SUR CETTE PAGE
Exemple : configuration de l’authentification 802.1X-PEAP et MAC RADIUS avec des commutateurs EX Series et Aruba ClearPass Policy Manager
Cet exemple de configuration illustre comment :
Configurer un commutateur EX Series, Aruba ClearPass Policy Manager et un ordinateur portable exécutant Windows 7 pour l’authentification PEAP 802.1X
Configurer un commutateur EX Series et Aruba ClearPass pour l’authentification MAC RADIUS
Configurer un commutateur EX Series et Aruba ClearPass pour implémenter des VLAN dynamiques et des filtres de pare-feu
Exigences
Cet exemple utilise les composants matériels et logiciels suivants pour l’infrastructure de stratégie :
Un commutateur EX4300 exécutant Junos OS version 14.1X53-D30 ou ultérieure
Une plateforme Aruba ClearPass Policy Manager exécutant la version 6.3.3.63748 ou ultérieure
Ordinateurs portables exécutant Microsoft Windows 7 Entreprise
Présentation et topologie
Dans cet exemple, les composants d’infrastructure de stratégie sont configurés pour authentifier les points de terminaison suivants :
Un ordinateur portable d’employé configuré pour l’authentification PEAP 802.1X.
Dans l’exemple de configuration, Aruba ClearPass Policy Manager est configuré pour authentifier les utilisateurs 802.1X à l’aide de sa base de données d’utilisateurs locale. Si l’employé authentifié est répertorié dans la base de données comme appartenant au service financier, Aruba ClearPass renvoie l’ID VLAN 201 au commutateur dans un attribut RADIUS. Le commutateur configure ensuite dynamiquement le port d’accès de l’ordinateur portable pour qu’il soit dans le VLAN 201.
Un ordinateur portable invité qui n’est pas configuré pour l’authentification 802.1X.
Dans ce cas, le commutateur détecte que le point de terminaison n’a pas de demandeur 802.1X. L’authentification MAC RADIUS étant également activée sur l’interface, le commutateur tente alors l’authentification MAC RADIUS. Si l’adresse MAC de l’ordinateur portable ne figure pas dans la base de données d’adresses MAC Aruba ClearPass, comme ce serait le cas pour un ordinateur portable invité, Aruba ClearPass est configuré pour renvoyer le nom du filtre de pare-feu que le commutateur doit appliquer sur le port d’accès. Ce filtre de pare-feu, configuré sur le commutateur, permet à l’invité d’accéder à l’ensemble du réseau à l’exception du sous-réseau 192.168.0.0/16.
La figure 1 montre la topologie utilisée dans cet exemple.
Configuration
Cette section fournit des instructions étape par étape pour :
- Configuration du commutateur EX4300
- Configuration d’Aruba ClearPass Policy Manager
- Configuration du demandeur Windows 7 sur l’ordinateur portable
Configuration du commutateur EX4300
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez-les dans l’interface de ligne de commande au niveau de la hiérarchie [modifier], puis entrez commit à partir du mode de configuration.
[edit] set access radius-server 10.105.5.153 dynamic-request-port 3799 set access radius-server 10.105.5.153 secret password set access radius-server 10.105.5.153 source-address 10.105.5.91 set access profile Aruba-Test-Profile accounting-order radius set access profile Aruba-Test-Profile authentication-order radius set access profile Aruba-Test-Profile radius authentication-server 10.105.5.153 set access profile Aruba-Test-Profile radius accounting-server 10.105.5.153 set access profile Aruba-Test-Profile radius options nas-identifier 10.105.5.153 set protocols dot1x authenticator authentication-profile-name Aruba-Test-Profile set protocols dot1x authenticator interface ge-0/0/10 mac-radius set protocols dot1x authenticator interface ge-0/0/22 mac-radius set protocols dot1x authenticator interface ge-0/0/10 supplicant multiple set protocols dot1x authenticator interface ge-0/0/22 supplicant multiple set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members v201 set interfaces ge-0/0/22 unit 0 family ethernet-switching vlan members v201 set vlans v201 vlan-id 201 set firewall family ethernet-switching filter mac_auth_policy_1 term Block_Internal from ip-destination-address 192.168.0.0/16 set firewall family ethernet-switching filter mac_auth_policy_1 term Block_Internal then discard set firewall family ethernet-switching filter mac_auth_policy_1 term Allow_All then accept
Procédure étape par étape
Voici les étapes générales de configuration d’un commutateur EX4300 :
Configurez la connexion à Aruba ClearPass Policy Manager.
