Configuration de l'Authentification 802.1X ccnp_cch
Sommaire • Introduction • Comprendre l'authentification 802.1X - Rôles des équipements - Initiation de l'authentification et échange de messages - Etats "Autorisé" et "Non-autorisé" des ports - Topologies supportées • Configurer l'authentification 802.1X - Configuration 802.1X par défaut - Directives de configuration 802.1X - Validation de l'authentification 802.1X - Configuration de la communication Switch/Serveur Radius - Valider la réauthentification périodique - Réauthentification manuelle d'un client connecté à un port - Changer la période d'attente - Changer le délai de retransmission Switch vers Client - Fixer le nombre de retransmissions trames Switch vers Client - Valider de Multiples Hosts - Réinitialiser la configuration 802.1X avec les valeurs par défaut • Afficher les états et les statistiques 802.1X ccnp_cch
Serveur d'Authentification RADIUS Introduction Ce document décrit comment configurer l'authentification 802.1X afin d'éviter que des équipements (clients) non-autorisés aient un accès au réseau. Comme les LANs s'étendent à des hôtels, des aéroports et à des groupes d'entreprises, cela peut géné- rer des environnements non-sécurisés. Comprendre l'authentification 802.1X Le standard 802.1X définit un contrôle d'accès basé sur le modèle client/serveur et un protocole d'authentification qui restreint les connexions d'équipements (clients) non -autorisés à un LAN au travers de ports publics. Le serveur d'authentification authenti- fie chaque client connecté à un port de commutateur avant de rendre accessible les services offerts par le commmutateur ou par le réseau. Tant que le client n'est pas authentifié, le contrôle d'accès 802.1X autorise uniquement le trafic EAPOL (Extensible Authentication Protocol Over LAN) à passer par le port auquel le client est connecté. Lorsque l'authentification est réussie, le trafic normal peut passer au travers du port. Cette section inclut ces informations conceptuelles: • Rôles des équipements • Initiation de l'authentification et échange de messages • Etats "Autorisé" et "Non-Autorisé" d'un Port • Topologies supportées Rôles des Ports Avec l'authentification 802.1X, les équipements dans le réseau ont un rôle spécifique. Station (Client) Commutateur (Switch) Serveur d'Authentification RADIUS • Client - L'équipement (Station) qui demande un accès aux services du LAN ou du réseau et qui répond aux demandes du commutateur. La station doit exécuter un logiciel client 802.1X tel que celui de Windows XP. (Le client est le "supplicant" dans la spécification IEEE 802.1X) • Serveur d'authentification - Réalise l'authentification du client. Le serveur d'authentification valide l'identité du client et notifie au commutateur si le client est ou n'est pas autorisé à accéder aux services du LAN et du commutateur. Parce que le commutateur agit comme un proxy, l'authentification est transparente pour le client. Dans cette version, le système de sécurité RADIUS (Remote Dial In User Service) avec EAP (Extensible Authentication Protocol) est le seul serveur d'authentification supporté. ccnp_cch
RADIUS opère avec le modèle client/serveur dans lequel une information d'authen- tification sécurisée est échangée entre le serveur RADIUS et un ou plusieurs clients RADIUS. • Commutateur (Commutateur d'accès ou Point d'Accès WLAN) - Contrôle l'accès physique au réseau d'après l'état d'authentification du client. Le commutateur agit comme un intermédiaire (proxy) entre le client et le serveur d'authentification. Il demande des informations d'identité au client, vérifie ces informations à l'aide du serveur d'authentification et relaie la réponse vers le client. Le commutateur contient le client RADIUS qui est responsable de l'encapsulation et de la désencapsulation des trames EAP (Extensible Authentication Protocol) et de l'échange avec le serveur RADIUS. Quand le commutateur reçoit des trames EAPOL et relaie celles-ci vers le serveur d'authentification, l'en-tête Ethernet est enlevé et la trame est re-encapsulée au format RADIUS. Les trames EAP ne sont ni modifiées