Genel Bakış
802.1x, uç cihazların iletişim şebekelerine erişimlerini kontrol etmek amacıyla kullanılan bir IEEE standartıdır. Ağ kaynaklarına erişim için gerekli olan protokolleri ve bu protokollerin birbirleriyle olan iletişimlerini tanımlar.
Ağ Erişim cihazı olarak adlandırılan (Network Access Device ya da NAD) kablolu anahtarlar veya kablosuz erişim noktaları gibi, ağ bağlantısı sağlamak için kullanılan cihazlarda yapılandırılır. 802.1x ile ilgili daha detaylı bilgiye bu IEEE linkinden ulaşabilirsiniz.
Bu yazı kimlik doğrulama sunucusu olarak freeradius kullanarak temel 802.1x oturumu yapılandırmasını anlatmaktadır. Freeradius yapılandırmasında kullanılan tüm dosyalara bu linkten ulaşabilirsiniz. Lütfen burada anlatılmakta olan yapının, bir kullanıcı bilgisayarının, isim ve parola kullanarak kimlik doğrulaması yapılmasını anlattığını göz önünde bulundurun. Harici bir kimlik sunucusundan bilgi alarak daha detaylı doğrulama için ilave yapılandırma gerekebilir.
Yapılandırma
Verge Yapılandırması
Angora Verge anahtarlarından 5.0 ve üstü versiyonunda çalışan cihazlar, 802.1x kimlik doğrulamayı destekler. 802.1x kapsamındaki tüm alt protokoller (Ör: PEAP, EAP-TLS, EAP-GTC vb.), kullanıcı adı/sertifika/mac adresi temelli seçenekler desteklenmektedir.
Bu örnek belgede, PEAP protokolü ile, kimlik doğrulama sunucu lokalinde tutulan kullanıcı bilgileri ile doğrulama anlatılmaktadır. Farklı bir rehberleme servisi entegrasyonu kullanılarak kimlik bilgisini doğrulama bu belge kapsamı dışındadır.
802.1x yapılandırmasına başlamak için, kimlik doğrulama için hangi sunucunun kullanılacağı ve doğrulamaya tabi olacak portların tanımlamaları yapılmalıdır. Birden fazla sunucu tanımlamak ve istekleri gönderirken öncelik belirtmek mümkündür. Burada hızlı ve kolay yapılandırma için tek sunucu kullanılacaktır. Tüm zaman aşımları varsayılan değerlerde bırakılmıştır. Radius ve 802.1x komutlarına ve varsayılan zamanlara, komut satırı rehberlerinden, aşağıdaki linkleri tıklayarak ulaşabilirsiniz.
Freeradius kullanarak temel 802.1x kimik doğrulaması için anahtarda gereken yapılandırma şöyledir:
(config)#radius-server host 192.168.100.200 key FreeR@DT3st
Bu komut anahtara, 192.168.100.200 IP adresli radius sunucuya istekleri göndermesini ve bu iletişimde FreeR@DT3st gizli anahtarını kullanmasını söyler. Burada tanımlanan gizli anahtar kimlik doğrulama sunucusundaki NAD yapılandırmasında aynı şekilde girilmelidir.
(config)#aaa authentication dot1x default radius
(config)#aaa accounting dot1x start-stop group radius
Radius tanımlamasının bittikten sonra, anahtara, 802.1x kimlik doğrulama işlemi için ve işlem bilgilerini tutmak için, yaratılan radius sunucuları kullanmasını bildirmek amacıyla yukarıdaki iki komutu girmek gereklidir. Bunun ardından dot1x işlemini aşağıdaki komutla başlatırız.
(config)#dot1x system-auth-control
Bu komut olmadan, anahtar, 802.1x isteklerini işlemez.
Yukarıdaki komutla, anahtarı kimlik doğrulama cihazı olarak tanımlamak için gerekli temel yapılandırmayı bitirmiş oluruz. Bir sonraki adımda arayüz yapılandırması ile, kimlik doğrulamanın aktif olacağı uç nokta portlarını tanımlamak gerekir.
Örnek olarak, Gigabit Ethernet Interface 3 üzerinde 802.1x kimlik doğrulamayı aktif hale getirmek için, aşağıdaki komutlar yazılmalıdır:
(config)#interface GigabitEthernet3
(config-if)#dot1x authentication 802.1x
(config-if)#dot1x port-control auto
(config-if)#dot1x timeout silence-period 60
Anahtarda ağ erişimi kontrolünü sağlamak için gereken yapılandırma bu kadardır.
Eğer kimlik doğrulama sunucusunun (freeradius) yapılandırması doğru ise, yukarıdaki komutlarla oluşturulan anahtarın mevcut durumu, uç noktaların 802.1x kullanarak ağa dahil olmalarını sağlayacaktır.
Aşağıdaki komutlar kullanılarak, 802.1x kimlik doğrulama durumları gözlenebilir:
Angora#show dot1x detailed
gi3
Host mode: multi-host
Authentication methods: 802.1X
Port Administrated Status: auto
Guest VLAN: disabled
VLAN Radius Attribute: disabled
Open access: disabled
Server timeout: 30 sec
Port Operational Status: authorized
Applied Authenticating Server: Radius
Applied Authentication method: 802.1x
Session Time (HH:MM:SS): 00:00:09
MAC Address: d0:37:45:39:8e:31
Username: testuser
Reauthentication is disabled
Reauthentication period: 3600 sec
Silence period: 60 sec
Quiet period: 60 sec
Interfaces 802.1X-Based Parameters
Tx period: 30 sec
Supplicant timeout: 30 sec
Max req: 2
Authentication success: 4
Authentication fails: 1
show dot1x detailed komutu arayüz seviyesinde, 802.1x yapılandırmasını ve durumu gösterir.
Angora#show dot1x users
gi3 testuser d0:37:45:39:8e:31 802.1X Remote 00:00:57
show dot1x users komutu, bir arayüz için, mevcut kimlik doğrulama durumu ve kullanıcı bilgilerini gösterir.
Leave A Comment?