ARUBA 2930F ve CISCO 2950 için dot.1x Komutları

Alperen Soyalp 24 Ocak 2018 Network1

Aşağıdaki komutlar NAC (802.1x) entegrasyonunda kenar anahtarlar tarafında yapılması gereken ayarlardır. Bu komutlar NAC tarafında Clearpass ürününün bulunduğu bir ağda test edilmiş ve çalıştığı gözlemlenmiştir.

802.1x

Radius server IP (Clearpass): 10.10.10.123  ve Radius server key: Aruba123 varsayılarak komutlar düzenlenmiştir.

Cisco 2950 configurasyonu:

Radius Server Tanımlama

aaa new-model

aaa group server radius NAC

server 10.10.10.123 auth-port 1812 acct-port 1813

Radius server tanımlarını yapma

radius-server host 10.10.10.123 auth-port 1812 acct-port 1813 key Aruba123

radius-server retransmit 3

radius-server directed-request

radius-server key Aruba123

radius-server vsa send authentication

Doğrulama ile ilgili ayarlar

aaa authentication login default local

aaa authentication enable default enable none

aaa authentication dot1x default group NAC

aaa authorization network default group NAC

aaa accounting update periodic 5

ON/OFF

dot1x system-auth-control

802.1x’in hangi portlarda aktif olacağını belirleme

interface FastEthernet0/1 – 24

dot1x port-control auto

dot1x host-mode multi-host (opsiyonel-hubların olduğu sistemlerde kullanılabilir)

ArubaOS – Aruba 2930F configurasyonu:

Radius server tanımlama

radius-server host 10.10.10.123 key “Aruba123”

radius-server host 10.10.10. 123 dyn-authorization

Radius server tanımlarını yapma

aaa server-group radius “NAC” host 10.10.10. 123

aaa accounting update periodic 1

aaa accounting network start-stop radius server-group “NAC”

aaa authentication port-access eap-radius server-group “NAC”

802.1x’in hangi portlarda aktif olacağını belirleme

aaa port-access authenticator <Port numarası>

ON/OFF

aaa port-access authenticator active

802.1x paketlerinin sunucuya iletileceği switch üzerindeki IP’nin ayarlanması

Eğer switch üzerinde birden fazla IP (L3 VLAN) var ise, 802.1x paketlerinin hangi IP’den doğrulama sunucusuna iletilmesini istediğinizi aşağıdaki komutla ayarlayabilirsiniz

ip source-interface radius vlan 601

 

Diğer Network yazıları için tıklamak isteyebilirsin.

Yorumlar (1 Yorum)
Geri bildirim: Basit Network • Güvenlik Duvarı • Switch • Topoloji • AĞ • Alperen Soyalp

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Dostlar