ni examinées durant l'encapsu- lation. Le serveur d'authentification doit supporter le format EAP natif des trames. Quand le commutateur reçoit des trames du serveur d'authentification, l'en-tête trame Ethernet venant du serveur est enlevé et la trame EAP est de nouveau encapsu- lée par Ethernet et retransmise au client. Les équipements qui peuvent agir comme intermédiaires sont les commutateurs Catalyst 3550, Catalyst 2950 ou un point d'accès WLAN. Ces équipements doivent opérer avec un logiciel qui supporte le client RADIUS et 802.1X Initiation de l'authentification et échange de messages Le commutateur ou le client peut initier l'authentification. Si vous validez l'authenti- fication sur un port en utilisant la commande dot1x port-control auto, le commuta- teur initie une authentification quand il détermine que le port passe de l'état "down" à l'état "up". Il transmet ensuite une trame EAP-Request/Identity au client pour lui demander son identité (typiquement le commutateur transmet une trame initiale de requête d'identité suivie par une ou plusieurs requêtes d'information d'authentifica- tion). Dès la réception de la trame, le client répond avec une trame EAP-Response/ Identity. Cependant, si le client durant la période de démarrage (boot) ne reçoit pas de trame EAP-Request/Identity du commutateur, le client peut initier l'authentification en transmettant une trame EAPOL-start qui demande au commutateur d'interroger le client afin que celui-ci puisse fournir son identité. Note: Si 802.1X n'est pas validé ou n'est pas supporté par l'équipement d'accès réseau , toute trame émise par le client 802.1X sera rejetée. Si le client ne reçoit pas de trame EAP-Request/Identity après trois tentatives d'initiation d'authentification, le client transmet des trames normalement considérant que le port est dans l'état autorisé. Un port dans l'état autorisé signifie effectivement que le client a bien été authentifié avec succès. Quand le client fournit son identité, le commutateur commence son rôle d'intermé- diaire en passant les trames EAP entre le client et le serveur d'authentification. Si l'authentification est réussie, le port passe à l'état autorisé. ccnp_cch
Serveur d'Authentification RADIUS L'échange spécifique de trames EAP dépend de la méthode d'authentification utilisée. La figure suivante montre un échange de messages initié par le client utilisant la méthode d'authentification "One-Time Password" avec un serveur RADIUS. Serveur d'Authentification RADIUS Station (Client) Commutateur (Switch) EAPOL-Start EAP-Request/Identity EAP-Response/Identity RADIUS Access-Request EAP-Request/OTP RADIUS Access-Challenge EAP-Response/OTP RADIUS Access-Request EAP-Success RADIUS Access-Accept Port Autorisé EAPOL-Logoff Port Non-Autorisé Etats "Autorisé" et "Non-autorisé" des ports L'état du port du commutateur détermine si le client est autorisé à accéder ou non au réseau. Le port est initié dans l'état non-autorisé. Dans cet état, le port interdit tout trafic entrant ou sortant sauf pour les trames 802.1X. quand un client est authentifié avec succès, le port passe dans l'état autorisé permettant ainsi au trafic du client de passer normalement. Si un client ne supportant pas 802.1X est connecté à un port 802.1X non-autorisé, le commutateur demande l'identité au client. Dans ce cas, le client ne répondra pas à la demande du commutateur et par conséquent le port restera dans l'état non-autorisé et le client ne sera pas autorisé à accéder au réseau. Au contraire, quand un client avec 802.1X validé se connecte à un port non 802.1X, le client initie l'authentification en transmettant une trame EAPOL-Start. Le client va émettre cette trame un nombre de fois déterminé car il n'aura pas de réponse. Comme aucune réponse n'est reçue, le client commence à transmettre ses trames comme si le port était dans l'état autorisé. ccnp_cch
