В данной статье рассматривается процесс интеграции AxelNAC с коммутаторами Eltex MES.
Убедитесь, что у вас настроена локальная учетная запись администратора на коммутаторе, т.к. после активации 802.1X или MAC-аутентификации коммутатор запросит учетные данные при следующем подключении.
Настройка 802.1x и MAC-авторизации через RADIUS-сервер
Конфигурация RADIUS-сервера
Шаг 1. Для первичной конфигурации необходимо активировать работу RADIUS-сервера. Для этого выполните на коммутаторе следующую команду:
radius server enable
Шаг 2. Выполните конфигурацию RADIUS-сервера и AAA с помощью следующих команд:
!
aaa authentication dot1x default radius none
aaa authorization dynamic radius
aaa accounting dot1x start-stop group radius
!
radius-server host 192.168.1.10 encrypted key YourSecret usage all
radius-server host source-interface vlan 999 #Если необходимо явно указать с какого интерфейса должны отправляться запросы на RADIUS-сервер#
Конфигурация интерфейсов
Шаг 1. Активируйте поддержку dot1x и CoA с помощью следующих команд:
Шаг 2. Выполните конфигурацию портов с помощью следующего набора команд:
interface gigabitethernet1/0/7 ##
dot1x port-control auto #активация поддержки 802.1x#
dot1x reauthentication #активация регулярной реаутентификации клиентов#
dot1x timeout reauth-period 300 #период реаутентификации 300 секунд#
dot1x host-mode multi-auth #поддержка нескольких одновременных сессий dot1x на одном порте#
dot1x max-hosts 2 #ограничить количество клиентов dot1x на одном порте 2 сессиями#
dot1x authentication mac 802.1x #методы аутентификации и их порядок применения#
dot1x max-login-attempts 5 #количество неуспешных попыток подключения, после которых клиент блокируется#
dot1x critical-vlan enable #поддержка "bypass vlan" в которую направляется клиент при недоступности RADIUS-серверов#
dot1x critical-vlan 100 #указание номера "bypass vlan"#
dot1x radius-attributes vlan static #активация поддержки приема номера vlan от RADIUS-сервера.#
dot1x radius-attributes vendor-specific data-filter #активация поддержки приема номера ACL от RADIUS-сервера#
exit
Настройка RADIUS-авторизации администраторов
Если ранее выполнялась настройка 802.1x и MAC-авторизации, пропустите шаги 1 и 2.
Для настройки разграничения доступа к сетевому оборудованию, необходимо выполнить следующие действия:
Шаг 1. Активируйте работу RADIUS-сервера с помощью следующей команды:
console(config)# radius server enable
Шаг 2. Укажите IP-адрес и секретный ключ RADIUS-сервера:
Шаг 5. Чтобы не потерять доступ к коммутатору (в случае недоступности RADIUS-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим:
Конфигурация групп и привязка к ним уровней привилегий выполняется с помощью следующего набора команд:
radius server group admin
vlan name test #для доступа к оборудованию с указанного vlan(опционально)
privilege-level 15
exit
!
radius server group priv1
privilege-level 1
exit
Настройка TACACS-авторизации администраторов
Шаг 1. Укажите IP-адрес и секретный ключ TACACS-сервера:
Шаг 4. Чтобы не потерять доступ к коммутатору (в случае недоступности TACACS-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим:
