Priraďovanie VLAN
Protokol 802.1x (v spolupráci s Cisco switchom) nám dáva možnosť dynamicky zaraďovať porty do VLAN podľa autentizačných údajov . Takže potom nemusíme konfigurovať správnu VLAN pre každý port (ale napriek tomu je potrebné všetky porty zaradiť do nejakej VLANy a dobre to rozmyslieť) a užívateľ získa svoju VLAN na rôznych miestach a počítačoch. To ale všeobecne funguje len, keď používame autentizáciu užívateľa a nie počítače.
Konfigurácia v Cisco IOSu
Ak máme protokol 802.1x správne nakonfigurovaný a chceme pridať podporu pre priraďovanie VLAN z RADIUS servera, použijeme nasledujúci príkaz. Ten zariadi, že sa pre sieťové služby (ako je i priradenie VLANy) bude používať RADIUS autorizácia.
SWITCH (config) # aaa authorization network default group radius
V prípade, že RADIUS server nepošle VLAN (alebo je 802.1x vypnuté), tak sa port zaradí do svojej prístupovej VLANy (access VLAN, ktorá je nastavená na porte).
Pozn .: Ak by bola zaslaná chybná (napríklad neexistujúce) VLAN, tak ju switch odmietne.
Ak potrebujeme riešiť problémy či chceme sledovať, ako prebieha komunikácia, tak môžeme použiť príkaz debuga logovať určité operácie, napríklad:
SWITCH # debug dot1x events // logovanie dot1x udalostí
SWITCH # show logging // zobrazenie logu
Pozn .: Dot1x sa nedá použiť na trunk porty a dynamické porty.
Konfigurácia na MS IAS (RADIUS) servera
Opäť vychádzam z toho, že už máme nakonfigurované overovanie používateľov. Aby sme odoslali VLAN, tak musíme len pridať tri Vendor-specific atribúty . To urobíme v našej Remote Access Policy na záložke Advanced.
Ide o nasledovné atribúty:
- [64] Tunnel-Type = VLAN (type 13)
- [65] Tunnel-Medium-Type = 802 (type 6)
- [81] Tunnel-Private-Group-ID = VLAN name or VLAN ID
Vyššie uvedený postup zariadi, že všetci užívatelia / stanice (na ktoré sa uplatní táto Remote Access Policy) budú zaradení do nastavenej VLANy. To nie je príliš dynamické, pretože v praxi chceme zaraďovať rôznych používateľov do rôznych VLAN. Jedno z možných riešení je nasledovné.
Najprv potrebujeme mať v Active Directory vytvorené skupiny pre každú VLAN a v nich zaradené patričnej užívateľa. Napríklad keď máme VLANy podľa oddelení, tak skupinu pre oddelenie.
Na RADIUS servera potom musíme vytvoriť Remote Access Policy pre každú VLAN. Väčšina parametrov bude (asi) rovnaká. Upraviť musíme podmienky (conditions), podľa ktorých sa priraďuje politika k požiadavke. Tam nastavíme podmienku na Windows-Groups a zadáme skupinu alebo skupiny z Active Directory, pre ktoré sa nastaví jedna VLAN. Potom nastavíme číslo VLANy na Advanced záložke politiky (ako bolo uvedené vyššie).
Politiky sa testujú v poradí zhora (číslo 1) dole a vo chvíli, keď dôjde k zhode, tak sa politika uplatňuje. Takže môžeme nastaviť niekoľko politík pre rôzne špeciálne skupiny a na koniec umiestniť všeobecnú politiku, ktorá nastaví VLAN všetkým ostatným.
Problém s neobnovením adresy na klientovi
Občas môže dôjsť k tomu, že sa klient zaradí do správnej VLANy, ale nedostane adresu od DHCP servera . Tento problém sa netýka len tejto kapitoly, častejšie sa vyskytuje napríklad u zaraďovanie do Hostovský VLANy. Je to spôsobené rôznymi timeoutu. Keď sa klient začne pripájať do siete, tak pošle DHCP požiadavku a zároveň začne proces autentizácie. Ak autentizácia trvá dlhšie, než vyprší timeout na DHCP, tak klient nedostane správnu adresu. V prípade Windows XP SP1 by mal klient po krátkej dobe vykonať znova vyjednanie adresy.
