NameCheap-Hosting

استفد من الخصومات على خدمات الاستضافة بمختلف انواعها

VPS hosting: up to 30% off!

الخميس، 14 يونيو 2018

تشغيل بروتوكول 802.1X على جهاز سيسكو سويتش


تشغيل بروتوكول 802.1X

لتشغيل بروتوكول 802.1X على جهاز السويتش بحيث يعمل الجهاز ك Network Access Device “NAD” يعمل مع سيرفر AAA - سيرفر ISE على سبيل المثال- يحتوي على قاعدة بيانات أسماء الاستخدام وقاعدة بيانات العناوين الدائمة للأجهزة MAC addresses، وايضاً سياسات الاستخدام المعدة على السيرفر.
سنقوم بداية بتفعيل AAA على السويتش
IPMasters-sw(config)# aaa new-model
وايضا بتفعيل 802.1X على السويتش
IPMasters-sw(config)# dot1x system-auth-control

سنقوم بتعريف جهاز السيرفر ISE كسيرفر AAA للسويتش، السيرفر يحمل العنوان 192.168.12.10. ولضمان حماية الاتصال بين السويتش والسيرفر سنستخدم كلمة سر “abc@123”، وسيستخدم بروتوكول RADIUS للاتصال بين الطرفين (السويتش والسيرفر) لحمل الرسائل الخاصة ب AAA بين الطرفين. وسنبقي على ارقام UDP ports كما هو قيمتها الأولية
radius server ISE-KEY
address ipv4 192.168.12.10 auth-port 1812 acc-port 1813
key radius-key
aaa group server radius ISE-RADIUS
server name ISE-KEY

خلال عملية التواصل بين السويتش والخادم يلزم بأن يقوم السويتش بتزويد الخادم ببعض التفاصيل والخصائص attributes المتعلقة بجهاز المستخدم المراد ايصاله بالسويتش مثل Framed-IP-Address لارسالIP address لجهاز المستخدم، أو Service-Type لمعرفة طريقة authentication المطلوبة سواء باستخدام 802.1X أو باستخدام العنوان الدائم MAB لجهاز المستخدم  أو باستخدام طريقة Local WebAuth.
radius-server attribute 8 include-in-access-req
radius-server attribute 6 on-for-login-auth
radius-server attribute 25 access-request  include

كما أنه يوجد خصائص ةتفاصيل مخصصة للأجهزة المصنعة من قبل شركة سيسكو، للتهيئة السويتش من اجل ارسال تلك التفاصيل نقوم بعمل التالي:
radius-server vsa send authentication
radius-server vsa send accounting

ثم نأتي لتفعيل بروتوكول 802.1X على مداخل السويتش المطلوبة وذلك بعمل dot1x pae authenticator، كذلك عدد من الخصائص المرافقة  مثل multi-auth لإمكانية عمل authentication لأكثر من جهاز مرتبط على نفس المدخل، تفعيل periodic لامكانية اعادة عملية authentication إن لزم الأمر، وتفعيل مراقبة وضعية المدخل port-control.
interface gi0/1
authentication host-mode multi-auth
authentication periodic
dot1x pae authenticator
dot1x timeout tx-period 10
authentication port-control auto


في حال لم يتمكن جهاز المستخدم اجتياز علمية المصادقة authentication فإن مدخل السويتش لن يعمل وسيبقى unauthorized، ولكن قد نحتاج لتغيير ذلك ليصبح المدخل فعال حتى في حال فشل عملية المصادقة. وذلك بعمل التالي على المدخل:
   authentication open