Créez le profil d’accès utilisé par le protocole 802.1X. Le profil d’accès indique au protocole 802.1X le serveur d’authentification à utiliser, ainsi que les méthodes et l’ordre d’authentification.
Configurez le protocole 802.1X.
Configurez la commutation Ethernet sur les ports d’accès ge-0/0/10 et ge-0/0/22.
Créez la stratégie de pare-feu à utiliser lorsqu’un ordinateur portable invité se connecte à un port.
Pour configurer le commutateur EX4300 :
Fournissez les informations de connexion au serveur RADIUS.
[edit access] user@Policy-EX4300-01# set radius-server 10.105.5.153 dynamic-request-port 3799 user@Policy-EX4300-01# set radius-server 10.105.5.153 secret password user@Policy-EX4300-01# set radius-server 10.105.5.153 source-address 10.105.5.91
Configurez le profil d’accès.
[edit access] user@Policy-EX4300-01# set profile Aruba-Test-Profile accounting-order radius user@Policy-EX4300-01# set profile Aruba-Test-Profile authentication-order radius user@Policy-EX4300-01# set profile Aruba-Test-Profile radius authentication-server 10.105.5.153 user@Policy-EX4300-01# set profile Aruba-Test-Profile radius accounting-server 10.105.5.153 user@Policy-EX4300-01# set profile Aruba-Test-Profile radius options nas-identifier 10.105.5.153
Configurez le protocole 802.1X pour qu’il utilise Aruba-Test-Profile et s’exécute sur chaque interface d’accès. En outre, configurez les interfaces pour utiliser l’authentification MAC RADIUS et autoriser plusieurs demandeurs, chacun devant être authentifié individuellement.
[edit protocols] user@Policy-EX4300-01# set dot1x authenticator authentication-profile-name Aruba-Test-Profile user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/10 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/10 supplicant multiple user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22 supplicant multiple
Configurez les ports d’accès.
[edit interfaces] user@Policy-EX4300-01# set ge-0/0/10 unit 0 family ethernet-switching vlan members v201 user@Policy-EX4300-01# set ge-0/0/22 unit 0 family ethernet-switching vlan members v201
Configurez le VLAN 201, qui est utilisé pour les employés membres du service financier.
[edit] user@Policy-EX4300-01# set vlans v201 vlan-id 201
Notez que pour que l’attribution dynamique de VLAN fonctionne, le VLAN doit exister sur le commutateur avant que l’authentification ne soit tentée. Si le VLAN n’existe pas, l’authentification échoue.
Configurez le filtre de pare-feu à utiliser lorsqu’un ordinateur portable invité se connecte à un port.
[edit firewall] user@Policy-EX4300-01# set family ethernet-switching filter mac_auth_policy_1 term Block_Internal from ip-destination-address 192.168.0.0/16 user@Policy-EX4300-01# set family ethernet-switching filter mac_auth_policy_1 term Block_Internal then discard user@Policy-EX4300-01# set family ethernet-switching filter mac_auth_policy_1 term Allow_All then accept
Résultats
En mode configuration, confirmez votre configuration en entrant les commandes suivantes show .
user@Policy-EX4300-01# show access
radius-server {
10.105.5.153 {
dynamic-request-port 3799;
secret "$9$FYxf3A0Ehrv87yl7Vs4DjfTz3Ct0BIcre"; ## SECRET-DATA
source-address 10.105.5.91;
}
}
profile Aruba-Test-Profile {
accounting-order radius;
authentication-order radius;
radius {
authentication-server 10.105.5.153;
accounting-server 10.105.5.153;
options {
nas-identifier 10.105.5.153;
}
}
}
user@Policy-EX4300-01# show protocols
dot1x {
authenticator {
authentication-profile-name Aruba-Test-Profile;
interface {
ge-0/0/10.0 {
supplicant multiple;
mac-radius;
}
ge-0/0/22.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@Policy-EX4300-01# show interfaces
ge-0/0/10 {
unit 0 {
family ethernet-switching {
vlan {
members v201;
}
}
}
}
ge-0/0/22 {
unit 0 {
family ethernet-switching;
vlan {
members v201;
}
}
}
}
user@Policy-EX4300-01# show vlans
v201 {
vlan-id 201;
}
user@Policy-EX4300-01# show firewall
family ethernet-switching {
filter mac_auth_policy_1 {
term Block_Internal {
from {
ip-destination-address {
192.168.0.0/16;
}
}
then discard;
}
term Allow_All {
then accept;
}
}
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Configuration d’Aruba ClearPass Policy Manager
Procédure étape par étape
Les étapes générales de configuration d’Aruba ClearPass sont les suivantes :
Ajoutez le fichier de dictionnaire RADIUS de Juniper Networks.
