Configuration de la norme 802.1X sur les commutateurs de la gamme SG300

Objectif

802.1X est une norme IEEE qui implémente l'authentification basée sur les ports. Si un port utilise 802.1X, tout client qui utilise ce port (appelé demandeur) doit présenter les informations d'identification correctes avant d'obtenir l'accès au réseau. Un périphérique qui implémente 802.1X (appelé authentificateur) doit pouvoir communiquer avec un serveur RADIUS (Remote Authentication Dial-In User Service) situé ailleurs sur le réseau. Ce serveur contient une liste des utilisateurs valides autorisés à accéder au réseau ; toutes les informations d'identification envoyées par l'authentificateur (données par le demandeur) doivent correspondre à celles détenues par le serveur RADIUS. Si c'est le cas, le serveur demande à l'authentificateur d'accorder l'accès à l'utilisateur ; sinon, l'authentificateur refusera l'accès.

La norme 802.1X est une bonne mesure de sécurité pour empêcher les utilisateurs indésirables d'accéder au réseau en se connectant à un port physique. Veuillez noter que pour que 802.1X fonctionne, un serveur RADIUS doit déjà être configuré ailleurs sur le réseau, et l'authentificateur doit pouvoir communiquer avec lui.

L'objectif de ce document est de vous montrer comment configurer 802.1X sur les commutateurs de la gamme SG300.

Périphériques pertinents

Commutateurs · série SG300

Version du logiciel

•v 1.4.1.3

Configuration de l'authentification 802.1X

Ajout d'un serveur RADIUS

Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Security > RADIUS. La page RADIUS s'affiche.

Étape 2. Dans le champ Comptabilité RADIUS, sélectionnez une case d'option pour sélectionner le type d'informations comptables que le serveur RADIUS recevra. Un serveur RADIUS peut recevoir des informations de comptabilité permettant de suivre l'heure de session d'un utilisateur, les ressources qu'il utilise, etc. L'option sélectionnée ici n'aura pas d'impact sur les performances de la norme 802.1X.

Les options sont les suivantes :

· Port Based Access Control : cette option envoie au serveur RADIUS des informations de comptabilité sur les sessions authentifiées basées sur les ports.

Accès à la gestion · : cette option envoie au serveur RADIUS des informations de comptabilité sur les sessions de gestion du commutateur.

· Contrôle d'accès basé sur les ports et accès de gestion : cette option envoie les deux types d'informations de comptabilité au serveur RADIUS.

· Aucun - N'envoyez pas d'informations de comptabilité au serveur RADIUS.

Étape 3. Dans la zone Utiliser les paramètres par défaut, configurez les paramètres qui seront utilisés par défaut, sauf si un serveur RADIUS ajouté est configuré avec ses propres paramètres spécifiques ; chaque entrée de serveur que vous ajoutez au commutateur peut utiliser les paramètres par défaut ou des paramètres uniques distincts. Pour cet article, nous utiliserons les paramètres par défaut définis dans cette section.

Configurez les paramètres suivants :

· - Saisissez le nombre de tentatives effectuées par le commutateur pour contacter un serveur RADIUS avant de passer au serveur suivant. Il est défini par défaut à 3.

· Délai d'attente de réponse : saisissez le nombre de secondes pendant lesquelles le commutateur attend une réponse du serveur RADIUS avant d'entreprendre d'autres actions (réessayer ou abandonner). Il est défini par défaut à 3.

· Dead Time : saisissez le nombre de minutes écoulées avant qu'un serveur RADIUS ne répondant pas ne soit transféré pour les demandes de service. 0 est établi par défaut; cette valeur signifie que le serveur n'est pas contourné.

· Key String : saisissez la clé secrète utilisée pour l'authentification entre le commutateur et le serveur RADIUS. Si vous disposez d'une clé chiffrée, entrez-la à l'aide du bouton radio Chiffré ; sinon, entrez la touche texte clair à l'aide du bouton radio Texte clair.

Interface IPv4/IPv6 source · : utilisez ces listes déroulantes pour choisir l'interface source IPv4/IPv6 à utiliser lors de la communication avec le serveur RADIUS. La valeur par défaut est Auto, qui utilise l'adresse IP source par défaut définie sur l'interface sortante.

Étape 4. Cliquez sur Apply. Les paramètres par défaut seront appliqués.

Étape 5. La table RADIUS affiche les entrées du serveur RADIUS actuellement configurées sur le commutateur. Pour ajouter une nouvelle entrée, cliquez sur le bouton Ajouter.... La fenêtre Add RADIUS Server s'ouvre.

Étape 6. Dans le champ Définition du serveur, choisissez de contacter le serveur RADIUS Par adresse IP ou Par nom (nom d'hôte). Si vous avez sélectionné Par adresse IP, sélectionnez IPv6 (version 6) ou IPv4 (version 4). Si vous avez sélectionné Version 6, utilisez le type d'adresse IPv6 et l'interface locale de liaison pour spécifier l'adresse IPv6 qui sera utilisée.

Étape 7. Dans le champ Server IP Address/Name, saisissez l'adresse IP ou le nom d'hôte du serveur RADIUS.

