802.1x Konfiguration in Cisco-Router-Netzwerken

Beitragsbaum

 

IEEE 802.1x

Je nach Infrastruktur und Situation ist es notwendig Netzwerkanschlüsse bereitzustellen, welche frei für Mitarbeiter oder Gästen benutzbar sind. Für diese Art der Anschlüsse müssen natürlich vorkehrungsmaßnahmen getroffen werden, damit beispielsweise eine nicht ordnungsgemäße Benutzung dieser Anschlüsse in das World Wide Web zum Nutzer zurückverfolgt werden kann. Durch eine Authentifizierung und somit auch eine Autorisierung bei erfolgreichen Login des Nutzers am Netzwerkanschluss kann sichergestellt werden, ob derjenige überhaupt berechtigt ist, diesen zu benutzen. Des Weiteren hat der Netzbetreiber durch eine Nutzerauthentifizierung die Möglichkeit diesen zu belangen und zurückzuverfolgen bei strafrechtlichen Maßnahmen.

Diese Authentifizierung nennt man 802.1x und ist ein Standard nach IEEE. Dieses Protokoll basiert auf der Technik des „Port Based Network Access Protocol (PNAC)“ und findet Verwendung bei im LAN und WLAN Bereich. Als Erstes muss der Nutzer sein Endgerät, mit welchem er den 802.1x Anschluss nutzen möchte, auf die Nutzung vorbereiten. Sobald der Ethernet Anschluss angepasst wurde erscheint eine Authentifzierungsaufforderung, welche bei korrekter Loginangaben weiter an einen RADIUS-Server gegeben und dort gecheckt werden. Wenn daraufhin die Anmeldung erfolgreich war, kann der Nutzer nach Zuweisung einer IP-Adresse aus dem Subnetz, im Internet oder je nach Konfiguration nur im Intranet surfen.

 

Konfigurationsbeispiel

In dem von mir nun gezeigten Konfigurationsbeispiel handelt es sich um einen gewöhnlichen RJ45 Netzwerkanschluss, welcher für Studenten 802.1x fähig gemacht werden soll. Den Studenten soll es durch die Authentifizierung ihrer ID und dazugehörigem Passwort möglich gemacht werden, Zugriff zum Internet zu bekommen. Das Betriebssystem des Endgerätes spielt bei 802.1x keine Rolle, da die Einstellung von 802.1x heutzutage unter jedem System konfigurierbar sein sollte. Die Konfiguration Netzwerkseitig findet auf einem Cisco 2960X Switch und auf einem Cisco Catalyst 6000 Router mit Switchmodularität statt.

 

Netzkonfiguration auf der Routerseite

Als Erstes braucht man ein autakes Subnetz nur für die 802.1x Anschlüsse, in denen sich die Nutzer dann bewegen beziehungsweise die Adressierung erhalten. Ich werde hier beispielsweise mit einem privaten Netzwerk die Konfiguration aufführen.

Das Netz muss dann gegebenfalls je nach Infrastruktur ermöglicht werden, in das World Wide Web zu kommunizeren. Dies geschieht anhand von ACL’s an Router und Firewall.

Sobald man das Subnetz nun mit allen Informationen hat, generiert man sich auf dem Router ein neues VLAN mit einer freien ID nach Wahl und gibt diesem auch einen erkennbaren Namen.

(config)#   vlan 10
(config-vlan)#   name „802.1x“

 

Danach muss das Interface VLAN erstellt werden, damit die Layer 3 Funktionalität auch vorhanden ist. Auf dem Interface VLAN wird dann das Subnetz konfiguriert und die dazugehörige benötigte Standardkonfiguration. Angepasst muss hier nur OSPF Konfiguration je nach Situation, sonst kann diese komplett übernommen werden.

(config)#   inter vlan 10
(config-if)#   description 802.1x
(config-if)#   ip address 192.168.10.254 255.255.255.0
(config-if)#   no ip redirects
(config-if)#   no ip proxy-arp
(config-if)#   ip pim sparse-dense-mode
(config-if)#   ip sap listen
(config-if)#   ip ospf authentication message-digest
(config-if)#   ip ospf message-digest-key 100 md5 7 092814754H112Z0A0F4359
(config-if)#   ip ospf cost 18

 

Damit wäre die Konfiguration auf Seite des Routers abgeschlossen. Die eigentliche 802.1x Konfiguration findet auf dem entsprechenden Switch statt.