Ak klient nedostane adresu, tak väčšinou pomôže vykonanie príkazov na získanie adresy. To je, ale asi len pre testovanie, ostrú prevádzku by sme mali vyladiť, aby fungoval.
ipconfig / release
ipconfig / renew
Podrobnejšie nastavenie dot1x
Automatická re-autentizácie
Štandardne je táto funkcia vypnutá, ale môžeme ju zapnúť a potom switch po určitej dobe realizuje novú autentizáciu klienta . Je rad situácií, kedy je táto funkcia vhodná, napríklad keď sa najprv overí počítač, tak po prihlásení užívateľa sa vykoná reauntetizace. Na druhú stranu sa potom reautentizace vykonáva stále, čo už nemusí byť dobré.
Štandardné čas pre reautentizaci je 3600 s.
SWITCH (config-if) # dot1x timeout reauth-period 4000 // nastavenie času reautentizace na 4000 s
SWITCH (config-if) # dot1x reauthentication // zapnutie reautentizace na porte
Reautentizaci môžeme vyvolať aj ručne na switchi
SWITCH # dot1x re-authenticate interface gigabitethernet0 / 1
Reset dot1x konfigurácia portu
Ak chceme resetovať dot1x nastavenie portu na predvolené hodnoty, môžeme použiť príkaz:
SWITCH (config-if) # dot1x default
Pozn .: Týmto sa aj vypne dot1x na porte, ale nezmaže sa nastavenie guest a restricted VLAN .
Host mode
Port, kde je zapnuté dot1x, môže pracovať v jednom z dvoch módov:
- Single hosť – iba jeden klient môže byť pripojený k portu.
- Multiple hosť – viac klientov môže byť pripojené k jednému portu. V tomto prípade sa autentizáciou prvého klienta overí celý port a ostatní môžu pristupovať.
Defaultne je mód single hosť, ak chceme nastaviť multiple
SWITCH (config-if) # dot1x hosť-mode multi-host
Rôzne timeouty
Ak switch nemôže autentizovať klienta (napríklad chyba v komunikácii, ale aj keď klient zadá zlé heslo), čaká zadanú dobu (štandardne 60 s) a potom to skúsi znova. Často sa hodí tento čas skrátiť.
SWITCH (config-if) # dot1x timeout quiet-period 10
Switch odosiela požiadavku na autentizačný údaje (EAP-request / identity rámec) a následne čaká určitý čas (štandardne 30 s) na odpoveď, ak ju nedostane, tak znovu odošle rámec s otázkou. V určitých špeciálnych prípadoch môžeme tento interval (Switch-to-Client Retransmission Time) zmeniť.
SWITCH (config-if) # dot1x timeout tx-period 15
K tomu sa viaže aj hodnota (Switch-to-Client Frame-Retransmission Number), koľkokrát (štandardne 2krát) switch odošle dotaz pri nedostane odpoveď.
SWITCH (config-if) # dot1x max-req 5
V prípade, že používame Guest VLAN a v tejto sieti DHCP, tak môže dôjsť k tomu, že autentizačný proces a zaradenie do Guest VLANy trvá dlhšie, než vyprší timeout pre získanie adresy z DHCP, preto sa v tomto prípade odporúča prekonfigurovať hodnoty quiet-period a tx-period. Presná hodnota záleží na type klienta, ale napríklad:
SWITCH (config-if) # dot1x timeout quiet-period 3
SWITCH (config-if) # dot1x timeout tx-period 15
Accounting – účtovanie
Protokol 802.1x sa stará o autentizáciu (authentication – potvrdenie, že užívateľ je ten za koho sa vydáva) a autorizáciu (authorization – riadenie prístupu do zdroja; tu je to napríklad zaradenie do VLANy). Funkcia môžeme doplniť o účtovaní (accounting – inak povedané logovanie údajov), ktoré nám uchováva informácie o:
- autentizáciu užívateľa
- odlogování
- link-down
- re-autentizáciu
Microsoft IAS nám automaticky (ak povolíme v nastavení) ukladá do logu informácie pri autentizácii užívateľa. Pre accounting sa používa iný port (štandardne 1646 alebo 1813) ako pre autentizáciu a autorizáciu (štandardne 1645 či 1812). Informácie o Accounting sa zasielajú na RADIUS server pomocou párov atribút a hodnota .
Na switchi môžeme použiť iný zápis pre definovanie rádiusom, kde určíme porty pre jednotlivé služby (inak sa použijú defaultný).
