Téléverser un fichier

configuration de l authentification mac sur un commutateur via l … · configuration de...

  • Home
  • Documents
  • Configuration de l authentification MAC sur un commutateur via l … · Configuration de l’authentification MAC sur un commutateur via l’interface de ligne de commande Objectif
13
Configuration de l’authentification MAC sur un commutateur via l’interface de ligne de commande Objectif 802.1X est un outil d'administration qui permet d'autoriser les périphériques de liste, sans accès non autorisé à votre réseau. Ce document explique comment configurer l'authentification basée sur MAC sur un commutateur à l'aide de l'interface de ligne de commande (CLI). Pour plus d'informations, reportez-vous au glossaire. Comment fonctionne Radius ? L'authentification 802.1X comporte trois composants principaux : un demandeur (client), un authentificateur (périphérique réseau tel qu'un commutateur) et un serveur d'authentification (RADIUS). Le service RADIUS (Remote Authentication Dial-In User Service) est un serveur d'accès qui utilise le protocole AAA (Authentication, Authorization, and Accounting) qui aide à gérer a une adresse IP statique de 192.168.1.100 et l'authentificateur a une adresse IP statique de 192.168.1.101. Périphériques applicables Série Sx350X Série SG350XG Série Sx550X Série SG550XG Version du logiciel 2.4.0.94 Configuration du serveur RADIUS sur un commutateur Étape 1. SSH à votre commutateur qui sera le serveur RADIUS. Le nom d'utilisateur et le mot de passe par défaut sont cisco/cisco. Si vous avez configuré un nouveau nom d'utilisateur ou mot de passe, saisissez plutôt les informations d'identification. Remarque: Pour savoir comment accéder à un commutateur SMB via SSH ou Telnet, cliquez sur ici.

Upload: others

Post on 13-Feb-2021

1 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • Configuration de l’authentification MAC sur uncommutateur via l’interface de ligne decommande Objectif

    802.1X est un outil d'administration qui permet d'autoriser les périphériques de liste, sansaccès non autorisé à votre réseau. Ce document explique comment configurerl'authentification basée sur MAC sur un commutateur à l'aide de l'interface de ligne decommande (CLI). Pour plus d'informations, reportez-vous au glossaire.

    Comment fonctionne Radius ?

    L'authentification 802.1X comporte trois composants principaux : un demandeur (client), unauthentificateur (périphérique réseau tel qu'un commutateur) et un serveur d'authentification(RADIUS). Le service RADIUS (Remote Authentication Dial-In User Service) est un serveurd'accès qui utilise le protocole AAA (Authentication, Authorization, and Accounting) qui aideà gérer a une adresse IP statique de 192.168.1.100 et l'authentificateur a une adresse IPstatique de 192.168.1.101.

    Périphériques applicables

    •        Série Sx350X •        Série SG350XG •        Série Sx550X •        Série SG550XG

    Version du logiciel

    •        2.4.0.94

    Configuration du serveur RADIUS sur un commutateur

    Étape 1. SSH à votre commutateur qui sera le serveur RADIUS. Le nom d'utilisateur et lemot de passe par défaut sont cisco/cisco. Si vous avez configuré un nouveau nomd'utilisateur ou mot de passe, saisissez plutôt les informations d'identification. Remarque: Pour savoir comment accéder à un commutateur SMB via SSH ou Telnet,cliquez sur ici.

    https://www.cisco.com/c/fr_ca/support/docs/smb/switches/Cisco-Business-Switching/kmgmt-2331-glossary-of-non-bias-language.html

  • Étape 2. À partir du mode d’exécution privilégié du commutateur, passez en mode deconfiguration globale en entrant ce qui suit :

    RADIUS#configure

    Étape 3. Utilisez la commande radius server enable pour activer le serveur RADIUS.