Étape 8. Dans le champ Priorité, saisissez la priorité que vous voulez attribuer à ce serveur ; le commutateur tentera de contacter le serveur avec la priorité la plus élevée et poursuivra la liste jusqu'à ce qu'il rencontre un serveur réactif. La plage est comprise entre 0 et 65 535, 0 étant la priorité la plus élevée.

Étape 9. Activez la case d'option Utiliser les paramètres par défaut dans les champs Key String, Timeout for Reply, Retries et Dead Time pour utiliser les paramètres précédemment configurés dans la page RADIUS. Vous pouvez également sélectionner les cases d'option Défini par l'utilisateur pour configurer des paramètres différents des paramètres par défaut ; si vous faites cela, ces paramètres ne seront utilisés que pour ce serveur RADIUS spécifique.

Étape 10. Dans le champ Port d'authentification, spécifiez le port qui sera utilisé pour la communication d'authentification avec le serveur RADIUS. Il est recommandé de laisser ceci sur le port par défaut, 1812.

Étape 11. Dans le champ Port comptable, spécifiez le port qui sera utilisé pour la communication comptable avec le serveur RADIUS. Il est recommandé de laisser ceci sur le port par défaut, 1813.

Étape 12. Dans le champ Type d'utilisation, sélectionnez le serveur RADIUS à utiliser. Lors de la configuration de 802.1X, sélectionnez les cases d'option 802.1x ou All pour utiliser le serveur RADIUS pour l'authentification des ports 802.1X.

Étape 13. Cliquez sur Apply. Le serveur sera ajouté à la table RADIUS. Pour activer l'authentification 802.1X basée sur les ports, passez à la section suivante.

Activation de l'authentification basée sur les ports

Étape 1. Dans l'utilitaire de configuration Web, accédez à Security > 802.1X/MAC/Web Authentication > Properties. La page Propriétés s'affiche.

Étape 2. Dans le champ Authentification basée sur les ports, cochez la case Activer pour activer l'authentification basée sur les ports. Ceci est activé par défaut.

Étape 3. Dans le champ Authentication Method, sélectionnez une case d'option pour déterminer le fonctionnement de l'authentification basée sur les ports.

Les options sont les suivantes :

· RADIUS, Aucun - Le commutateur tente de contacter le ou les serveurs RADIUS définis sur la page RADIUS. Si aucune réponse n'est reçue des serveurs, aucune authentification n'est effectuée et la session est autorisée. Si le serveur répond et que les informations d'identification sont incorrectes, la session est refusée.

· RADIUS : le commutateur tente de contacter le ou les serveurs RADIUS définis sur la page RADIUS. Si aucune réponse n'est reçue du ou des serveurs, la session est refusée. Pour la mise en oeuvre 802.1X la plus sécurisée, cette option est recommandée.

· Aucun - Aucune authentification n'est effectuée. Toutes les sessions seront autorisées. Cette option n'implémente pas 802.1X.

Étape 4. Cliquez sur Apply.

Étape 5. Accédez à Security > 802.1X/MAC/Web Authentication > Port Authentication. La page Port Authentication s'affiche.

Étape 6. Sélectionnez le port à configurer en sélectionnant sa case d'option dans la table d'authentification des ports et en cliquant sur le bouton Modifier.... La fenêtre Edit Port Authentication s'ouvre.

Étape 7. Dans le champ Administrative Port Control, sélectionnez une case d'option pour déterminer comment le port autorisera les sessions. Le champ Contrôle de port actuel affiche l'état d'autorisation actuel du port sélectionné.

Les options sont les suivantes :

· Force Unallowed : déplace l'interface dans un état non autorisé. Le périphérique ne fournit aucune authentification aux clients connectés à ce port et refuse l'accès.

· Auto : active l'authentification basée sur les ports pour le port sélectionné. Déplace l'interface entre autorisée et non autorisée selon le résultat de la procédure d'authentification. Sélectionnez cette option pour implémenter 802.1X.

· Force Authorized : déplace l'interface dans un état autorisé. Le périphérique fournit un accès à tout client qui se connecte à ce port sans authentification.

Étape 8. Cochez la case Activer dans le champ Authentification basée sur 802.1X pour activer l'authentification 802.1X pour le port sélectionné.

Étape 9. Cliquez sur Apply. Le port doit maintenant être entièrement configuré pour l'authentification basée sur les ports 802.1X et est prêt à commencer à authentifier tous les clients qui y se connectent. Utilisez le champ Interface pour sélectionner un autre port à configurer sans revenir à la page Authentification du port.

Étape 10. Si vous souhaitez copier rapidement les paramètres d'un port vers un autre port ou une autre plage de ports, cliquez sur la case d'option du port à copier dans la table d'authentification des ports et cliquez sur le bouton Copier les paramètres.... La fenêtre Copy Settings s'ouvre.

Étape 11. Dans le champ de texte, saisissez le ou les ports (séparés par des virgules) vers lesquels copier les paramètres. Vous pouvez également spécifier une plage de ports. Cliquez ensuite sur Apply pour copier les paramètres.