La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Configuration de l'Authentification 802.1X

Présentations similaires


Présentation au sujet: "Configuration de l'Authentification 802.1X"— Transcription de la présentation:

1 Configuration de l'Authentification 802.1X
Multi-Domaine sur Catalyst L3 ccnp_cch

2 Sommaire • Introduction - Prérequis
- Composants utilisés Produits liés • Rappel • Configuration - Schéma du réseau Configurer le commutateur Catalyst pour l'authentification 802.1X Multi-Domaine Configurer le serveur RADIUS Configurer les PC clients pour utiliser l'authentification 802.1X Configurer les IP Phones pour utiliser l'authentification 802.1X • Vérification PC clients - IP Phones - Commutateur de couche 3 • Résolution de problèmes L'authentification IP Phone échoue ccnp_cch

3 Introduction L'authentification Multi-Domaine autorise un IP Phone et un PC à s'authentifier sur le même port de commutateur pendant que celui-ci les place dans les VLAN voix et VLAN données appropriés. Ce document explique comment configurer l'authentifica- tion multi-domaine sur des commutateurs Catalyst de couche 3 avec configuration fixe. Prérequis Assurez-vous que vous avez les prérequis suivants avant de tenter cette configuration:  Comment fonctionne RADIUS  Catalyst Switching and ACS Deployment Guide  User Guide for Cisco Secure Access Control Server 4.1  Connaissance générale de Cisco Unified IP Phone Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes:  Commutateur Cisco Catalyst 3560 Series qui opère avec Cisco IOS® Software Re- lease 12.2(37)SE1. Note: Le support de Multi−Domain Authentication est disponible uniquement à partir de l'IOS Cisco Release 12.2(35)SE et suivants.  Cet exemple utilise Cisco Secure Access Control Server (ACS) 4.1 comme serveur RADIUS. Note: un serveur RADIUS doit être spécifié avant de valider 802.1x sur le commutateur.  Les PC clients qui supportent l'authentification 802.1x. Note: Cet exemple utilise des Clients Microsoft Windows XP.  ·Cisco Unified IP Phone 7970G avec firmware SCCP version 8.2(1)  Cisco Unified IP Phone 7961G avec firmware version SCCP 8.2(2)  Media Convergence Server (MCS) avec Cisco Unified Communications Manager (Cisco CallManager) 4.1(3)sr2 ccnp_cch

4 Rappel ccnp_cch Produits liés
Cette configuration peut être également utilisé avec les matériels suivants:  Commutateur Cisco Catalyst 3560−E Series  Commutateur Cisco Catalyst 3750 Series Switch  Commutateur Cisco Catalyst 3750−E Series Switch Note: le commutateur Cisco Catalyst 3550 Series ne supporte pas l'authentification x Multi−Domaine. Rappel Le standard 802.1X définit un contrôle d'accès basé sur client/serveur et un protocole d'authentification qui empêche les équipements non autorisés de se connecter au LAN à travers des ports accessible au public X contrôle l'accès réseau par la création de deux points d'accès virtuels distincts sur chaque port. Un point d'accès est un port non contrôlé; l'autre port est un port contrôlé. Tout le trafic à travers un seul port est disponible pour les deux ports d'accès X authentifie chaque équipement utilisa- teur qui est connecté à un port de commutateur et affecte le port à un VLAN avant de rendre disponibles tous les services offerts par le commutateur ou le LAN. Jusqu'à ce que l'équipement soit authentifié, le contrôle d'accès 802.1X autorise uniquement le trafic EAPOL (Extensible Authentication Protocol Over LAN) à travers le port sur lequel l'équipement est connecté. Une fois que l'authentification est réussie, le trafic normal peut passer par le port. 802.1X est constitué de trois composants primaires. Chacun est référencé comme PAE (Port Access Entity).  Equipement Client Supplicant qui requiert l'accès réseau, par exemple IP Phones et PCs attachés.  Equipement authentificateur réseau qui facilite les requêtes d'authentification du Supplicant par exemple Catalyst  Serveur d'authentification RADIUS (Remote Dial-In User Server) qui fournit le servi- ce d'authentification par exemple Cisco Secure Access Control Server (ACS). Les Unified Cisco IP Phones contiennent également un supplicant 802.1X. Ce suppli- cant autorise les administrateurs réseau à contrôler la connectivité des IP Phones aux ports du commutateur LAN. La release initiale du Supplicant IP Phone 802.1X implé- mente l'option EAP-MD5 pour l'authentification 802.1X. Dans une configuration mul- ti-domaine, l'IP Phone et le PC attaché doivent requérir indépendamment l'accès au réseau en spécifiant le nom d'utilisateur et le mot de passe. L'équipement authentifi- cation peut requérir des informations du serveur RADIUS appelées attributs. Les attri- buts spécifient des informations d'autorisation additionnelles telle que l'autorisation d'accès à un VLAN particulier pour un Supplicant. Ces attributs peuvent être spécifi- ques à un constructeur. Cisco utilise l'attribut RADIUS cisco-av-pair pour indiquer à l'authentifieur (Cisco Catalyst 3560) qu'un Supplicant (IP Phone) est autorisé sur le VLAN voix. ccnp_cch