    RADIUS(config)#radius server enable

    Étape 4. Pour créer une clé secrète, utilisez la commande radius server nas secret key en

  • mode Configuration globale. Les paramètres sont définis comme suit : •       key : spécifie la clé d'authentification et de chiffrement pour les communications entre lepériphérique et les utilisateurs du groupe donné. Cette valeur comprend entre 0 et 128caractères. •       default : spécifie la clé secrète par défaut qui sera appliquée pour communiquer avec unNAS qui ne possède pas de clé privée. •       ip-address : spécifie l'adresse IP de l'hôte client RADIUS. L'adresse IP peut être uneadresse IPv4, IPv6 ou IPv6z.

    radius server nas secret key clé {par défaut|adresse IP}

    Dans cet exemple, nous utiliserons exemple comme clé et 192.168.1.101 comme adresse IPde notre authentificateur.

    RADIUS(config)#radius server nas secret key example 192.168.1.101

    Étape 5. Pour passer en mode Configuration de groupe de serveurs RADIUS et créer ungroupe s'il n'existe pas, utilisez la commande radius server group en mode Configurationglobale.

    groupe de serveurs RADIUS nom-groupe

    Dans cet article, nous utiliserons MAC802 comme nom de groupe.

    RADIUS(config-radius-server-group)#radius server group MAC802

  • Étape 6. Pour créer un utilisateur, utilisez la commande radius server user en modeConfiguration globale. Les paramètres sont définis comme suit : •       user-name : spécifie le nom d'utilisateur. La longueur est comprise entre 1 et 32caractères. •       group-name : spécifie le nom du groupe d'utilisateurs. La longueur du nom de groupe estcomprise entre 1 et 32 caractères. •       unencryption-password : spécifie le mot de passe utilisateur. La longueur peut êtrecomprise entre 1 et 64 caractères.

    radius server user username nom_utilisateur group group-name password unencryption-password

    Dans cet exemple, nous utiliserons l'adresse MAC de notre port Ethernet comme notre nomd'utilisateur, MAC802 comme notre nom de groupe, et le mot de passe non chiffré comme exemple.

    RADIUS(config-radius-server-group)#radius server username 54:EE:75:XX:XX:XX exemple de mot de passe MAC802 de groupe

    Remarque: Certains octets de l’adresse MAC sont brouillés. L'exemple de mot de passen'est pas un mot de passe fort. Veuillez utiliser un mot de passe plus fort car il n'a été utiliséqu'à titre d'exemple. De plus, notez que la commande était trop longue dans l'image qu'elleencapsulait automatiquement la commande.

    Étape 7. (Facultatif) Pour mettre fin à la session de configuration actuelle et revenir au moded'exécution privilégié, utilisez la commande end.

    RADIUS(config-radius-server-group)#end

  • Étape 8. (Facultatif) Pour copier un fichier d'une source vers une destination, utilisez lacommande copy en mode d'exécution privilégié. Dans cet exemple, nous allons enregistrernotre configuration en cours dans la configuration de démarrage.

    RADIUS#copy running-config startup-config

    Étape 9. (Facultatif) Un message s'affiche vous demandant si vous souhaitez remplacervotre fichier startup-config. Tapez Y pour yes ou N pour no. Nous allons taper Y pourremplacer notre fichier de configuration de démarrage.

    Configuration du commutateur authentificateur

    Étape 1. SSH au commutateur qui sera l'authentificateur. Le nom d'utilisateur et le mot depasse par défaut sont cisco/cisco. Si vous avez configuré un nouveau nom d'utilisateur oumot de passe, saisissez plutôt ces informations d'identification. Remarque: Pour savoir comment accéder à un commutateur SMB via SSH ou Telnet,

  • cliquez sur ici.

    Étape 2. À partir du mode d’exécution privilégié du commutateur, passez en mode deconfiguration globale en entrant ce qui suit :

    Authentificateur#configure

    Étape 3. Pour activer globalement la norme 802.1X, utilisez la commande dot1x system-auth-control en mode de configuration globale.