Vous pouvez contrôler l'état d'autorisation du port en utilisant la commande de configuration d'interface dot1x port-control et ces mots-clé: • force-authorized - Dévalide 802.1X et force le port dans l'état autorisé sans avoir besoin d'échanger des messages. Le port transmet et reçoit normalement le trafic sans authentification 802.1X du client. C'est l'état par défaut. • force-unauthorized - Force le port à rester dans l'état non-autorisé, ignorant toutes les tentatives faites par un client pour s'authentifier. Le commutateur ne peut pas fournir de service d'authentification pour un client au travers de ce port. • auto - Valide 802.1X et passe à l'état non-autorisé, permettant la transmission ou la réception de trames EAPOL sur le port. Le processus d'authentification débute quand la liaison du port passe de l'état "down" à l'état "up" ou lorsqu'une trame EAPOL-Start est reçue. Le commutateur demande l'identité du client et commence à relayer les messages d'authentification entre le serveur d'authentification et le client. Chaque client tentant d'accéder au réseau est identifié de manière unique par le commutateur grâce à l'adresse MAC de ce client. Si le client est authentifié avec succès (réception d'une trame Accept du serveur d'au- thentification), l'état du port passe à "autorisé" et toutes les trames du client authen- tifié sont autorisées sur ce port. Si l'authentification échoue, le port reste à l'état non-autorisé mais l'authentification peut être retentée. Si le serveur d'authentification n'est pas accessible, l'accès au réseau n'est plus accepté. Quand un client se déconnecte, il transmet un message EAPOL-logoff entraînant le passage à l'état non-autorisé du port du commutateur. Si la liaison du port passe de l'état "up" à l'état "down" , le port pass à l'état "non-autorisé". Topologies supportées L'authentification basée sur 802.1X est supportée dans deux topologies: • Point à Point • Wireless LAN Dans une configuration Point à Point (Voir figures précédentes), un seul client peut être connecté à un port utilisant 802.1X. Le commutateur détecte le client lorsque la liaison du port passe de l'état "down" à l'état "up". Si le client s'arrête ou est remplacé par un autre, le commutateur passe l'état de la liaison du port à "down" et le port passe automatiquement à l'état "non-autorisé". La figure suivante montre l'authentification avec un port 802.1X dans un réseau local WLAN. Le port 802.1X est configuré comme un "multiport-host" qui passe à l'état autorisé dès qu'un client a été authentifié. Quand le port est autorisé, tous les autres hosts indirectement attachés au port ont l'accès au réseau. Si le port passe à l'état non-autorisé, le commutateur refuse l'accès à tous les clients attachés à ce port. Dans cette topologie, le point d'accès WLAN est responsable de l'authentification des clients qui lui sont attachés et le point d'accès agit comme un client vis à vis du commutateur. ccnp_cch
Serveur d'Authentification RADIUS Point d'accès (access Point) Station (Client) Commutateur (Switch) Serveur d'Authentification RADIUS Point d'accès (access Point) Configurer l'Authentification 802.1X Cette section décrit comment configurer l'authentification basée sur 802.1X sur votre commutateur. • Configuration 802.1X par défaut • Directives de configuration 802.1X • Validation de l'authentification 802.1X • Configuration de la communication Commutateur vers Serveur RADIUS • Validation de la réauthentification périodique • Réauthentification manuelle d'un client connecté à un port • Changer la période d'attente • Changer le temps de retransmission Commutateur vers Client • Changer le nombre de retransmissions de trame Commutateur vers Client • Valider le "Multiple-Host" • Réinitialiser la configuration 802.1X avec les valeurs par défaut Configuration 802.1X par défaut Fonctions Valeurs par défaut Authentication, authorization et accounting (AAA) Dévalidé Serveur RADIUS • Adresse IP • Port UDP pour authentification • Clé • Non spécifiée • 1812 • Non spécifiée Validation de 802.1X par interface Dévalidée (force-authorized) Le port transmet et reçoit le trafic sans authentification 802.1X du client Période de ré-authentification Dévalidée Nombre de secondes entre deux tentatives de ré-authentification 3600 secondes Période d'attente 60 secondes (Période d'attente en sec pendant laquelle le commutateur reste en attente après une authentification non réussie avec le client) ccnp_cch