5 Département Marketing
Configuration Dans cette section sont présentées les informations nécessaires pour configurer la fonctionnalité authentification 802.1X multi-domaine décrite dans ce document. Cette configuration requiert ces étapes:  Configurer le commutateur Catalyst pour l'authentification 802.1X Multi-Domaine  Configurer le serveur RADIUS  Configurer les PC clients pour utiliser l'authentification 802.1X  Configurer les IP Phones pour utiliser l'authentification 802.1X Schéma du réseau Serveur RADIUS Fa0/24 Fa0/1 Fa0/4 Fa0/2 Fa0/3 Cat-3560 M-2 M-1 S-2 S-1 Département Marketing Département Sales  Serveur RADIUS - Celui-ci réalise l'authentification du client. Le serveur RADIUS va lide l'identité du client et notifie au commutateur si oui ou non le client est autorisé à accéder au LAN et aux services du commutateur. Ici l'ACS Cisco est installé et configuré sur un serveur MCS (Media Convergence Server) pour l'authentification et l'affectation de VLAN. Le MCS est également le serveur TFTP le Unified Communica tions Manager (Cisco Call Manager) pour les IP Phones.  Commutateur - Celui-ci contrôle l'accès physique au réseau sur la base de l'état d'authentification du client. Le commutateur agit comme un intermédiaire (proxy) entre le client et le serveur RADIUS. Il fait une requête d'identité venant du client, vérifie que l'information avec le serveur RADIUS et réalise la réponse vers le client. Ici le commutateur Catalyst 3560 est également configuré comme serveur DHCP. Le support de l'authentification 802.1X pour DHCP permet au serveur DHCP d'affecter ccnp_cch

6 Multi-Domaine ccnp_cch
des adresse IP aux différentes classes d'utilisateurs d'extrémité. Pour réaliser cela, il ajoute l'identité de l'utilisateur authentifié au processus de découverte du DHCP. Les ports FastEthernet 0/1 et 0/4 sont les seuls ports configurés pour l'authentification X multi-domain. Les ports FastEthernet 0/2 et 0/3 sont dans le mode host uni- que 802.1X. Le port FastEthernet 0/24 est connecté au serveur RADIUS. Note: si vous utilisez un serveur DHCP externe, n'oubliez pas d'ajouter la commande ip helper-address sur l'interface SVI (VLAN) sur laquelle les clients résident et qui pointe vers le serveur DHCP.  Clients - Ce sont les équipements, par exemple les IP Phones ou les stations, qui de- mandent l'accès au LAN et aux services du commutateur et répondent aux requêtes du commutateur. Ici les clients sont configurés pour obtenir une adresse IP à partir du serveur DHCP. Les équipements M61, M-2, S-1 et S-2 sont des stations clientes qui demandent l'accès au réseau. P-1 et P-2 sont des clients IP Phones qui deman- dent l'accès au réseau. M-1, M-2 et P-1 sont des équipements clients du départe- ment Marketing. S-1, S-2 et P-2 sont des équipements du département Sales. Les IP Phones P-1 et P-2 sont configurés pour être dans le même VLAN voix (VLAN 3). Les stations M-1 et M-2 sont configurées pour être dans le même VLAN data (VLAN 4) après authentification réussie. Les stations S-1 et S-2 sont également configurées pour être dans le même VLAN data (VLAN 5) après authentification réussie. Note: Vous pouvez utiliser l'affectation dynamique de VLAN à partir d'un serveur RADIUS uniquement pour des équipements de données. Configurer le commutateur Catalyst pour l'authentification 802.1X Multi-Domaine L'exemple de configuration de ce commutateur comprend:  Comment valider l'authentification 802.1X multi-domaine sur les ports de ce commutateur  Configuration liée au serveur RADIUS  Configuration du serveur DHCP pour l'affectation d'adresse  Routage inter-vlan pour avoir la connectivité entre les clients après authentification Note: Assurez-vous que le serveur RADIUS est toujours connecté derrière un port autorisé. Note: Seule la partie de configuration concernée est montrée ici. ccnp_cch