    Authenticator(config)#dot1x system-auth-control

  • Étape 4. Utilisez la commande de mode de configuration globale radius-server host pourconfigurer un hôte serveur RADIUS. Les paramètres sont définis comme suit : •       ip-address : spécifie l'adresse IP de l'hôte du serveur RADIUS. L'adresse IP peut être uneadresse IPv4, IPv6 ou IPv6z. •       hostname : spécifie le nom d'hôte du serveur RADIUS. La traduction en adresses IPv4est uniquement prise en charge. La longueur est comprise entre 1 et 158 caractères et lalongueur maximale de l'étiquette de chaque partie du nom d'hôte est de 63 caractères. •       auth-port auth-port-number — Spécifie le numéro de port pour les demandesd'authentification. Si le numéro de port est défini sur 0, l'hôte n'est pas utilisé pourl'authentification. La plage est comprise entre 0 et 65 535. •       Acc-port numéro-port-compte — Numéro de port pour les demandes de comptabilité.L'hôte n'est pas utilisé pour la comptabilité si défini sur 0. Si non spécifié, le numéro de portest défini par défaut sur 1813. •       timeout timeout — Spécifie la valeur de délai en secondes. Cela va de 1 à 30. •       retransmission retries - Spécifie le nombre de retransmissions de nouvelle tentative. Laplage est comprise entre 1 et 15. •       délai d'expiration — Spécifie la durée en minutes pendant laquelle un serveur RADIUSest ignoré par les demandes de transaction. Elle va de 0 à 2000. •       key key-string — Spécifie la clé d'authentification et de chiffrement pour toutes lescommunications RADIUS entre le périphérique et le serveur RADIUS. Cette clé doitcorrespondre au chiffrement utilisé sur le démon RADIUS. Pour spécifier une chaîne vide,saisissez “ ”. La longueur peut être comprise entre 0 et 128 caractères. Si ce paramètre estomis, la clé radius globalement configurée sera utilisée. •       key encryption-key-string — Identique à key-string, mais la clé est au format chiffré. •       priority priority — Spécifie l'ordre dans lequel les serveurs sont utilisés, où 0 a la prioritéla plus élevée. La plage de priorités est comprise entre 0 et 65 535. •       usage {login|dot1.x|all} — spécifie le type d'utilisation du serveur RADIUS. Les valeurspossibles sont les suivantes :

    o   login : spécifie que le serveur RADIUS est utilisé pour l'authentification desparamètres de connexion utilisateur. o   dot1.x : spécifie que le serveur RADIUS est utilisé pour l'authentification de port802.1x. o   all : spécifie que le serveur RADIUS est utilisé pour l'authentification de connexionutilisateur et l'authentification de port 802.1x.

    radius-server host {ip-address|hostname} [auth-port auth-port-number][acct-port numéro-port][timeout timeout][retransmission retries][délai d'expiration ][keykey-string][priority][usage prioritaire][usage {login|dot1.x|all}]

    Dans cet exemple, seuls les paramètres hôte et clé sont utilisés. Nous utiliserons l'adresseIP 192.168.1.100 comme adresse IP du serveur RADIUS et l'exemple de mot comme chaînede clé.

    Authenticator(config)#radius-server host 192.168.1.100 exemple de clé

  • Étape 5. Dans l'authentification basée sur MAC, le nom d'utilisateur du demandeur est basésur l'adresse MAC du périphérique demandeur. Ce qui suit définit le format de ce nomd'utilisateur basé sur MAC, qui est envoyé du commutateur au serveur RADIUS, dans lecadre du processus d'authentification. Les champs suivants sont définis comme suit : •       mac-auth type — choisissez un type d'authentification MAC

    o   eap : utilisez RADIUS avec encapsulation EAP pour le trafic entre le commutateur(client RADIUS) et le serveur RADIUS, qui authentifie un demandeur basé sur MAC. o   radius : utilisez RADIUS sans encapsulation EAP pour le trafic entre le commutateur(client RADIUS) et le serveur RADIUS, qui authentifie un demandeur basé sur MAC.

    •       groupsize : nombre de caractères ASCII entre les délimiteurs de l'adresse MAC envoyéesous forme de nom d'utilisateur. L'option comporte 1, 2, 4 ou 12 caractères ASCII entre lesdélimiteurs. •       Separator : caractère utilisé comme délimiteur entre les groupes de caractères définisdans l'adresse MAC. Les options sont le tiret, le deux-points ou le point comme délimiteur. •       case — Envoie un nom d'utilisateur en minuscules ou en majuscules. Les options sont enminuscules ou en majuscules.

    dot1x mac-auth type mac-auth username groupsize groupsize séparateur séparateur groupsize case. Dans cet exemple, nous utiliserons eap comme type mac-authentication, une taille degroupe de 2, le deux-points comme séparateur, et enverrons notre nom d'utilisateur en majuscules.

