В данной статье рассматривается процесс интеграции AxelNAC с коммутаторами Cisco Catalyst 2960, 2970, 3560 и 3750.
Не рекомендуется использование функционала Port-Security при активации 802.1X или MAC-аутентификации. Это может вызвать непредвиденное поведение коммутатора.
При использовании 802.1X и агрегации сетевых интерфейсов на одном коммутаторе или стеке возможно использование функции mac-move. Когда вы аутентифицируете основное соединение группы интерфейсов, виртуальный MAC-адрес будет опубликован и авторизован на порте коммутатора. При разрыве соединения на данном интерфейсе (например, при отключении физического кабеля), драйвер группы опубликует MAC-адрес на другом интерфейсе группы, и коммутатор попытается его авторизовать. Однако, поскольку коммутатор уже имеет этот MAC-адрес в сессии на другом коммутационном порту, он переведет интерфейс в режим err-disabled.
Чтобы предотвратить такое поведение, необходимо разрешить коммутатору перемещение MAC-адресов между портами. Для этого используйте команду authentication mac-move permit.
Шаг 1. Для первичной конфигурации выполните следующий набор команд:
dot1x system-auth-control
aaa new-model
aaa group server radius anac
server name anac
aaa authentication login default local
aaa authentication dot1x default group anac
aaa authorization network default group anac
Шаг 2. Сконфигурируйте RADIUS-сервер:
radius server anac
address ipv4 192.168.1.5 auth-port 1812 acct-port 1813
automate-tester username dummy ignore-acct-port idle-time 3
key 0 useStrongerSecret
radius-server vsa send authentication
Шаг 3. Настройте использование CoA (функционал CoA не поддерживается на коммутаторах Cisco 2960+, описание реаутентификации описано в секции ниже):
aaa server radius dynamic-author
client 192.168.1.5 server-key useStrongerSecret
port 3799
Шаг 4. Активируйте SNMP на коммутаторе:
snmp-server community public RO
Для настройки аутентификации по стандарту 802.1X с поддержкой MAB, выполните на каждом интерфейсе, который планируется использовать, следующий набор команд:
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 7200
authentication violation replace
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
Для того, чтобы настроить только функционал MAB, выполните на каждом интерфейсе, который планируется использовать, следующий набор команд:
switchport mode access
switchport voice vlan 100
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout tx-period 5
dot1x reauthentication
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 7200
authentication violation replace
mab
no snmp trap link-status
Для того, чтобы веб-аутентификация в AxelNAC стала доступной, необходимо настроить порт коммутатора. Выполните следующие действия:
Шаг 1. Подключитесь к коммутатору по протоколу SSH как администратор.
Шаг 2. Включите функцию Change-of-Authorization (CoA) в конфигурации коммутатора.
Шаг 3. Разрешите серверу AxelNAC (172.20.100.2) посылать CoA-запросы на коммутатор:
aaa server radius dynamic-author
client 172.20.100.2 server-key useStrongerSecre
port 3799
Шаг 4. Включите веб-аутентификацию на порте коммутатора. Для этого добавьте следующую конфигурацию в глобальную секцию:
ip device tracking
ip http server
ip http secure-server
Шаг 5. Добавьте ACL, который будет перенаправлять трафик на портал AxelNAC:
ip access-list extended registration
deny ip any host 172.20.100.2
permit tcp any any eq www
permit tcp any any eq 443
После того, как порт коммутатора настроен для веб-аутентификации, необходимо сообщить AxelNAC, что она будет использоваться на данном коммутаторе. Для этого выполните следующие действия
Шаг 1. Перейдите в раздел Конфигурация → Политики и контроль доступа → Сетевые устройства.
Шаг 2. Кликните по IP-адресу коммутатора, чтобы открыть параметры его конфигурации.
Шаг 3. На вкладке Определение активируйте параметр Обеспечение работы внешнего портала.
Шаг 4. Переключитесь на вкладку RADIUS и активируйте параметр Использовать CoA, а также установите значение параметра CoA-порт равным 3799.
Шаг 5. На вкладке Роли внесите следующие изменения:
Шаг 6. Сохраните все изменения конфигурации, нажав Сохранить.
Коммутаторы Cisco поддерживают RADIUS pushed ACLs, что означает, что вы можете назначать ACL напрямую из AxelNAC, не настраивая их в своих коммутаторах, и их правила будут применяться к коммутатору во время аутентификации. Эти ACL определяются по ролям, как и VLAN, что означает, что вы можете определить различные ACL для регистрационной VLAN, продуктивной VLAN, гостевой VLAN и т. д.
Для активации данного функционала выполните следующую команду:
ip device tracking
Для реализации работы функционала прямого назначения ACL в коммутаторах Cisco, управляемых программным обеспечением Cisco IOS 12.2 и старше, необходимо выполнить следующие действия:
Шаг 1. Создайте специальный ACL для работы портов до аутентификации:
ip access-list extended Auth-Default-ACL
permit udp any range bootps 65347 any range bootpc 65348
permit udp any any range bootps 65347
permit udp any any eq domain
deny ip any any
Шаг 2. Назначьте данный ACL интерфейсу порта коммутатора:
interface GigabitEthernetx/y/z
...
ip access-group Auth-Default-ACL in
...
Коммутаторы Cisco Catalyst 2960+ не поддерживают функционал CoA. Для реализации реаутентификации выполните следующие действия:
Шаг 1. Перейдите в раздел Конфигурация → Политики и контроль доступа → Сетевые устройства, и выберите коммутатор, в который вы хотите внести изменения.
Шаг 2. На вкладке Определение активируйте параметр Реаутентификация на предыдущем сетевом устройстве. В качестве метода реаутентификации выберите протокол SSH.
Шаг 3. Перейдите на вкладку CLI и выберите SSH в качестве транспортного протокола.