Partie 1. Vocabulaire et principes
généraux
Euh … en fait c'est très très court, ce
chapitre est le même que celui présentant 802.1X pour les
commutateurs Cisco.
Néanmoins, Alcatel possède son propre
vocabulaire pour gérer ses propres fonctionnalités.
Tout d'abord le concept 802.1x est nommé
Access Guardian … c est beau et ça en jette.
Cela regroupe l authentification 802.1X , une
authentification via @ MAC stockée sur un serveur Radius et une
authentification par portail web.
Captive Portal: portail web stocke directement
sur le commutateur. Cette méthode d authentification peut s
appliquer aux 802.1x supplicant ou non. Le concept est de rentrer un
login/mot de passe qui est checké ensuite par le switch. Quelques
printscreens sont dispo à la fin du topic.
Pour ce qui est du User Network Profile ... il
faudra attendre un peu.
Partie 2. Installation et
configuration de 2008 Server
Pour cette partie merci de ce référer au
topic de configuration de 802.1X pour Cisco.
Attention tout de même, ne configurez pas les
attributs spécifiques à Cisco dans NPS.
Partie 3. Configuration du
commutateur
Les commandes pour configurer le
commutateur, ici un 6400, se résument à quelques lignes
Mon client est connecté sur le port 1/24 du commutateur, mon serveur est connecté sur le port 1/1 dans le Vlan 20.
On crée tout d abord un vlan utilisateur
approuvé, le 10
Vlan 10 name User
On spécifie un serveur radius
Aaa aradius-server Server
host 192.168.2.2 key test
On peut changer les ports d authentification
grâce aux options de cette commande.
La configuration des ports se fait de cette
manière:
Vlan port mobile 1/24
Vlan port 1/24 802.1x enable
Le commutateur va crée des règles qui vont
définir les actions à prendre en cas de réussite ou d échec. Par
défaut on obtient:
! 802.1x :
802.1x 1/24 direction both
port-control auto quiet-period 60 tx-period 30 supp-timeout 30
server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication
802.1x 1/24 captive-portal
session-limit 12 retry-count 3
802.1x 1/24 captive-portal
inactivity-logout disable
802.1x 1/24 supp-polling
retry 2
802.1x
1/24 supplicant policy authentication pass group-mobility
default-vlan block fail block
802.1x 1/24
non-supplicant policy block
802.1x
1/24 captive-portal policy authentication pass default-vlan fail
block
On constate ici qu'un client authentifié se verra affecter dans le Vlan par défaut, sinon il est bloqué.
Un client qui n'est pas supplicant sera bloqué dans tous les cas. Pour par exemple utiliser le Captive Portal pour authentifier ces clients, nous taperons :
802.1x 1/24 non-supplicant policy captive-portal
J ai configuré :
vlan 10 enable name "User"
vlan 20 enable name "Server"
vlan 20 port default 1/1
vlan port mobile 1/24
vlan port 1/24 802.1x enable
! VLAN SL:
! IP :
ip service all
ip interface dhcp-client
vlan 1 ifindex 1
ip interface "User"
address 192.168.1.1 mask 255.255.255.0 vlan 10 ifindex 2
ip interface "server"
address 192.168.2.1 mask 255.255.255.0 vlan 20 ifindex 3
! IPX :
! IPMS :
! AAA :
aaa radius-server "Server"
host 192.168.2.2 key 31be6730082d60e0 retransmit 3 timeout 2
auth-port 1812 acct-port 1813
aaa authentication 802.1x
"Server"
! PARTM :
! AVLAN :
! 802.1x :
802.1x 1/24 direction both
port-control auto quiet-period 60 tx-period 30 supp-timeout 30
server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication
802.1x 1/24 captive-portal
session-limit 12 retry-count 3
802.1x 1/24 captive-portal
inactivity-logout disable
802.1x 1/24 supp-polling
retry 2
802.1x 1/24 supplicant
policy authentication pass group-mobility vlan 10 block fail block
802.1x 1/24 non-supplicant
policy block
802.1x 1/24 captive-portal
policy authentication pass default-vlan fail block
On peut noter que le ports utilisateur, le
1/24, n'est pas pas configuré dans un Vlan. Il est automatiquement
placé dans le Vlan 10 grâce à la règle qui s'applique aux
utilisateurs authentifiés.
Partie 4. Vérifications
On vérifie le bon fonctionnement de notre
authentification de cette manière :
En bonus des imprimes écrans sur le Captive
Portal :
On remarque ici que le commutateur attribue automatiquement une adresse IP dans le réseau 10.123.0.0 à la station aini qu'une Gw en .1 pour permettre l'accès au portail.
Voici pour la configuration de 802.1X sur un commutateur Alcatel, pour toutes questions, n'hésitez pas !
Bon clic a tous !
Aucun commentaire:
Enregistrer un commentaire