Nov 12

8021.X sur Alcatel Omniswitch

 Vocabulaire et principes généraux

Euh … en fait c’est très très court, ce chapitre est le même que celui présentant 802.1X pour les commutateurs Cisco.
Néanmoins, Alcatel possède son propre vocabulaire pour gérer ses propres fonctionnalités.
Tout d’abord le concept 802.1x est nommé Access Guardian … c’est beau et ça en jette.
Cela regroupe l authentification 802.1X , une authentification via @ MAC stockée sur un serveur Radius et une authentification par portail web.
Captive Portal: portail web stocké directement sur le commutateur. Cette méthode d’authentification peut s’appliquer aux 802.1x supplicant ou non. Le concept est de rentrer un login/mot de passe qui est checké ensuite par le switch. Quelques printscreens sont dispo à la fin du topic.
Installation et configuration de 2008 Server
Pour cette partie merci de ce référer au topic de configuration de 802.1X pour Cisco.
Attention tout de même, ne configurez pas les attributs spécifiques à Cisco dans NPS.
Configuration du commutateur
Les commandes pour configurer le commutateur, ici un 6400, se résument à quelques lignes
 
Mon client est connecté sur le port 1/24 du commutateur, mon serveur est connecté sur le port 1/1 dans le Vlan 20.
 
On crée tout d abord un vlan utilisateur approuvé, le 10
Vlan 10 name User
On spécifie un serveur radius
Aaa aradius-server Server host 192.168.2.2 key test
On peut changer les ports d authentification grâce aux options de cette commande.
La configuration des ports se fait de cette manière:
Vlan port mobile 1/24
Vlan port 1/24 802.1x enable
Le commutateur va crée des règles qui vont définir les actions à prendre en cas de réussite ou d échec. Par défaut on obtient:
! 802.1x :
802.1x 1/24 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication
802.1x 1/24 captive-portal session-limit 12 retry-count 3
802.1x 1/24 captive-portal inactivity-logout disable
802.1x 1/24 supp-polling retry 2
802.1x 1/24 supplicant policy authentication pass group-mobility default-vlan block fail block
802.1x 1/24 non-supplicant policy block
802.1x 1/24 captive-portal policy authentication pass default-vlan fail block
On constate ici qu’un client authentifié se verra affecter dans le Vlan par défaut, sinon il est bloqué.
Un client qui n’est pas supplicant sera bloqué dans tous les cas. Pour par exemple utiliser le Captive Portal pour authentifier ces clients, nous taperons :
802.1x 1/24 non-supplicant policy captive-portal
J ai configuré :
vlan 10 enable name « User »
vlan 20 enable name « Server »
vlan 20 port default 1/1
vlan port mobile 1/24
vlan port 1/24 802.1x enable
! VLAN SL:
! IP :
ip service all
ip interface dhcp-client vlan 1 ifindex 1
ip interface « User » address 192.168.1.1 mask 255.255.255.0 vlan 10 ifindex 2
ip interface « server » address 192.168.2.1 mask 255.255.255.0 vlan 20 ifindex 3
! IPX :
! IPMS :
! AAA :
aaa radius-server « Server » host 192.168.2.2 key 31be6730082d60e0 retransmit 3 timeout 2 auth-port 1812 acct-port 1813
aaa authentication 802.1x « Server »
! PARTM :
! AVLAN :
! 802.1x :
802.1x 1/24 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication
802.1x 1/24 captive-portal session-limit 12 retry-count 3
802.1x 1/24 captive-portal inactivity-logout disable
802.1x 1/24 supp-polling retry 2
802.1x 1/24 supplicant policy authentication pass group-mobility vlan 10 block fail block
802.1x 1/24 non-supplicant policy block
802.1x 1/24 captive-portal policy authentication pass default-vlan fail block
On peut noter que le ports utilisateur, le 1/24, n’est pas pas configuré dans un Vlan. Il est automatiquement placé dans le Vlan 10 grâce à la règle qui s’applique aux utilisateurs authentifiés.
Partie 4. Vérifications
On vérifie le bon fonctionnement de notre authentification de cette manière :
alcatel_8021x_1
alcatel_8021x_2

Lien Permanent pour cet article : http://rsocisco.fr/8021-x-sur-alcatel-omniswitch/

Laisser un commentaire

Your email address will not be published.