7 ccnp_cch Cat-3560 Switch#configure terminal
Switch(config)#hostname Cat−3560 !−−− Fixe le nom de host pour le commutateur. Cat−3560(config)#vlan 2 Cat−3560(config−vlan)#name SERVER Cat−3560(config−vlan)#vlan 3 Cat−3560(config−vlan)#name VOICE Cat−3560(config−vlan)#vlan 4 Cat−3560(config−vlan)#name MARKETING Cat−3560(config−vlan)#vlan 5 Cat−3560(config−vlan)#name SALES Cat−3560(config−vlan)#vlan 6 Cat−3560(config−vlan)#name GUEST_and_AUTHFAIL !−−− Le VLAN doit exister sur le commutateur pour que !--- l'authentification réussisse. Cat−3560(config−vlan)#exit Cat−3560(config)#interface vlan 2 Cat−3560(config−if)#ip address Cat−3560(config−if)#no shut !−−− C'est l'adresse de passerelle pour le serveur RADIUS. Cat−3560(config−if)#interface vlan 3 Cat−3560(config−if)#ip address !−−− C'est l'adresse de passerelle pour les clients IP Phone !--- du VLAN 3. Cat−3560(config−if)#interface vlan 4 Cat−3560(config−if)#ip address !−−− C'est l'adresse de passerelle pour les clients PC du !--- VLAN 4. Cat−3560(config−if)#interface vlan 5 Cat−3560(config−if)#ip address !--- VLAN 5. ccnp_cch

8 ccnp_cch Cat−3560(config−if)#exit Cat−3560(config)#ip routing
!−−− Valide le routage IP pour le routage inter-VLAN. Cat−3560(config)#interface range fastEthernet 0/1 − 4 Cat−3560(config−if−range)#shut Cat−3560(config−if−range)#exit Cat−3560(config)#interface fastEthernet 0/24 Cat−3560(config−if)#switchport mode access Cat−3560(config−if)#switchport access vlan 2 !−−− C'est un VLAN dédié pour le serveur RADIUS. Cat−3560(config−if)#spanning−tree portfast Cat−3560(config)#interface range fa0/1 , fa0/4 Cat−3560(config−if−range)#switchport mode access Cat−3560(config−if−range)#switchport voice vlan 3 !−−− Vous devez configurer le VLAN voix pour les IP Phones quand le !--- mode host est fixé à multi-domaine. !−−− Note: Si vous utilisez un VLAN dynamique pour affecter un !--- VLAN voix sur un port avec MDA validé, l'équipement voix !--- n'aura pas s'authentifier. Cat−3560(config−if−range)#dot1x port−control auto !−−− Valide l'authentification IEEE 802.1x sur le port. Cat−3560(config−if−range)#dot1x host−mode multi−domain !−−− Permet à un host et à un équipement voix d'être authentifiés !−−− sur le même port autorisé IEEE 802.1x. Cat−3560(config−if−range)#dot1x guest−vlan 6 Cat−3560(config−if−range)#dot1x auth−fail vlan 6 !−−− Le VLAN guest et le VLAN restreint sont des fonctionnalités !−−− qui s'appliquent uniquement aux équipements de données sur !--- un port avec MDA validé. Cat−3560(config−if−range)#dot1x reauthentication !−−− Valide la réauthentification périodique du client. ccnp_cch