ccnp_cch Configuration 802.1X par défaut (suite) Fonctions Valeurs par défaut Attente de retransmission 30 secondes ( Temps d'attente en sec d'une réponse du client à un message EAP-Request/Identity avant de retrans- mettre la requête Nombre maximum de retransmissions 2 (nombre de fois où le commutateur transmettra une trame EAP-Request/ Identity avant de recommencer le processus d'authentification) Support du "Multi-Host" Dévalidé Temps d'attente d'une réponse Client 30 sec (Lors du relais d'une requête du serveur d'authentification vers le client c'est le temps d'attente de la réponse au bout duquel le commutateur va retransmettre la requête au client). Ce temps n'est pas configurable Temps d'attente d'une réponse du serveur d'authentification 30 sec (Lors du relais d'une réponse du client vers le serveur d'authentification c'est le temps d'attente de la réponse au bout duquel le commutateur va retransmettre la réponse au serveur). Ce temps n'est pas configurable Période d'attente 60 secondes (Période d'attente en sec pendant laquelle le commutateur reste en attente après une authentification non réussie avec le client) ccnp_cch
Directives de configuration 802 Directives de configuration 802.1X Voici les directives de configuration pour l'authentification 602.1X: • Quand le protocole 802.1X est validé, les ports sont authentifiés avant toute autre fonction de couche 2 validée. • Le protocole 802.1X est supporté par des ports d'accès statiques mais n'est pas supporté pour les types de ports suivants: - Port Trunk -- Si vous essayez de valider 802.1X sur un port Trunk, un message d'erreur sera affiché et le protocole 802.1X ne sera pas validé. Si vous tentez de changer le mode d'un port 802.1X en port Trunk, le mode du port ne sera pas changé. - Ports dynamiques -- Un port en mode dynamique peut négocier avec son voisin pour devenir port Trunk. Si vous essayez de valider 802.1X sur un port dynamique , un message d'erreur sera affiché et le protocole 802.1X ne sera pas validé. - Port EtherChannel -- Avant de valider 802.1X sur le port vous devez d'abord retirer le port de l'EtherChannel. Si vous essayez de valider 802.1X sur un EtherChannel ou sur un port de l'EtherChannel, un message d'erreur sera affiché et le protocole 802.1X ne sera pas validé. Si vous validez 802.1X sur un port non-affecté à un EtherChannel, le port ne pourra pas rejoindre l'EtherChannel. - Port sécurisé -- Vous ne pouvez pas configurer un port sécurisé avec 802.1X. Si vous essayez de valider 802.1X sur un port sécurisé, un message d'erreur sera affiché et le protocole 802.1X ne sera pas validé. Si vous essayez de changer un port avec 802.1X validé en port sécurisé,un message d'erreur sera affiché et les paramètres de sécurité ne seront pas affectés. - Port SPAN (Switch Port Analyzer) destination -- Vous pouvez valider 802.1X sur un port qui est un port SPAN destination; cependant 802.1X est dévalidé jusqu'à ce le port redevienne un port normal. Vous pouvez valider 802.1X sur un port SPAN source. ccnp_cch
Validation de l'authentification 802 Validation de l'authentification 802.1X Pour valider l'authentification 802.1X basée sur le port, vous devez valider AAA et spécifier la liste des méthodes d'authentification. Une liste de méthodes décrit la séquence et les méthodes d'authentification requises pour authentifier un utilisateur. Le logiciel utilise la première méthode de la liste pour authentifier les utilisateurs; si cette méthode échoue, le logiciel choisit la seconde méthode de la liste. Ce processus continue jusqu'à ce qu'il y ait une communication réussie avec une méthode de la liste ou jusqu'à ce que toutes les méthodes soient épuisées. Si l'authentification échoue à tout moment, le processus d'authentification est stoppé et aucune autre méthode d'authentification n'est tentée. Depuis le mode de configuration EXEC privilégié, voici les différentes étapes pour configurer l'authentification 802.1X basée sur le port. Cette procédure est requise. Commande