8.11. Настройка MAB

Назначение

MAB (MAC Authentication Bypass) — это метод аутентификации для устройств, которые не поддерживают протокол 802.1x. Он позволяет подключать к сети устройства, которые не могут предоставить имена пользователей и пароли для авторизации, используя MAC-адрес для аутентификации устройства на сервере Radius.

Описание

Когда устройство подключается к порту коммутатора с включенным MAB, из первого фрейма, инициированного устройством, извлекается MAC-адрес источника и отправляется на Radius сервер. Сервер осуществляет проверку прав на получение доступа к сети и сообщает коммутатору результат проверки, после чего коммутатор разрешает или запрещает данному устройству доступ в сеть.

Настройка

Ниже показана настройка MAB в соответствии с представленной конфигурацией сети.

image

Рис. 8.6 Конфигурация сети

Шаг 1: Вход в режим “Global config”

Switch# configure terminal

Шаг 2: Включение dot1x

Switch(config)# dot1x system-auth-ctrl

Шаг 3: Настройка AAA

Включение аутентификации:

Switch(config)# aaa new-model
Switch(config)# aaa authentication login default radius local
Switch(config)# aaa authorization exec default none

Настройка порта:

Switch(config)# interface eth-0-2
Switch(config-if)# no switchport
Switch(config-if)# ip address 1.1.1.1/24
Switch(config-if)# quit

Настройка сервера:

Switch(config)# radius-server host 1.1.1.2 auth-port 1819 key keyname

Примечание

На сервере Radius должны быть выполнены все необходимые настройки.

Шаг 4: Настройка VLAN

Создание VLAN:

Switch(config)# vlan database
Switch(config-vlan)# vlan 2
Switch(config-vlan)# exit

Настройка интерфейса VLAN:

Switch(config)# interface vlan 2
Switch(config-if)# ip address 10.1.1.1/24
Switch(config-if)# no shutdown
Switch(config-if)# exit

Создание гостевой VLAN (необязательно):

Switch(config)# vlan database
Switch(config-vlan)# vlan 3
Switch(config-vlan)# exit

Настройка интерфейса гостевой VLAN (необязательно):

Switch(config)# interface vlan 3
Switch(config-if)# ip address 10.1.1.2/24
Switch(config-if)# no shutdown
Switch(config-if)# exit

Шаг 5: Настройка клиентского порта

Настройка режима работы порта:

Switch(config)# interface eth-0-1
Switch(config-if)# no shutdown
Switch(config-if)# switchport mode access

Разрешение трафика VLAN 2 на порте:

Switch(config-if)# switchport access allowed vlan add 2

Настройка dot1x:

Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x port-mode mac

Настройка VLAN 3 качестве гостевой (необязательно):

Switch(config-if)# dot1x guest 3

Включение MAB на порте:

Switch(config-if)# dot1x mac-auth-bypass

Шаг 6: Проверка

Switch# show dot1x interface eth-0-1
802.1X info for interface eth-0-1
  portEnabled            : false
  portControl            : Auto
  portMode               : MAC based
  Mac Auth bypass        : enabled
  reAuthenticate         : disabled
  reAuthPeriod           : 3600
  Max user number        : 511
  Current session number : 0
  Accept user number     : 0
  Reject user number     : 0
  Critical user number   : 0
  Guest VLAN             : 3
  Auth-Fail VLAN         : N/A
  Critical VLAN          : N/A
  Assign VLAN            : N/A
  QuietPeriod            : 60
  ReqMax                 : 2
  TxPeriod               : 30
  SuppTimeout            : 30
  ServerTimeout          : 30
  CD: adminControlledDirections : in
  CD: operControlledDirections  : in
  CD: bridgeDetected            : false
========================================