9 ccnp_cch Cat−3560(config−if−range)#dot1x timeout reauth−period 60
!−−− Fixe le nombre de secondes entre deux tentatives de !--- réauthentification. Cat−3560(config−if−range)#dot1x auth−fail max−attempts 2 !−−− Spécifie the nombre de tentatives d'authentification à !−−− autoriser avant de passer le port dans le VLAN restreint. Cat−3560(config−if−range)#exit Cat−3560(config)#interface range fastEthernet 0/2 − 3 Cat−3560(config−if−range)#switchport mode access Cat−3560(config−if−range)#dot1x port−control auto !−−− Par défaut un port avec 802.1x autorise un seul client. Cat−3560(config−if−range)#dot1x guest−vlan 6 Cat−3560(config−if−range)#dot1x auth−fail vlan 6 Cat−3560(config−if−range)#dot1x reauthentication Cat−3560(config−if−range)#spanning−tree portfast Cat−3560(config)#ip dhcp pool IP−Phones Cat−3560(dhcp−config)#network Cat−3560(dhcp−config)#default−router Cat−3560(dhcp−config)#option 150 ip !−−− Ce pool affecte l'adresse IP pour les IP Phones. !−−− L'option 150 est pour le serveur TFTP. Cat−3560(dhcp−config)#ip dhcp pool Marketing Cat−3560(dhcp−config)#network Cat−3560(dhcp−config)#default−router !−−− Ce pool affecte l'adresse IP pour les clients PC du !--- département Marketing. Cat−3560(dhcp−config)#ip dhcp pool Sales Cat−3560(dhcp−config)#network Cat−3560(dhcp−config)#default−router !−−− Ce pool affecte l'adresse IP des clients PC du !--- département Sales. ccnp_cch

10 ccnp_cch Cat−3560(dhcp−config)#exit
Cat−3560(config)#ip dhcp excluded−address Cat−3560(config)#ip dhcp excluded−address Cat−3560(config)#ip dhcp excluded−address Cat−3560(config)#aaa new−model Cat−3560(config)#aaa authentication dot1x default group radius !−−− La liste de méthode doit être default sinon dot1x ne !--- fonctionne pas. Cat−3560(config)#aaa authorization network default group radius !−−− Vous avez besoin de l'autorisation pour l'affectation !--- dynamique de VLAN pour fonctionner avec RADIUS. Cat−3560(config)#radius−server host key CisCo123 !−−− La clé doit correspondre à celle utilisée sur le serveur !--- RADIUS. Cat−3560(config)#dot1x system−auth−control !−−− Valide globalement 802.1x. Cat−3560(config)#interface range fastEthernet 0/1 − 4 Cat−3560(config−if−range)#no shut Cat−3560(config−if−range)#^Z Cat−3560#show vlan VLAN Name Status Ports −−−− −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− −−−−−−−− −−−−−−−−−−−−−−−−−−−−−−−−−− 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Gi0/1 Gi0/2 2 SERVER active Fa0/24 3 VOICE active Fa0/1, Fa0/4 4 MARKETING active 5 SALES active 6 GUEST_and_AUTHFAIL active 1002 fddi−default act/unsup 1003 token−ring−default act/unsup 1004 fddinet−default act/unsup 1005 trnet−default act/unsup ccnp_cch

11 Configurer le serveur RADIUS
Le serveur RADIUS est configuré avec l'adresse IP statique /24. Exécu- tez ces étapes pour configurer le serveur RADIUS pour un client AAA. 1. Cliquez sur Network Configuration dans la fenêtre ACS administration pour configurer un client AAA. 2. Cliquez sur Add Entry dans la section clients AAA. 3. Configurez le nom de host du client, l'adresse IP, le secret partagé et le type d'authentification comme:  Nom de host du client AAA = Nom du commutateur (Cat-3560)  Adresse IP du client AAA = Adresse IP d'administration du commutateur ( )  Secret partagé = Clé RADIUS configurée sur le commutateur (CisCo123) Note: Pour un fonctionnement correct, le secret partagé doit être identique sur le client AAA et l'ACS. Les clés sont sensibles à la casse.  Authentification avec = RADIUS (Cisco IOS/PIX 6.0) Note: L'attribut Cisco Attribute-Value est disponible sous cette option. 4. Cliquez sur Submit + Apply pour que les modifications soient effectives. ccnp_cch