    Authenticator(config)#dot1x mac-auth eap nom d'utilisateur groupsize 2 séparateur : majuscule

    Étape 6. Utilisez la commande ci-dessous pour définir le mot de passe que le commutateurutilisera pour l’authentification basée sur MAC au lieu de l’adresse MAC hôte. Nousutiliserons le mot exemple comme mot de passe.

    Authenticator(config)#dot1x mac-auth password exemple

  • Étape 7. Pour passer en mode de configuration d'interface afin de configurer une interface,utilisez la commande mode de configuration globale interface. Nous allons configurerGigabitEthernet1/0/1 car notre hôte final y est connecté. Remarque: Ne configurez pas le port connecté à votre serveur RADIUS.

    Authenticator(config)#interface GigabitEthernet1/0/1

    Remarque: Si vous souhaitez configurer plusieurs ports simultanément, utilisez lacommande interface range. Reportez-vous à l'exemple ci-dessous pour configurer les ports 1 à 4 à l'aide de lacommande range :

    Authenticator(config)#interface range GigabitEthernet1/0/1-4

    Étape 8. Pour autoriser un hôte unique (client) ou plusieurs hôtes sur un port autoriséIEEE802.1X, utilisez la commande dot1x host-mode en mode de configuration d'interface.Les paramètres sont définis comme suit : •       multi-hôte — Activer le mode hôtes multiples

    o   Un port est autorisé s'il existe au moins un client autorisé. o   Lorsqu'un port est non autorisé et qu'un VLAN invité est activé, le trafic non étiquetéest remappé au VLAN invité. Le trafic étiqueté est abandonné, sauf s'il appartient auVLAN invité ou à un VLAN non authentifié. Si le VLAN invité n'est pas activé sur unport, seul le trafic étiqueté appartenant à des VLAN non authentifiés est ponté. o   Lorsqu'un port est autorisé, le trafic non étiqueté et étiqueté de tous les hôtesconnectés au port est ponté, en fonction de la configuration du port d'appartenance auVLAN statique. o   Vous pouvez spécifier que le trafic non étiqueté du port autorisé sera remappé surun VLAN qui est attribué par un serveur RADIUS au cours du processusd'authentification. Le trafic étiqueté est abandonné, sauf s'il appartient au VLANattribué par RADIUS ou aux VLAN non authentifiés. L'affectation de VLAN Radius surun port est définie dans la page Port Authentication.

  • •       single-host — Activer le mode hôte unique

    o   Un port est autorisé s'il existe un client autorisé. Un seul hôte peut être autorisé surun port. o   Lorsqu'un port est non autorisé et que le VLAN invité est activé, le trafic non étiquetéest remappé au VLAN invité. Le trafic étiqueté est abandonné, sauf s'il appartient auVLAN invité ou à un VLAN non authentifié. Si un VLAN invité n'est pas activé sur leport, seul le trafic étiqueté appartenant aux VLAN non authentifiés est ponté. o   Lorsqu'un port est autorisé, le trafic non étiqueté et étiqueté de l'hôte autorisé estponté en fonction de la configuration du port d'appartenance au VLAN statique. Letrafic provenant d’autres hôtes est abandonné. o   Un utilisateur peut spécifier que le trafic non étiqueté de l'hôte autorisé sera remappésur un VLAN qui est attribué par un serveur RADIUS au cours du processusd'authentification. Le trafic étiqueté est abandonné, sauf s'il appartient au VLANattribué par RADIUS ou aux VLAN non authentifiés. L'affectation de VLAN Radius surun port est définie dans la page Port Authentication.