 

 

Netz- und 802.1x Konfiguration auf der Switchseite

Der nächste Schritt ist das Erstellen des VLAN’s auf der Seite des Switches. Natürlich muss hier die gleiche VLAN ID verwendet werden.

(config)#   vlan 10
(config-vlan)#   name „802.1x“

 

Nachdem das VLAN erstellt wurde, widmet man sich der eigentlichen 802.1x Konfiguration auf dem Switch.

Als Erstes erstellt man die Angabe der RADIUS-Server anhand einer klassischen AAA-Regel (Authentication Auhorization Accounting). Durch diese Konfiguration weiß der Switch an welche Destination die Authentifizierungsanfragen hin müssen.

(config)#   aaa group server radius 8021x_server
(config-sg-radius)#   server name radius1.net
(config-sg-radius)#   server name radius2.net

 

Sobald dies eingetragen wurde, müssen die beiden oben angegebenen RADIUS-Server noch deutlich definiert werden. Die Konfiguration der IP-Adresse, der ein- und ausgehenden Ports und des Pre Shared Key’s für den Verbindungsaufbau des Swicthes mit den RADIUS-Servern untereinander.

(config)#   radius server radius1.net
(config-radius-server)#   address ipv4 192.168.20.100 auth-port 1812 acct-port 1813
(config-radius-server)#   key 7 901116151355080E57911E5F11

(config)#   radius server radius2.net
(config-radius-server)#   address ipv4 192.168.30.100 auth-port 1812 acct-port 1813

(config-radius-server)#   key 7 16120C3258470A515D87495A24

 

Nun greift man nochmal auf die AAA-Konfiguration zurück und erweitert diese um zwei Zeilen. Durch diese Anpassung werden eine Reihe von Aufthentifizierungsmethoden aktiviert und es wird dem Switch ermöglicht, mit dem RADIUS-Servern zu kommunizieren bei 802.1x Authentifizierungsanfragen.

(config)#   aaa authentication dot1x default group dot1x_server
(config)#   aaa accounting dot1x default start-stop group dot1x_server

 

Gegebenfalls muss AAA noch aktiviert werden, falls es vorher noch keine AAA Konfiguration auf dem Switch gab.

(config)#   aaa new-model

 

Danach muss das 802.1x Protokolll noch auf dem Switch aktiviert werden.

(config)#   dot1x system-auth-control

 

Sobald dies alles konfiguriert wurde muss nun die Konfiguration auf den Switchports für die einzelnen Netzwerkanschlüsse, an denen 802.1x bereit gestellt werden soll, noch erweitert werden. Ohne diese Anpassung funktioniert 802.1x nicht an der Anschlussdose und der Nutzer kann sich nicht authentifizieren.

Dafür wechselt man auf das Interface, an denen 802.1x vorhanden sein soll. Das Interface muss in das VLAN 10 welches angelegt wurde für die 802.1x Authentifzierung. Mit den Angaben dot1x default und dot1x pae authenticator bestimmt man die Standard dot1x Konfiguration und das Authentifizierungsverfahren wird auf PAE gesetzt. Der Switchport agiert nun als ein „Authenticator“ und antwortet nicht auf allgemeine Anfragen des angeschlossenen Endgerätes.

(config)#   inter gi1/0/3
(config-if)#   description 802.1x
(config-if)#   switchport access vlan 10
(config-if)#   dot1x default
(config-if)#   dot1x pae authenticator
(config-if)#   authentication port-control auto
(config-if)#   authentication periodic

 

Im letzten Schritt muss der Switch, auf dem die 802.1x Authentifizierung benutzt wird, den RADIUS-Servern bekannt gemacht werden. Wenn dies nicht gemacht wird, kann es je nach Konfiguration der RADIUS-Servern vorkommen, dass die Anfragen vom Switch gedropt werden.

Damit wäre die Konfiguration abgeschlossen und es fehlt nur noch die 802.1x Konfiguration am Endgerät. Diese werde ich aber nicht hier erwähnen, da dies den Rahmen sprengen würde und mein Beitrag sich nur auf die Konfiguration der Netzseite bezieht.

 

over & out,

jonsch

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.