12 ccnp_cch Configuration du groupe
Référez-vous à ce tableau pour configurer le serveur RADIUS pour l'authentification. Device Dept Group User Password VLAN DHCP Pool M−1 Marketing mkt−manager MMcisco MARKETING M−2 mkt−staff MScisco S−2 Sales sales−manager SMcisco SALES S−1 sales−staff SScisco P−1 IP Phones CP−7970G−SEP001759E7492C P1cisco VOICE IP−Phones P−2 CP−7961G−SEP001A2F80381F P2cisco Créez les groupes pour les clients qui sont connectés au VLAN 3 (VOICE), 4 (MARKE- TING) et 8 (SALES). Ici les groupes IP Phones, Marketing et Sales sont crées dans ce but. ccnp_cch

13 Note: Ceci est la configuration des groupes IP Phones et Marketing
Note: Ceci est la configuration des groupes IP Phones et Marketing. Pour la configura- tion du groupe Sales, exécutez les étapes du groupe Marketing. 1. Pour créer un groupe, choisissez Group Setup et renommez le nom de groupe par défaut. 2. Pour configurer un groupe, choisissez le groupe dans la liste et cliquez sur Edit Settings. 3. Définissez l'affectation de l'adresse IP client comme Assigned by AAA client pool. Entrez le nom du pool d'adresses configuré sur le commutateur pour ce groupe de clients Note: choisissez cette option et entrez le nom du pool client AAA dans la boîte de dialogue seulement si ce client doit avoir son adresse IP affectée par un pool d'adresses IP configuré sur le client AAA Note: Pour le groupe IP Phones seulement, sautez l'étape suivante et allez à l'étape Définissez les attributs IETF (Internet Engineering Task Force) 64, 65 et 81 et en suite cliquez sur Submit + Restart Assurez-vous que les Tags des Values sont fixés à 1 comme le montre l'exemple ci-dessous. Le commutateurs Catalyst ignore tous les tags différents de 1. Pour affecter un utilisateur dans un VLAN particulier, vous devez aussi définir l'attribut avec un VLAN name ou un VLAN number correspondant Note: Si vous utilisez le VLAN name, celui-ci doit être exactement le même que celui configuré sur le commutateur. ccnp_cch

14 Note: Référez-vous au RFC 2868: RADIUS Attributes for Tunnel Protocol Support pour plus d'information sur ces attributs. Note: Dans la configuration initiale du serveur ACS, les attributs IETF RADIUS ne s'affichent pas dans User Setup. Pour valider les attributs IETF dans les écrans de configuration utilisateurs, choisissez Interface Configuration > RADIUS (IETF). En suite, cochez les attributs 64, 65 et 81 dans les colonnes User et Group Note: Si vous ne définissez pas l'attribut IETF 81 et que le port du commutateur est un port en mode accès, le client sera dans le VLAN d'accès de ce port. Si vous avez défini l'attribut 81 pour l'affectation dynamique de VLAN et que le port du commutateur est un port en mode accès, vous devez entrer la commande aaa authorization network default group radius sur le commutateur. Cette comman- de affecte au port le VLAN fourni par le serveur RADIUS. Autrement 802.1X passe le port à l'état "authorized" après l'authentification de l'utilisateur mais le port reste dans le VLAN par défaut de ce port et la connectivité peut échouer. Note: L'étape suivante est applicable uniquement au groupe IP Phones. ccnp_cch

15 5. Configurez le serveur RADIUS pour transmettre la paire d'attributs Cisco Attribute Value (AV) pour autoriser un équipement voix. Sans cela, le commutateur traite l'équipement voix comme un équipement données. Définissez l'attribut Cisco Attri bute Value (AV) avec une valeur égale device-traffic-class=voice et cliquez sur Submit+Restart. Configuration Utilisateur Exécutez ces étapes pour ajouter et configurer un utilisateur. 1. Pour ajouter et configurer des utilisateurs, choisissez User Setup. Entrez le nom d'utilisateur et cliquez sur Add/Edit. ccnp_cch

16 2. Définissez le nom d'utilisateur le mot de passe et le groupe pour l'utilisateur.
ccnp_cch