    •       multisessions — Activer le mode multisessions

    o   Contrairement aux modes hôte unique et hôte multiple, un port en mode multisessionn'a pas d'état d'authentification. Cet état est attribué à chaque client connecté au port. o   Le trafic étiqueté appartenant à un VLAN non authentifié est toujours ponté, quel’hôte soit autorisé ou non. o   Le trafic étiqueté et non étiqueté provenant d'hôtes non autorisés n'appartenant pasà un VLAN non authentifié est remappé au VLAN invité s'il est défini et activé sur leVLAN, ou est abandonné si le VLAN invité n'est pas activé sur le port. o   Vous pouvez spécifier que le trafic non étiqueté du port autorisé sera remappé surun VLAN qui est attribué par un serveur RADIUS au cours du processusd'authentification. Le trafic étiqueté est abandonné, sauf s'il appartient au VLANattribué par RADIUS ou aux VLAN non authentifiés. L'affectation de VLAN Radius surun port est définie dans la page Port Authentication.

    dot1x host-mode host-mode

    Dans cet exemple, nous allons configurer le mode hôte pour qu'il soit multisessions.

    Authentication(config-if)#dot1x mode hôte multisessions

  • Étape 9. Pour configurer la méthode d'authentification sur un port, utilisez la commande ci-dessous pour activer l'authentification basée sur MAC.

    Authentication(config-if)#dot1x authentication mac

    Étape 10. Pour activer l'authentification et l'autorisation basées sur les ports sur lepériphérique, utilisez la commande port-control pour configurer la valeur port-control. Nousallons sélectionner l'état d'autorisation de port administratif comme auto. Cela nouspermettra d'activer l'authentification et l'autorisation basées sur les ports sur le périphérique.L'interface se déplace entre un état autorisé ou non autorisé en fonction de l'échanged'authentification entre le périphérique et le client.

    Authentication(config-if)#dot1x port-control auto

    Étape 11. (Facultatif) Pour mettre fin à la session de configuration actuelle et revenir aumode d'exécution privilégié, utilisez la commande end.

    Authentication(config-if)#end

  • Étape 12. (Facultatif) Pour copier un fichier d'une source vers une destination, utilisez lacommande copy en mode d'exécution privilégié. Dans cet exemple, nous allons enregistrernotre configuration en cours dans la configuration de démarrage.

    Authentification#copy running-config startup-config

    Étape 13. (Facultatif) Un message s'affiche et vous demande si vous souhaitez remplacervotre fichier startup-config. Tapez Y pour yes ou N pour no. Nous allons taper Y pourremplacer notre fichier de configuration de démarrage.

    Conclusion

    Vous devez maintenant configurer l'authentification MAC sur votre commutateur à l'aide del'interface de ligne de commande. Suivez les étapes ci-dessous pour vérifier quel'authentification basée sur MAC fonctionne. Étape 1. Pour afficher les utilisateurs autorisés 802.1X actifs pour le périphérique, utilisez la

  • commande show dot1x users en mode d'exécution privilégié.

    Authentificateur#show dot1x utilisateurs

    Étape 2. Pour afficher les interfaces 802.1X ou l'état d'interface spécifié, utilisez lacommande show dot1x en mode d'exécution privilégié.

    Authenticator#show dot1x interface gigabitethernet1/0/1

    Configuration de l’authentification MAC sur un commutateur via l’interface de ligne de commandeObjectifComment fonctionne Radius ?Périphériques applicablesVersion du logicielConfiguration du serveur RADIUS sur un commutateurConfiguration du commutateur authentificateurConclusion


4 Ports selectionnable DES + RS232 + Commutateur ED-204dl.staticbb.com/files/catalog/product/ED/ED-204/documents/ED-204-FR... · $012 read configuration of device 01!01400500 device

Configuration Du VPN Sous Mac OSX 10

Mac, mac, mac

Mise en route avec QuarkXPress mise à jour septembre 2015files.quark.com/download/documentation/QuarkXPress...Configuration système requise : Mac OS X Logiciels • Mac OS X® 10.9.5

Commutateur de commande / Interrupteur-sectionneur...Le commutateur de commande / l'interrupteur-sectionneur antidéflagrant 8008 sert, avec l'utilisation de têtes de commande rotatives