Objectif configure terminal Entrer en mode de configuration global aaa new-model Valider AAA aaa authentication dot1x {default} method1[method2...] Créer une liste de méthodes d'authentification 802.1X Pour créer une liste par défaut quand un nom de liste n'est pas spécifié dans la commande authentication, utilisez le mot-clé default suivi des méthodes à utiliser par défaut. La liste des méthodes par défaut est automatiquement appliquée à toutes les interfaces. Entrez au moins un de ces mots-clé: • group radius -- Utiliser la liste des serveurs RADIUS pou l'authentification • none -- Pas d'authentification. Le client est automatiquement authentifié sans que celui-ci fournisse d'information. interface interface-id Entrer en mode de configuration interface et spécifier l'interface sur laquelle l'authentification 802.1X doit être validée. dot1x port-control auto Valide 802.1X sur l'interface end Retour en mode EXEC privilégié show dot1x Vérifier les entrées Vérifiez la colonne Status dans la section 802.1X Port Summary de l'affichage. Un état enabled signifie que la valeur de contrôle du port est fixée soit à auto ou forced-unauthorized. 1 2 3 4 5 6 7 ccnp_cch
Pour dévalider AAA, utilisez la commande no aaa new-model en mode de configuration global. Pour dévalider l'authentification 802.1X AAA, utilisez la commande no aaa authentication dot1x {default|list-name} method1 [method2...] en mode de configu- ration global. Pour dévalider 802.1X, utilisez la commande dot1x port-control force-authorized ou no dot1x port-control en mode de configuration interface. Cet exemple montre comment valider AAA et 802.1X sur le port FastEthernet0/1. Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x default group radius Switch(config)# interface fastethernet0/1 Switch(config-if)# dot1x port-control auto Switch(config-if)# end Configuration de la communication Commutateur/Serveur Radius Les serveurs de sécurité RADIUS sont identifiés par leur nom ou leur adresse IP, nom de host et port UDP spécifique ou adresse IP et port UDP spécifique. La combinaison de l'adresse IP et d'un port UDP spécifique crée un identificateur unique, ce qui per- met de transmettre des requêtes RADIUS vers différents serveurs avec la même adres- se IP. Si deux entrées Host différentes sont configurées, la seconde entrée agit comme un secours de la première entrée. Les entrées Host RADIUS sont utilisées dans l'ordre avec lequel elles ont été configu- rées. Depuis le mode EXEC privilégié voici les étapes pour configurer les paramètres de serveur RADIUS sur le commutateur. Cette procédure est requise. Commande Objectif configure terminal Entrer en mode de configuration global radius-server host {hostname| ip-address} auth-port port-number key string Configure les paramètres du serveur RADIUS sur le commutateur Pour hostname|ip-address spécifiez le nom de host ou l'adresse IP du serveur RADIUS distant Pour auth-port port-number, spécifiez le port UDP destination pour les requêtes d'authentification. La valeur par défaut est 1812. Pour key string, spécifiez la clé de cryptage et d'authentification utilisée entre le commutateur et le serveur RADIUS. La clé est une chaîne qui doit correspondre à celle utilisée sur le serveur RADIUS. Si vous utilisez plusieurs serveurs RADIUS, entrez cette commande pour chaque serveur end Retour en mode EXEC privilégié show runnin-config Vérification de la configuration 1 2 3 4 ccnp_cch
Pour retirer le serveur RADIUS spécifié, utilisez la commande no server-radius host { hostname | ip-address } en mode de configuration global. Cet exemple montre comment spécifier le serveur avec l'adresse IP 172.20.39.46 pour serveur RADIUS, utiliser le port 1612 comme port d'autorisation et de fixer la clé de cryptage à rad123 corespondant à celle utilisée sur le serveur RADIUS. Switch(config)#radius-server host 172.120.39.46 auth-port 1623 key rad123 Vous pouvez configurer de manière globale, le timeout, la retransmission et la clé de cryptage pour tous les serveurs RADIUS en utilisant la commande radius-server host en mode de configuration global. Si vous voulez