Ajoutez l’EX4300 en tant que périphérique réseau.
Assurez-vous que le certificat de serveur utilisé pour l’authentification PEAP 802.1X a été installé.
Ajoutez l’utilisateur local utilisé dans cet exemple et affectez-le au groupe Finance.
Créez deux profils d’application :
Profil qui définit les attributs RADIUS du filtre de pare-feu dynamique.
Profil qui définit les attributs RADIUS du VLAN dynamique.
Créez deux stratégies d’application :
Stratégie appelée lorsque l’authentification MAC RADIUS est utilisée.
Stratégie appelée lorsque l’authentification 802.1X est utilisée.
Définissez le service d’authentification MAC RADIUS et le service d’authentification 802.1X.
Assurez-vous que le service d’authentification MAC RADIUS est évalué avant le service d’authentification 802.1X.
Pour configurer Aruba ClearPass :
Ajoutez le fichier de dictionnaire RADIUS de Juniper Networks.
Procédure étape par étape
Copiez le contenu suivant dans un fichier nommé Juniper.dct sur votre bureau.
################################################################################ # Juniper.dct - Radius dictionary for JUNOS devices # (See README.DCT for more details on the format of this file) ################################################################################ # Use the Radius specification attributes # @radius.dct # # Juniper specific parameters # MACRO Juniper-VSA(t,s) 26 [vid=2636 type1=%t% len1=+2 data=%s%] ATTRIBUTE Juniper-Local-User-Name Juniper-VSA(1, string) r ATTRIBUTE Juniper-Allow-Commands Juniper-VSA(2, string) r ATTRIBUTE Juniper-Deny-Commands Juniper-VSA(3, string) r ATTRIBUTE Juniper-Allow-Configuration Juniper-VSA(4, string) r ATTRIBUTE Juniper-Deny-Configuration Juniper-VSA(5, string) r ATTRIBUTE Juniper-Interactive-Command Juniper-VSA(8, string) r ATTRIBUTE Juniper-Configuration-Change Juniper-VSA(9, string) r ATTRIBUTE Juniper-User-Permissions Juniper-VSA(10, string) r ATTRIBUTE Juniper-CTP-Group Juniper-VSA(21, integer) r VALUE Juniper-CTP-Group Read_Only 1 VALUE Juniper-CTP-Group Admin 2 VALUE Juniper-CTP-Group Privileged_Admin 3 VALUE Juniper-CTP-Group Auditor 4 ATTRIBUTE Juniper-CTPView-APP-Group Juniper-VSA(22,integer) r VALUE Juniper-CTPView-APP-Group Net_View 1 VALUE Juniper-CTPView-APP-Group Net_Admin 2 VALUE Juniper-CTPView-APP-Group Global_Admin 3 ATTRIBUTE Juniper-CTPView-OS-Group Juniper-VSA(23, integer) r VALUE Juniper-CTPView-OS-Group Web_Manager 1 VALUE Juniper-CTPView-OS-Group System_Admin 2 VALUE Juniper-CTPView-OS-Group Auditor 3 ATTRIBUTE Juniper-Primary-Dns Juniper-VSA(31, ipaddr) r ATTRIBUTE Juniper-Primary-Wins Juniper-VSA(32, ipaddr) r ATTRIBUTE Juniper-Secondary-Dns Juniper-VSA(33, ipaddr) r ATTRIBUTE Juniper-Secondary-Wins Juniper-VSA(34, ipaddr) r ATTRIBUTE Juniper-Interface-id Juniper-VSA(35, string) r ATTRIBUTE Juniper-Ip-Pool-Name Juniper-VSA(36, string) r ATTRIBUTE Juniper-Keep-Alive Juniper-VSA(37, integer) r ATTRIBUTE Juniper-CoS-Traffic-Control-Profile Juniper-VSA(38, string) r ATTRIBUTE Juniper-CoS-Parameter Juniper-VSA(39, string) r ATTRIBUTE Juniper-encapsulation-overhead Juniper-VSA(40, integer) r ATTRIBUTE Juniper-cell-overhead Juniper-VSA(41, integer) r ATTRIBUTE Juniper-tx-connect-speed