Dans une environnement ou on cherche à identifier l’ensemble des équipements se connectant au réseau, on active du 802.1x.
Pour des équipements n’ayant pas de possibilité de s’authentifier en 802.1x, comme des Imprimantes/Camera IP/IOT/etc.., il est généralement préconisé de mettre en place de l’authentification par @mac
Dans la config ci dessous en active l’allocation dynamique de VLAN et du MAB uniquement.
Si il est nécessaire de changer le format de la mac envoyé, il faut ajouter la commande suivante, a adapter selon les besoins.
mab request format attribute 1 groupsize 2 separator -
Les commandes suivantes, permettent l’activation des fonctions d’authentification 802.1x, l’allocation dynamique de Vlan et les paramètres de configuration du serveur Radius.
authentication enable authentication dynamic-vlan enable dot1x system-auth-control aaa authentication dot1x default radius aaa authorization network default radius radius server key 7 "maybe" radius server auth 192.168.100.23 primary name "radius" timeout 1 usage authmgr exit radius server acct 192.168.100.23 name "radius" exit
Dans l’exemple, ci dessous seule l’authentification mab est activé sur le port. la sécurité est configuré pour bloqué le port en cas de pb d’authentification. Il y a une phase de re authentification periodique sur le port.
interface Gi1/0/1 spanning-tree portfast switchport mode general authentication host-mode single-host authentication max-users 1 authentication violation shutdown authentication periodic authentication timer reauthenticate 300 authentication order mab authentication priority mab authentication event fail retry 1 switchport port-security maximum 1 switchport port-security violation shutdown exit
Par défaut, il est prévu 10 requette Radius par seconde, il est possible de modifier la valeur au Global
authentication critical recovery max-reauth 20
Suivant le serveur est parfois nécessaire de forcer le mode d’authentification, ici CHAP. Pour rappel cette configuration fonctionne avec du FreeRadius/PacketFence…
interface Gi1/0/1 mab auth-type chap exit
Dans le cas d’une station sur laquelle vous souhaitez by-passer l’authentification 802.1x (mab ou autre)
interface Gi1/0/20 authentication port-control force-authorized exit
Dans le cas des ports d’uplinks, là encore pas d’authentification possible, on filtre éventuellement les VLANs
interface Te1/0/1
switchport mode trunk
switchport trunk allowed vlan 10,20,30,40,50
authentication port-control force-authorized
exit