configurer ces options pour chaque serveur, utilisez les commandes radius-server timeout, radius-server retransmit et radius-server key en mode de configuration global. Vous aurez aussi besoin de configurer quelques paramètres sur le serveur RADIUS. Ces paramètres comprennent l'adresse IP du commutateur et la clé partagée par le serveur et le commutateur. Valider la réauthentification périodique Vous pouvez valider la réauthentification périodique du client et indiquer sa périodi- cité. Si vous ne spécifiez pas de périodicité avant de valider la réauthentification, le nombre de secondes entre deux réauthentification est de 3600 secondes. La réauthentification automatique du client 802.1X est une configuration globale et ne peut pas se faire par port. Depuis le mode EXEC privilégié, suivez ces étapes pour va- lider la réauthentification périodique du client et configurer le nombre de secondes entre deux tentatives de réauthentification. Commande Objectif configure terminal Entrer en mode de configuration global dot1x re-authentication Valide la réauthentification périodique du client qui est dévalidée par défaut. dot1x timeout re-authperiod seconds Fixe le nombre de secondes entre deux tentatives de réauthentification L'intervalle est de 1 à 4294967295; 3600 par dé-faut. Cette commande affecte le comportement du commutateur seulement si la réauthentification est validée end Retour en mode EXEC privilégié show dot1x Vérifie la configuration 1 2 3 4 Cet exemple montre comment valider la réauthentification périodique et fixer le délai entre deux tentatives de réauthentification à 4000 secondes Switch(config)# dot1x re-authentication Switch(config)# dot1x timeout re-authperiod 4000 ccnp_cch
Réauthentification manuelle d'un client connecté à un port Vous pouvez réauthentifier manuellement un client connecté à un port spécifique à tout moment en entrant la commande dot1x re-authenticate interface interface_id en mode de commande EXEC privilégié. Changer la période d'attente Quand le commutateur ne peut pas authentifier le client, le commutateur reste en attente pour une durée déterminée et ensuite tente une nouvelle authentification. Le temps d'attente est déterminé par le paramètre "quiet-period" exprimé en secondes. Une authentification non-réussie du client peut se produire dans le cas où le client fournit un mot de passe invalide. Vous pouvez fournir un temps de réponse plus rapide à l'utilisateur en entrant une valeur plus faible que celle utilisée par défaut. Depuis le mode EXEC privilégié suivre ces étapes pour changer la période d'attente. Commande Objectif configure terminal Entrer en mode de configuration global dot1x timeout quiet-period seconds Fixe la durée du délai d'attente pour le commutateur après authentification non-réussie L'intervalle va de 0 à 65535 secondes; la valeur par défaut est 60 end Retour en mode EXEC privilégié show dot1x Vérifie la configuration 1 2 3 4 Pour revenir au temps d'attente par défaut, utilisez la commande no dot1x timeout quiet-period en mode de configuration global. Cet exemple montre comment fixer la période d'attente à 30 secondes: Switch(config)# dot1x timeout quiet-period 30 ccnp_cch
Changer le délai de retransmission de trame du commutateur vers le client Le client répond à une trame EAP-Request/Identity du commutateur par une trame EAP-Response/Identity. Si le commutateur ne reçoit pas cette réponse, il attend pendant un temps fixé à l'avance et retransmet la trame. Note: Vous devez changer cette valeur par défaut seulement pour des circonstances inhabituelles telles que liaisons non-fiables ou problèmes de comportement pour certains clients ou serveurs. Depuis le mode EXEC privilégié, suivre ces étapes pour changer le temps d'attente du commutateur avant de renotifier le client. Commande Objectif configure terminal Entrer en mode de configuration global dot1x timeout tx-period seconds Fixe la durée du délai d'attente pour le commutateur après non réponse à une trame EAP-Request/Identity L'intervalle va de 0 à 65535 secondes; la valeur par défaut est 30 end Retour en mode EXEC privilégié show dot1x Vérifie la configuration 1 2 3 4 Pour revenir au temps d'attente de retransmission par défaut, utilisez la commande no dot1x timeout tx-period en mode de configuration global. Cet exemple montre comment fixer la période d'attente à 60 secondes: Switch(config)# dot1x timeout tx-period 60 ccnp_cch