17 3. L'IP Phone utilise son Device ID comme Username et le secret partagé comme mot de passe pour l'authentification. Ces valeurs doivent correspondre avec celles du serveur RADIUS. Pour les IP Phones P-1 et P-2 créez des username identiques à leurs Device ID et un mot de passe identique au secret partagé. Voir la section "Configurer les IP Phones pour qu'ils utilisent l'authentification 802.1X" pour plus d'information sur le Device ID et le secret partagé sur un IP Phone. Configurer les PC clients pour utiliser l'authentification 802.1X Cet exemple est spécifique au client Microsoft XP Extensible Authentication Protocol (EAP) over LAN (EAPOL) Choisissez démarrer> Panneau de configuration > Connexions réseau, ensuite faire un clic droit sur Connexions au réseau local et choisissez Propriétés. 2. Cochez Afficher l'icône dans la zone de notification une fois connecté sous l'onglet Général. 3. Sous l'onglet Authentification, cochez Activer l'authentification 802.1X pour ce réseau. 4. Fixez le type EAP à MD5-Challenge comme le montre l'exemple suivant: ccnp_cch

18 Exécutez ces étapes pour configurer les clients pour qu'ils obtiennent une adresse
IP à partir d'un serveur DHCP Choisissez démarrer> Panneau de configuration > Connexions réseau, ensuite faire un clic droit sur Connexions au réseau local et choisissez Propriétés. 2. Sous l'onglet Général cliquez sur Protocole Internet (TCP/IP) et ensuite sur Propriétés. 3. Choisissez Obtenir une adresse IP automatiquement. ccnp_cch

19 Configurer les IP Phones pour utiliser l'authentification 802.1X.
Exécutez ces étapes pour configurer les IP Phones pour l'authentification 802.1X Pressez le bouton Settings pour accéder aux paramètres 802.1X Authentication puis choisissez Security Configuration > 802.1X Authentication > Device Authentication. 2. Passez l'option Device Authentication à Enabled. 3. Pressez la touche programmée Save. 4. Choisissez 802.1X Authentication > EAP−MD5 > Shared Secret pour configurer un mot de passe sur l'IP Phone. 5. Entrez le secret partagé puis appuyez sur la touche Save. Note: Le mot de passe doit avoir 6 caractères minimum et 32 caractères maximum lequel peut être constitué de toute combinaison de chiffres et de lettres. Le messa- ge "That key is not active here" est affiché et le mot de passe n'est pas sauvegardé si cette condition n'est pas satisfaite. Note: Si vous dévalidez l'authentification 802.1X ou vous faites une remise à zéro usine, le secret partagé précédemment configuré est effacé. Note: Les autres options Device ID et Realm ne peuvent pas être configurées. Le Device ID est utilisé comme nom d'utilisateur pour l'authentification 802.1X. Il est composé avec le numéro de modèle et l'adresse MAC et affiché sous le format: CP-7970G-SEP001759E7492C. Exécutez ces étapes pour configurer l'IP Phone pour qu'il obtienne une adresse IP à partir d'un serveur DHCP Pressez le bouton Settings pour accéder aux paramètres Network Configuration et choisissez Network Configuration. 2. Déverrouillez les options Network Configuration. Pour déverrouiller, pressez **#. Note: Ne pressez pas **# pour déverrouiller puis immédiatement après **# de nouveau pour verrouiller les options. l'IP Phone interprète cette séquence comme **#**# laquelle réinitialise l'IP Phone. Pour verrouiller de nouveau les options, attendez au moins dix secondes avant d'entrer **#. 3. Déroulez le menu jusqu'à l'option DHCP Enabled et pressez la touche programmée Yes pour valider le DHCP. 4. Pressez la touche programmée Save. ccnp_cch

20 Vérification ccnp_cch
Utilisez cette section pour confirmer que votre configuration fonctionne correctement. PC clients Si vous avez terminé correctement la configuration, les PC clients affichent un messa- ge d'invite pour entrer un nom d'utilisateur et un mot de passe Cliquez sur le message d'invite, comme celui montré dans cet exemple: Une fenêtre d'entrée de nom d'utilisateur et de mot de passe est affichée Note: MDA n'applique pas de manière stricte l'ordre d'authentification d'équipe- ment. Mais pour de meilleurs résultats, Cisco recommande qu'un équipement voix soit authentifié avant un équipement de données sur un port MDA. 2. Entrez un nom d'utilisateur et un mot de passe. 3. Si aucun message d'erreur n'apparaît, vérifiez la connectivité avec les méthodes usuelles, telle que l'accès aux ressources du réseau avec une commande ping. ccnp_cch

