Для того чтобы AxelNAC можно было подключить к контроллеру домена, необходимо сконфигурировать коммутатор таким образом, чтобы он интегрировался с AxelNAC с помощью стандарта 802.1x.

Настройка стандарта 802.1x на коммутаторе

В данном примере мы рассмотрим подключение коммутатора доступа Cisco Catalyst 2960 с IP-адресом 172.21.2.3. IP-адрес сервера AxelNAC — 10.31.205.172.

Шаг 1. Подключитесь к коммутатору по протоколу SSH как администратор.

Шаг 2. Активируйте стандарт 802.1x на коммутаторе с помощью команды:

dot1x system-auth-control

Шаг 3. Настройте AAA таким образом, чтобы он использовал только что созданный сервер AxelNAC с помощью следующих команд:

aaa new-model //активация расширенной модели аутентификации AAA
radius server AxelNAC
    address ipv4 10.31.205.172 auth-port 1812 acct-port 1813
    timeout 2
    key useStrongerSecret //создание RADIUS-сервера с именем AxelNAC, IP-адресом 10.31.205.172, портом для аутентификации — 1812, портом для аккаутинга — 1813, таймаутом соединения в 2 секунды и паролем useStrongerSecret
aaa group server radius AxelNAC
    server name AxelNAC //создание группы RADIUS-серверов с именем AxelNAC и привязка к этой группе созданного выше RADIUS-сервера
aaa authentication login default local //установка метода аутентификации для входа по умолчанию с использованием локалььной базы учетных данных
aaa authentication dot1x default group AxelNAC //установка аутентификации по протоколу 802.1x с использованием группы RADIUS-серверов, созданной выше
aaa authorization network default group AxelNAC //установка авторизации сетевых ресурсов с использованием группы RADIUS-серверов, созданной выше
aaa accounting dot1x default start-stop group AxelNAC //активирует отслеживание и запись информации о сессиях пользователей, которые используют протокол 802.1X для аутентификации и авторизации на сети, start-stop - указывает, что отчеты AAA должны включать информацию о начале и конце сессии пользователя
radius-server vsa send authentication //активация отправки виртуальных атрибутов (VSA), связанных с аутентификацией, к RADIUS-серверу
snmp-server community useStrongerSecretSNMPRO RO //создание Comunity SNMP с именем "public" с правами только для чтения (Read-Only). Используется для мониторинга устройства
snmp-server community useStrongerSecretSNMPRW RW //создание Comunity SNMP с именем "private" с правами для чтения и записи (Read-Write). Используется для управления и конфигурации устройства через SNMP

Шаг 4. Настройте все (или только необходимые) порты для работы со стандартом 802.1x. В примере ниже выбран только порт №10:

interface fastEthernet 0/10
switchport mode access
authentication host-mode single-host
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3

Шаг 5. Сохраните конфигурацию коммутатора.

Добавление коммутатора в AxelNAC

AxelNAC также должен знать, каким оборудованием он управляет. Для того чтобы добавить коммутатор в AxelNAC выполните следующие действия:

Шаг 1. В AxelNAC перейдите в раздел Конфигурация → Политики и контроль доступа → Сетевые устройства → Сетевые устройства и нажмите кнопку Новое сетевое устройство. В выпадающем списке выберите группу default.

Шаг 2. На открывшейся странице заполните поля следующим образом:

IP-адрес/MAC-адрес/диапазон (CIDR) — 172.21.2.3;
Тип — Cisco Catalyst 2960;
Режим — Продуктивный.

Шаг 3. Переключитесь на вкладку Роли и убедитесь, что параметр Назначать VLAN ID активирован.

Шаг 4. Перейдите на вкладку RADIUS и в поле Секретная фраза укажите секретную фразу, которую вы настроили на коммутаторе. В нашем примере секретная фраза — useStrongerSecret.

Шаг 5. На вкладке SNMP укажите необходимые значения в полях Community Read и Community Write.

Значения по умолчанию: