Configurer les informations d'identification du demandeur 802.1x sur un commutateur via l'interface de ligne de commande

Introduction

IEEE 802.1x est une norme qui facilite le contrôle d'accès entre un client et un serveur. Avant que les services puissent être fournis à un client par un réseau local (LAN) ou un commutateur, le client connecté au port du commutateur doit être authentifié par le serveur d'authentification qui exécute le service d'utilisateur RADIUS (Remote Authentication Dial-In User Service).

L'authentification 802.1x empêche les clients non autorisés de se connecter à un réseau local via des ports accessibles au public. L'authentification 802.1x est un modèle client-serveur. Dans ce modèle, les périphériques réseau ont les rôles spécifiques suivants :

• Client ou demandeur : un client ou demandeur est un périphérique réseau qui demande l'accès au réseau local. Le client est connecté à un authentificateur.
• Authentificateur : un authentificateur est un périphérique réseau qui fournit des services réseau et auquel les ports du demandeur sont connectés. Les méthodes d'authentification suivantes sont prises en charge :

- Basé sur 802.1x — Pris en charge dans tous les modes d'authentification. Dans l'authentification basée sur 802.1x, l'authentificateur extrait les messages EAP (Extensible Authentication Protocol) des messages 802.1x ou des paquets EAPoL (EAPoL) et les transmet au serveur d'authentification, à l'aide du protocole RADIUS.

- Basé sur MAC — Pris en charge dans tous les modes d'authentification. Avec le contrôle d'accès au support (MAC), l'authentificateur exécute lui-même la partie client EAP du logiciel au nom des clients qui cherchent à accéder au réseau.

- Web : pris en charge uniquement en mode multisessions. Avec l'authentification basée sur le Web, l'authentificateur exécute lui-même la partie client EAP du logiciel au nom des clients qui cherchent à accéder au réseau.

• Serveur d'authentification : un serveur d'authentification effectue l'authentification réelle du client. Le serveur d'authentification du périphérique est un serveur d'authentification RADIUS avec des extensions EAP.

Note: Un périphérique réseau peut être un client ou un demandeur, un authentificateur ou les deux par port.

L'image ci-dessous affiche un réseau qui a configuré les périphériques en fonction des rôles spécifiques. Dans cet exemple, un commutateur SG350X est utilisé.

Cependant, vous pouvez également configurer certains ports de votre commutateur en tant que complices. Une fois que les informations d'identification du demandeur sont configurées sur un port spécifique de votre commutateur, vous pouvez connecter directement les périphériques qui ne sont pas compatibles avec la norme 802.1x afin que les périphériques puissent accéder au réseau sécurisé. L'image ci-dessous montre un scénario d'un réseau qui a configuré un commutateur en tant que demandeur.

Instructions de configuration de 802.1x::

1. Configurez le serveur RADIUS. Pour savoir comment configurer les paramètres du serveur RADIUS sur votre commutateur, cliquez ici.
2. Créez un réseau local virtuel (VLAN). Pour créer des VLAN à l'aide de l'utilitaire Web de votre commutateur, cliquez ici. Pour obtenir des instructions basées sur l'interface de ligne de commande (CLI), cliquez ici.
3. Configurez les paramètres Port to VLAN sur votre commutateur. Pour configurer à l'aide de l'utilitaire Web, cliquez ici. Pour utiliser l'interface de ligne de commande, cliquez ici.
4. Configurez les propriétés globales 802.1x sur le commutateur. Pour obtenir des instructions sur la configuration des propriétés 802.1x globales via l'utilitaire Web du commutateur, cliquez ici. Pour obtenir des instructions basées sur l'interface de ligne de commande, cliquez ici.
5. (Facultatif) Configurez la plage de temps sur le commutateur. Pour savoir comment configurer les paramètres de plage de temps sur votre commutateur, cliquez ici. Pour utiliser l'interface de ligne de commande, cliquez ici.
6. Configurez les informations d'identification du demandeur 802.1x sur le commutateur. Pour savoir comment configurer via l'utilitaire Web, cliquez ici. Les instructions CLI sont fournies dans cet article.
7. Configurez l'authentification de port 802.1x. Pour utiliser l'utilitaire Web du commutateur, cliquez ici. Pour utiliser l'interface de ligne de commande, cliquez ici. 

Objectif

Vous pouvez configurer le commutateur en tant que demandeur 802.1x (client) sur le réseau câblé. Un nom d'utilisateur et un mot de passe chiffrés peuvent être configurés pour permettre au commutateur de s'authentifier à l'aide de la norme 802.1x.

Sur les réseaux qui utilisent le contrôle d'accès réseau basé sur les ports IEEE 802.1x, un demandeur ne peut pas accéder au réseau tant que l'authentificateur 802.1x n'a pas accordé l'accès. Si votre réseau utilise 802.1x, vous devez configurer les informations d'authentification 802.1x sur le commutateur afin qu'il puisse fournir ces informations à l'authentificateur.

Cet article explique comment configurer les informations d'identification du demandeur 802.1x sur votre commutateur via l'interface de ligne de commande.

Périphériques pertinents

• Série Sx350X
• Gamme SG350X
• Série SG550X

Version du logiciel

• 2.3.0.130

Configurer les informations d'identification du demandeur 802.1x

Créer des informations d'identification du demandeur 802.1x

Étape 1. Connectez-vous à la console du commutateur. Le nom d'utilisateur et le mot de passe par défaut sont cisco/cisco. Si vous avez configuré un nouveau nom d'utilisateur ou mot de passe, saisissez plutôt les informations d'identification.

Note: Pour savoir comment accéder à l'interface de ligne de commande d'un commutateur PME via SSH ou Telnet, cliquez ici.

Note: Les commandes peuvent varier en fonction du modèle exact de votre commutateur. Dans cet exemple, le commutateur SG350X est accessible via Telnet.

Étape 2. À partir du mode d’exécution privilégié du commutateur, passez en mode de configuration globale en entrant ce qui suit :

Étape 3. Pour définir le nom d'une structure d'informations d'identification 802.1x et passer en mode de configuration des informations d'identification dot1x, entrez la commande suivante :

• name : le nom de la structure des informations d'identification peut comporter jusqu'à 32 caractères.

Note: Le commutateur prend en charge jusqu'à 24 informations d'identification. Dans cet exemple, cisco est utilisé.

Étape 4. (Facultatif) Pour supprimer la structure des informations d'identification, saisissez ce qui suit :

Note: Impossible de supprimer les informations d'identification utilisées.

Étape 5. Pour spécifier un nom d'utilisateur pour une structure d'informations d'identification 802.1x, saisissez ce qui suit :

• username : le nom d'utilisateur peut comporter jusqu'à 32 caractères.

Note: Dans cet exemple, switchuser est le nom d'utilisateur spécifié.

Étape 6. (Facultatif) Pour supprimer le nom d'utilisateur, saisissez ce qui suit :

Étape 7. Pour spécifier un mot de passe pour une structure d'informations d'identification 802.1x, saisissez l'une des valeurs suivantes :

• mot de passe chiffré : le mot de passe est au format chiffré.
• password : vous pouvez saisir un mot de passe en texte clair pouvant comporter jusqu'à 64 caractères.

Note: Dans cet exemple, le mot de passe en clair C !$C0123456 est entré.

Étape 8. (Facultatif) Pour supprimer le mot de passe, saisissez ce qui suit :

Étape 9. (Facultatif) Pour ajouter une description de la structure d'informations d'identification 802.1x, saisissez ce qui suit :

Note: Dans cet exemple, la description utilisée est sg350x-supplicant.

Étape 10. (Facultatif) Pour supprimer la description, saisissez ce qui suit :

Étape 11. Entrez la commande end pour revenir au mode d’exécution privilégié :

Étape 12. (Facultatif) Pour afficher les informations d'identification 802.1x configurées, saisissez :

Étape 13. (Facultatif) Dans le mode d’exécution privilégié du commutateur, enregistrez les paramètres configurés dans le fichier de configuration initiale en saisissant ce qui suit :

Étape 14. (Facultatif) Appuyez sur Y pour Oui ou N pour Non sur votre clavier une fois que l'invite Overwrite file [startup-config]... s'affiche.

Vous devez maintenant avoir correctement configuré les informations d'identification 802.1x sur votre commutateur via l'interface de ligne de commande.

Configurer une interface de demandeur 802.1x

Pour appliquer les informations d'identification de demandeur 802.1x configurées, vous devez configurer les informations d'authentification 802.1x sur le commutateur afin qu'il puisse fournir ces informations à l'authentificateur. Procédez comme suit pour configurer une interface de demandeur 802.1x :

Étape 1. À partir du mode d’exécution privilégié du commutateur, passez en mode de configuration globale en entrant ce qui suit :

Étape 2. En mode de configuration globale, entrez le contexte de configuration d'interface en saisissant ce qui suit :

• interface-id : spécifie un ID d'interface à configurer.

Note: Lorsque le demandeur est activé sur une interface, celle-ci devient non autorisée. Dans cet exemple, l'interface ge1/0/19 est en cours de configuration.

Étape 3. Pour activer le rôle de demandeur dot1x pour l'interface, saisissez ce qui suit :

• name : nom de la structure des informations d'identification appliquée à l'interface.

Note: Dans cet exemple, le nom d'informations d'identification précédemment créé est cisco.

Étape 4. Entrez la commande end pour revenir au mode d’exécution privilégié :

Étape 5. Pour afficher l'état 802.1x de l'interface configurée, utilisez la commande show dot1x en mode d'exécution privilégié :

• interface-id : spécifie le port Ethernet.

Note: Dans cet exemple, les informations 802.1x pour l'interface ge1/0/19 s'affichent.

Vous devez maintenant avoir correctement configuré un demandeur 802.1x sur une interface de votre commutateur via l'interface de ligne de commande.