802.1X port

Il est de plus en plus courant dans le monde de l’entreprise d’utiliser du 802.1X afin de sécuriser son réseau et le dynamiser. Cela nécessite une légère augmentation de la bande passante et un serveur dédié avec un CPU robuste et des accès aux données rapides. Nous allons voir rapidement comment mettre en place du 802.1X sur un switch CISCO

Création de la politique 802.1X

switch# conf t
switch(config)# aaa new-model
switch(config)# aaa authentication login default local-case
switch(config)# aaa authentication dot1x default group radius
switch(config)# aaa authorization network default group radius
switch(config)# dot1x system-auth-control
switch(config)# radius-server host 10.1.1.3 auth-port 2812 acct-port 1813 key 0 motdepasseradius
switch(config)# radius-server vsa send authentication
switch(config)# exit

Le mot de passe radius sera chiffré de manière réversible (niveau 7) ensuite.

Utilisation de la politique 802.1X sur un port

interface FastEthernet 1/0/1
 switchport mode access
 authentication event fail action authorize vlan 23
 authentication event no-response action authorize vlan 23
 authentication port-control auto
 dot1x pae authenticator
end

Ces commandes permettent d’utiliser 802.1X sur un port de switch. Linux et MAC OS le gèrent nativement, néanmoins quelques manipulations seront nécessaires sous Windows.

Les deux lignes stipulant le VLAN 23 permettent de basculer la machine dans ce VLAN lorsqu’elle n’est pas autorisée ou encore qu’il n’y a pas de réponse de la part du serveur radius.

Authentification Radius par adresse MAC

interface FastEthernet 1/0/1
 switchport mode access
 authentication event fail action authorize vlan 23
 authentication event no-response action authorize vlan 23
 authentication port-control auto
 mab eap
end

La configuration est quasiment identique, à une nuance près qu’on rajoute la ligne mab eap qui permet de définir l’option mac-address bypass qui nous intéresse ici. Si vous ne souhaitez pas utiliser EAP pour sécuriser les échanges vous pouvez indiquer uniquement mab.