

Commandes de debug

Switch#show dot1x
Switch#show dot1x config { portnum / all}
Switch#show dot1x statistics { portnum / all}
Switch#show dot1x interface { interface-id }