Для того, чтобы AxelNAC можно было подключить к контроллеру домена, необходимо сконфигурировать коммутатор таким образом, чтобы он интегрировался с AxelNAC с помощью стандарта 802.1x.
Настройка стандарта 802.1x на коммутаторе
В данном примере мы рассмотрим подключение коммутатора доступа Cisco Catalyst 2960 с IP-адресом 172.21.2.3. IP-адрес сервера AxelNAC — 10.31.205.172.
Шаг 1. Подключитесь к коммутатору по протоколу SSH как администратор.
Шаг 2. Активируйте стандарт 802.1x на коммутаторе с помощью команды:
dot1x system-auth-control
Шаг 3. Настройте AAA таким образом, чтобы он использовал только что созданный сервер AxelNAC с помощью следующих команд:
aaa new-model
aaa group server radius AxelNAC
server 10.31.205.172 auth-port 1812 acct-port 1813
aaa authentication login default local
aaa authentication dot1x default group AxelNAC
aaa authorization network default group AxelNAC
radius-server host 10.31.205.172 auth-port 1812 acct-port 1813 timeout 2 key
useStrongerSecret
radius-server vsa send authentication
snmp-server community public RO
snmp-server community private RW
Шаг 4. Настройте все (или только необходимые) порты для работы со стандартом 802.1x. В примере ниже выбран только порт №10:
interface fastEthernet 0/10
switchport mode access
authentication host-mode single-host
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
Шаг 5. Сохраните конфигурацию коммутатора.
Добавление коммутатора в AxelNAC
AxelNAC также должен знать, каким оборудованием он управляет. Для того, чтобы добавить коммутатор в AxelNAC выполните следующие действия:
Шаг 1. В AxelNAC перейдите в раздел Конфигурация → Политики и контроль доступа → Сетевые устройства → Сетевые устройства и нажмите кнопку Новое сетевое устройство. В выпадающем списке выберите группу default.
Шаг 2. На открывшейся странице заполните поля следующим образом:
IP-адрес/MAC-адрес/диапазон (CIDR) — 172.21.2.3;
Тип — Cisco Catalyst 2960;
Режим — Продуктивный.
Шаг 3. Переключитесь на вкладку Роли и убедитесь, что параметр Назначать VLAN ID активирован.
Шаг 4. Перейдите на вкладку RADIUS и в поле Секретная фраза укажите секретную фразу, которую вы настроили на коммутаторе. В нашем примере секретная фраза — useStrongerSecret.
Шаг 5. На вкладке SNMP укажите необходимые значения в полях Community Read и Community Write.
Значения по умолчанию:
Community Read — public;
Community Write — private.
Шаг 6. Для добавления коммутатора нажмите кнопку Создать в левом нижнем углу страницы.
