Il est de plus en plus courant dans le monde de l’entreprise d’utiliser du 802.1X afin de sécuriser son réseau et le dynamiser. Cela nécessite une légère augmentation de la bande passante et un serveur dédié avec un CPU robuste et des accès aux données rapides. Nous allons voir rapidement comment mettre en place du 802.1X sur un switch CISCO
switch# conf t
switch(config)# aaa new-model
switch(config)# aaa authentication login default local-case
switch(config)# aaa authentication dot1x default group radius
switch(config)# aaa authorization network default group radius
switch(config)# dot1x system-auth-control
switch(config)# radius-server host 10.1.1.3 auth-port 2812 acct-port 1813 key 0 motdepasseradius
switch(config)# radius-server vsa send authentication
switch(config)# exit
Le mot de passe radius sera chiffré de manière réversible (niveau 7) ensuite.
interface FastEthernet 1/0/1
switchport mode access
authentication event fail action authorize vlan 23
authentication event no-response action authorize vlan 23
authentication port-control auto
dot1x pae authenticator
end
Ces commandes permettent d’utiliser 802.1X sur un port de switch. Linux et MAC OS le gèrent nativement, néanmoins quelques manipulations seront nécessaires sous Windows.
Les deux lignes stipulant le VLAN 23 permettent de basculer la machine dans ce VLAN lorsqu’elle n’est pas autorisée ou encore qu’il n’y a pas de réponse de la part du serveur radius.
interface FastEthernet 1/0/1
switchport mode access
authentication event fail action authorize vlan 23
authentication event no-response action authorize vlan 23
authentication port-control auto
mab eap
end
La configuration est quasiment identique, à une nuance près qu’on rajoute la ligne mab eap qui permet de définir l’option mac-address bypass qui nous intéresse ici. Si vous ne souhaitez pas utiliser EAP pour sécuriser les échanges vous pouvez indiquer uniquement mab.