Fixer le nombre de retransmission trame du commutateur vers le client Vous pouvez également changer le nombre de fois que le commutateur transmet une trame EAP-Request/Identity (si pas de réponse reçue) vers le client avant de recom- mencer le processus d'authentification. Note: Vous devez changer cette valeur par défaut seulement pour des circonstances inhabituelles telles que liaisons non-fiables ou problèmes de comportement pour certains clients ou serveurs. Depuis le mode EXEC privilégié, suivre ces étapes pour fixer le nombre de retransmission trame du commutateur vers le client. Commande Objectif configure terminal Entrer en mode de configuration global dot1x max-req count Fixe le nombre de retransmission trame que fait le commutateur après non réponse à une trame EAP-Request/Identity avant de recommencer le processus d'authentification. L'intervalle va de 1 à 10 ; 2 est la valeur par défaut end Retour en mode EXEC privilégié show dot1x Vérifie la configuration 1 2 3 4 Pour revenir au nombre de retransmission par défaut, utilisez la commande no dot1x max-req en mode de configuration global. Cet exemple montre comment fixer le nombre de retransmission à 5: Switch(config)# dot1x max-req 5 ccnp_cch
Valider de Multiples Hosts Vous pouvez attacher de multiples hosts à un seul port 802.1X comme le montrent les figures précédentes. Dans ce mode, un seul des hosts attachés doit être validé avec succès pour que tous les autres hosts aient un accès réseau. Si le port passe à non-autorisé (échec de réauthentification ou message EAPOL-logoff), tous les autres clients n'auront plus d'accès au réseau. Depuis le mode EXEC privilégié, suivre ces étapes pour autoriser de multiples hosts sur un port 802.1x autorisé et qui a la commande dot1x port-control auto activée. Commande Objectif configure terminal Entrer en mode de configuration global interface interface_id Entrée en mode de configuration interface en indiquant l'interface sur laquelle sont attachés plusieurs hosts. dot1x multiple-hosts Autorise plusieurs hosts sur un port 802.1X autorisé Assurez-vous que la commande dot1x port-control auto a été exécutée sur cette interface. end Retour en mode EXEC privilégié show dot1x interface interface_id Vérifie la configuration 1 2 3 4 5 Pour dévalider de multiples hosts sur le port, utilisez la commande no dot1x multiple-hosts en mode de configuration interface. Cet exemple montre comment valider 802.1X sur l'interface FastEthernet0/1 et comment autoriser de multiples hosts: Switch(config)# interface fasthernet0/1 Switch(config-if)# dot1x port-control auto Switch(config-if)# dot1x multiple-hosts ccnp_cch
Réinitialiser la configuration 802 Réinitialiser la configuration 802.1X avec les valeurs par défaut Vous pouvez réinitialiser la configuration 802.1X avec les valeurs par défaut en une seule commande. Depuis le mode EXEC privilégié, suivre ces étapes pour réinitialiser la configuration 802.1X avec les valeurs par défaut Commande Objectif configure terminal Entrer en mode de configuration global dot1x default Réinitialise la configuration 802.1X avec les valeurs par défaut. end Retour en mode EXEC privilégié show dot1x Vérifie la configuration 1 2 3 4 Afficher les statistiques et les états 802.1X Pour afficher les statistiques pour toutes les interfaces, utilisez la commande show dot1x statistics en mode EXEC privilégié. Pour afficher les statistiques 802.1X pour une interface particulière, utilisez la commande show dot1x statistics interface interface_id en mode EXEC privilégié. Pour afficher les états 802.1X du commutateur, la commande show dot1x en mode de commande EXEC privilégié. Pour afficher les états 802.1X pour une interface particu- lière, utilisez la commande show dot1x interface interface_id en mode de commande EXEC privilégié. ccnp_cch