SWITCH (config) # radius-server host 192.168.0.10 auth-port 1812 acct-port 1813 key 123456
Pre zasielanie accounting informácií okolo dot1x na RADIUS použijeme:
SWITCH (config) # aaa accounting dot1x default start-stop group radius
Pozn .: default je pre predvolený zoznam (a bežné situácie), group rádius znamená, že sa informácie budú zasielať na všetky definované rádiusov.
Accounting môžeme použiť pre rad údajov, ktoré chceme sledovať a ukladať, takže pár príkladov z iných oblastí.
Zasielanie informácií o reštarte switche
SWITCH (config) # aaa accounting system default start-stop group radius
Zasielanie informácií o prihlásení užívateľa ku switchu (do exec modu)
SWITCH (config) # aaa accounting exec default start-stop group radius
Zasielanie informácií o použití príkazov levelu 15
SWITCH (config) # aaa accounting commands 15 default start-stop group radius
Restricted VLAN
Často môžeme chcieť, aby užívateľ / počítač, ktorý neprejde autentizáciou (napríklad preto, že u nás nemá účet), bol napriek tomu vpustený do nejakej časti siete. Štandardne sa port prepne do neautorizovaného stavu a blokuje komunikáciu. Bežným príkladom je, keď príde nejaká návšteva a potrebuje sa dostať na internet. My máme vytvorenú VLAN pre hostí a do nej ich chceme automaticky zaradiť. Ak ich OS podporuje protokol 802.1x , tak sa po pripojení bude pýtať na autentizáciu (ak nemajú nastavené automatické vyplnenie). A ak máme nenastavili restricted VLAN, tak sa pri zadaní zlých údajov (neovereniu klienta) prepne port do tejto VLANy.
SWITCH (config-if) # dot1x auth-fail vlan 40 // restricted VLAN je 40
SWITCH (config-if) # dot1x auth-fail max-attempts 1 // počet pokusov o autentizáciu (1 až 3)
Pozn .: Pre restricted VLAN musí byť port v single-host modu.
S restricted VLAN rovnako ako guest VLAN môžeme naraziť na nejaké problémy. Často pomôže zníženie timeoutov , ako je uvedené vyššie. Tiež sa vyskytuje problém s pridelením adresy z DHCP, ktorý je tiež popísaný vyššie.
guest VLAN
Podobná situácia ako restricted VLAN je guest VLAN . Tú využijeme pre klientov, ktorí nepodporujú 802.1x (napríklad, aby si stiahli klienta pre dot1x). Do guest VLANy klient zaradený, ak nepodporuje protokol 802.1x (neodošle EAPOL paket ani neodpovie na EAP-request).
SWITCH (config-if) # dot1x guest-vlan 20
V starších verziách IOSu do verzie 12.2 (25) SEE sa používalo upravené správanie guest VLANy, ktoré bolo v dôsledku podobnej restricted VLAN. Najprv bolo treba pre celý switch prepnúť správanie.
SWITCH (config) # dot1x guest-vlan supplicant
A následne sa normálne konfigurovala guest VLAN pre porty a uplatnila sa na neoverené klientov.
SWITCH (config-if) # dot1x guest-vlan 5
Kontrola a debug
Informácie o 802.1x
SWITCH # show dot1x interface f0 / 1 // informácie o 802.1x konfigurácii na porte
SWITCH # show dot1x all // informácie o 802.1x zo všetkých portov, kde je zapnuté
SWITCH # show dot1x all details // kompletné informácie o všetkých 802.1x portoch
SWITCH # show dot1x all statistics // štatistiky o použití 802.1x na porte
SWITCH # show dot1x all summary // stručné informácie o stave dot1x portov
Debugging 802.1x
U nasadzovanie 802.1x asi jednoducho narazíme na rôzne problémy a potrebujeme vidieť, čo sa na switchi deje. Preto je najlepšie použiť debugovania daných informácií.
SWITCH # debug dot1x events // logovanie dot1x udalostí
SWITCH # debug dot1x all // logovanie všetkého okolo dot1x
SWITCH # show debugging // zobrazí na čo je nastavený debug
SWITCH # undebug dot1x all // zruší debug všetkého okolo 802.1x
SWITCH # show logging // zobrazí log
Informácie o AAA a RADIUS
SWITCH # show radius statistics // štatistiky z rádius
SWITCH # show aaa servers // štatistiky z AAA a napojenia na RADIUS
SWITCH # show aaa method-lists all // zoznam metód a ktoré sú použité
SWITCH # debug radius accounting // logovanie accounting informácií posielaných na radius