Labb 24: 802.1x

Syftet med denna laboration är att implementera och testa autentisering med hjälp av 802.1X och RADIUS-server. Autentisering enligt 802.1X används för att säkerställa att endast auktoriserade användare får tillgång till nätverket. Denna laboration använder en switch som authenticator, en RADIUS-server som authentication server och klienter som ska autentiseras via 802.1X.

Teori

802.1X är en standard som tillhandahåller säker autentisering för anslutna enheter innan de tillåts åtkomst till nätverket. Det består av tre huvudelement:

  • Supplicant (klient): Enheten som vill ansluta till nätverket och skickar autentiseringsuppgifter (t.ex. användarnamn och lösenord).
  • Authenticator: En switch eller accesspunkt som agerar som en mellanhand mellan klienten och autentiserings servern.
  • Authentication Server (RADIUS-server): Den server som validerar autentiseringsuppgifterna och avgör om klienten ska tillåtas nätverksåtkomst.

RADIUS (Remote Authentication Dial-In User Service) är ett protokoll som används för att hantera autentisering, auktorisering och granskning (Accounting) i nätverk. Det fungerar tillsammans med 802.1X för att autentisera användare som ansluter till nätverket. I denna laboration agerar en server som både RADIUS-server, DHCP-server och DNS-server.

Topologi

Denna laboration demonstrerar hur 802.1X autentisering fungerar i samarbete med RADIUS-server för att säkra nätverksåtkomst. Klienter måste autentisera sig med rätt användarnamn och lösenord för att få tillgång till nätverket, och endast efter framgångsrik autentisering kommer de att kunna använda nätverksresurser.

Konfigurationer

Server ns1.diginto.se

  • IP adressering
  • IPv4 Address: 192.168.0.2
  • Subnet Mask: 255.255.255.0
  • Default Gateway: 192.168.0.1
  • DNS server: 192.168.0.2
  • DHCP server konfiguration
  • Pool Name: serverPool (default)
  • Default Gateway: 192.168.0.1
  • DNS Server: 192.168.0.2
  • Start IP address: 192.168.0.5
  • Subnet Mask: 255.255.255.0
  • Maximum Number of Users: 20

Authentication Server: ns1.diginto.se

  • IPv4 Address: 192.168.0.2
  • Subnet Mask: 255.255.255.0
  • Default Gateway: 192.168.0.1
  • DNS server: 192.168.0.2
  • Services: AAA
  • Client Name: sw1
  • Client IP: 192.168.0.3
  • Server Type: Radius
  • Key: sw12345
  • User Setup
  • Username: erik@diginto.se
  • Password: erik12345
  • Username: hampus@diginto.se
  • Password: hampus12345
  • Username: norbert@diginto.se
  • Password: norbert12345
  • Aktivering av autentiseringsmekanismer
  • Radius EAP

Switch konfiguration

  • IP adressering
  • sw1(config)# interface vlan 1
  • sw1(config-if)# ip address 192.168.0.3 255.255.255.0
  • sw1(config-if)# no shutdown
  • sw1(config-if)# exit
  • Implementera AAA
  • sw1(config)# aaa new-model
  • sw1(config)# aaa authentication dot1x default group radius
  • sw1(config)# radius-server host 192.168.0.2 key sw12345
  • Aktivera 802.1X globalt på switchen
  • sw1(config)# dot1x system-auth-control
  • Konfigurera accessportar med 802.1X och Port Access Entity (PAE) Authenticator
  • sw1(config)# interface f0/1
  • sw1(config-if)# switchport mode access
  • sw1(config-if)# authentication port-control auto
  • sw1(config-if)# dot1x pae authenticator
  • sw1(config-if)# exit
  • sw1(config)# interface fa0/3
  • sw1(config-if)# switchport mode access
  • sw1(config-if)# authentication port-control auto
  • sw1(config-if)# dot1x pae authenticator
  • Konfigurera switchen för att ansluta till RADIUS-servern
  • sw1(config)# radius-server host 192.168.0.2 key sw12345
  • sw1(config)# end
  • sw1#

Tre klienter (PC) ska vara inställda som DHCP-klienter, så att de får IP-adresser från DHCP-servern.
Se till att klienterna har 802.1X supplicant (klientprogramvara) aktiverad så att de kan autentisera sig mot RADIUS-servern.