21 Note: Si cette erreur apparaît, vérifiez que le nom d'utilisateur et le mot de passe sont
corrects. IP Phones Le menu 802.1X Authentication Status dans les IP Phones permet de superviser l'état de l'authentification Pressez le bouton Settings pour accéder au 802.1X Authentication Real−Time Stats et choisissez Security Configuration > 802.1X Authentication Status. 2. Transaction Status doit être Authenticated. Note: L'état d'authentification peut être également vérifié à partir de Settings > Status > Status Messages. Commutateur couche 3 Si le nom d'utilisateur et le mot de passe sont corrects, vérifiez l'état 802.1X du port sur le commutateur Recherchez un état de port qui indique AUTHORIZED Cat−3560#show dot1x all summary Interface PAE Client Status −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− Fa0/ AUTH c AUTHORIZED e7.492c AUTHORIZED Fa0/ AUTH e94.5f99 AUTHORIZED Fa0/ AUTH D.9AF9 AUTHORIZED Fa0/ AUTH F3C.A342 AUTHORIZED 001a.2f80.381f AUTHORIZED ccnp_cch

22 Vérifiez l'état des VLANs après authentification réussie
Vérifiez l'état des VLANs après authentification réussie. Cat−3560#show vlan VLAN Name Status Ports −−−− −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− −−−−−−−−− −−−−−−−−−−−−−−−−−−−−−−−−−−−-- 1 default active Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Gi0/1 Gi0/2 2 SERVER active Fa0/24 3 VOICE active Fa0/1, Fa0/4 4 MARKETING active Fa0/1, Fa0/2 5 SALES active Fa0/3, Fa0/4 6 GUEST_and_AUTHFAIL active 1002 fddi−default act/unsup 1003 token−ring−default act/unsup 1004 fddinet−default act/unsup 1005 trnet−default act/unsup < Partie supprimée> Vérifiez l'état d'affectation DHCP après une authentification réussie. Router#show ip dhcp binding IP address Hardware address Lease expiration Type e749.2c Aug :35 AM Automatic a2f f Aug :43 AM Automatic c Aug :50 AM Automatic e.945f.99 Aug :17 AM Automatic F.3CA3.42 Aug :23 AM Automatic D9A.F9 Aug :51 AM Automatic Résolution de problèmes L'authentification IP Phone échoue L'état de l'IP Phone affiche "Configuring IP or Registering" si l'authentification 802.1X échoue. Exécutez ces étapes pour résoudre ces problèmes:  Confirmez que 802.1X est validé sur l'IP Phone  Vérifiez que vous avez le Device ID entré comme nom d'utilisateur sur le serveur d'authentification (RADIUS)  Confirmez que le secret partagé est configuré sur l'IP Phone  Si le secret partagé est configuré, vérifiez que le même secret partagé est configuré sur le serveur d'authentification  Vérifiez que vous avez correctement configuré les autres équipements requis comme par exemple le commutateur et le serveur d'authentification ccnp_cch

23 ccnp_cch Cat−3560#show dot1x interface fastEthernet 0/1 details
Dot1x Info for FastEthernet0/1 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− PAE = AUTHENTICATOR PortControl = AUTO ControlDirection = Both HostMode = MULTI_DOMAIN ReAuthentication = Enabled QuietPeriod = 10 ServerTimeout = 30 SuppTimeout = 30 ReAuthPeriod = 60 (Locally configured) ReAuthMax = 2 MaxReq = 2 TxPeriod = 30 RateLimitPeriod = 0 Auth−Fail−Vlan = 6 Auth−Fail−Max−attempts = 2 Guest−Vlan = 6 Dot1x Authenticator Client List −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− Domain = DATA Supplicant = c Auth SM State = AUTHENTICATED Auth BEND SM State = IDLE Port Status = AUTHORIZED ReAuthPeriod = 60 ReAuthAction = Reauthenticate TimeToNextReauth = 29 Authentication Method = Dot1x Authorized By = Authentication Server Vlan Policy = 4 Domain = VOICE Supplicant = e7.492c TimeToNextReauth = 15 ccnp_cch


Télécharger ppt "Configuration de l'Authentification 802.1X"

Présentations similaires


Annonces Google