Guide de configuration du service de liaison SIP · Le commutateur téléphonique de Vidéotron envoie des messages SIP INFO de façon périodique vers le PBX du client. Si ces messages

Erreur ! Argument de commutateur inconnu.saprat.ephe.sorbonne.fr/media/e957c93a3ec9a5132d21c80e3487c7… · Erreur ! Argument de commutateur inconnu. passablement complexe. J'écarterai

Manuel Utilisateur Netatmo - Conrad Electronic · Lors de la configuration avec un ordinateur (Mac/Windows/Linux) Lorsque vous configurez votre Station Météo Netatmo avec un ordinateur,

Entrée Position du Sorties 1,2 et 3 commutateur

PRIMERGY 環境設定シート RX2540M4...>VLAN Configuration (MACアドレスを表示) *3 VLAN Configurationサブメニューへ >MACアドレスを表示 *3 - IPv4 Network

Architecture Mobile Virtual EnterpriseAruba Networks Architecture Mobile Virtual Enterprise Aruba 2 Présentation du commutateur d'accès à la mobilité S3500 Aruba Le commutateur

Commutateur de fin de course

TP Commutateur D-Link DGS-1210

Elgato Video Capture Guide de l’utilisateurelgatoweb.s3.amazonaws.com/.../Video...Guide_FR.pdf · Elgato Video Capture Guide de l’utilisateur Configuration système requise Mac

Configurez les configurations de CDP sur un commutateur

(Auto)Commutateur Privé Private Branch ... - iutsa.unice.friutsa.unice.fr/~frati/telephonie_DUT/Telephonie-ch08-PABX-1.2.pdf · Téléphonie (Auto)Commutateur Privé Private Branch

Guide de démarrage du commutateur Catalyst 3750

Présentation mac

Compta Mac - pomarede.info · Comment importer des écritures provenant d'un logiciel de comptabilité CIEL MAC dans EBP COMPTA MAC ?

Configuration d’un commutateur Nortel (4550T) · ... L’écran de présentation Nortel ... car cela permet d’activer le STP sur un port quand le vlan ... Le principe : si détection

ADRESSE MAC

Description des voyants Configuration d’un routeur avec ... · Description des voyants Configuration d’un routeur avec des paramètres avancés MAC pour qu’il fonctionne avec

Naviguer grâce au balayage avec le COMMUTATEUR UNIVERSEL

LN54 - mac

macbook Guide De L’utilisateur - Hautrive.free.frhautrive.free.fr/mac/MacBook_13inch_UsersGuide.pdf · MacBook Guide de l’utilisateur Contient des informations sur la configuration,

TP sur la configuration Travaux Pratiquesrobert.cireddu.free.fr/SNIR/TP sur la configuration commutateur.pdfTravaux Pratiques TP sur la configuration Configuration d’un commutateur

ALIRATION MULTIAN ALE AVE DIRA LIVE - PPL Audio · Configuration minimale requise pour installer Dira Live : • Un ordinateur (Windo Ás ou Mac) • Windo Ás : – Windo Ás 10

Guide de déploiement Mac OS X dans l’éducation · Préparation Configuration Achat d’apps Déploiement Gestion et de livres Voici les cinq étapes à suivre pour réussir votre

ProCall pour Mac OS X: Logiciel CTI pour Mac OS X

Labiales mac

MAC 250 Krypton MAC 250 Entour - Alive Technology · 2017. 7. 5. · MAC 250 Krypton et son grand frère le MAC 250 Entour. Particulièrement flexible, la série MAC 250 combine fort

RTC A. Oumnad1 RÉSEAU TÉLÉPHONIQUE COMMUTÉ RTC A. Oumnad2 Structure du RTC commutateur Ligne Téléphonique Poste Téléphonique Commutateur de transit Faisceaux

Cours Mac 2 Utiliser votre Mac

Commutateur téléphonique

Commutateur numérique à cames CamCon DC16 · Commutateur numérique à cames CamCon DC16 Digitronic Automationsanlagen GmbH Nürtinger Straße 71 • D-72639 Neuffen • Tel.