Juniper-VSA(42, integer) r ATTRIBUTE Juniper-rx-connect-speed Juniper-VSA(43, integer) r ATTRIBUTE Juniper-Firewall-filter-name Juniper-VSA(44, string) r ATTRIBUTE Juniper-Policer-Parameter Juniper-VSA(45, string) r ATTRIBUTE Juniper-Local-Group-Name Juniper-VSA(46, string) r ATTRIBUTE Juniper-Local-Interface Juniper-VSA(47, string) r ATTRIBUTE Juniper-Switching-Filter Juniper-VSA(48, string) r ATTRIBUTE Juniper-VoIP-Vlan Juniper-VSA(49, string) r ################################################################################ # Juniper.dct - Juniper Networks dictionary ################################################################################
Dans Aruba ClearPass, accédez à Administration > Dictionaries > RADIUS et cliquez sur Importer pour importer le fichier Juniper.dct.
Ajoutez le commutateur EX4300 en tant que périphérique réseau.
Procédure étape par étape
Sous Configuration > périphériques > réseau, cliquez sur Ajouter.
Sous l’onglet Périphérique, entrez le nom d’hôte et l’adresse IP du commutateur ainsi que le secret partagé RADIUS que vous avez configuré sur le commutateur. Définissez le champ Nom du fournisseur sur Juniper.
Assurez-vous qu’il existe un certificat de serveur pour l’authentification PEAP 802.1X.
Sous Administration > Certificats > Certificat de serveur, vérifiez qu’un certificat de serveur valide est installé sur Aruba ClearPass. Si ce n’est pas le cas, ajoutez un certificat de serveur valide. La documentation Aruba ClearPass et votre autorité de certification peuvent fournir plus de détails sur la façon d’obtenir des certificats et de les importer dans ClearPass.
Ajoutez un utilisateur de test au référentiel d’utilisateurs local.
Cet utilisateur sera utilisé pour vérifier l’authentification 802.1X.
Procédure étape par étape
Sous Configuration -> Identité -> Utilisateurs locaux, cliquez sur Ajouter.
Dans la fenêtre Ajouter un utilisateur local, entrez l’ID utilisateur (usertest1), le nom d’utilisateur (utilisateur test), le mot de passe, puis sélectionnez Employé comme rôle d’utilisateur. Sous Attributs, sélectionnez l’attribut Service et tapez Finance sous Valeur.
Configurez un profil d’application de filtre dynamique.
Ce profil définit l’attribut ID de filtre RADIUS et lui attribue le nom du filtre de pare-feu que vous avez configuré sur le commutateur. L’attribut est envoyé au commutateur lorsque l’adresse MAC du point de terminaison ne figure pas dans la base de données MAC, ce qui permet au commutateur d’affecter dynamiquement le filtre de pare-feu au port d’accès.
Procédure étape par étape
Sous Profils > Configuration > Application, cliquez sur Ajouter.
Sous l’onglet Profil, définissez Modèle sur Application basée sur RADIUS et tapez le nom du profil, Juniper_DACL_1, dans le champ Nom.
Sous l’onglet Attributs, définissez Type sur Radius:IETF, Name sur Filter-Id (11), puis tapez le nom du filtre de pare-feu, mac_auth_policy_1, dans le champ Valeur.
Configurez un profil d’application VLAN dynamique.
Ce profil définit les attributs RADIUS pour spécifier le VLAN 201. Ces attributs RADIUS sont envoyés au commutateur lorsqu’un utilisateur appartenant au service financier s’authentifie à l’aide de 802.1X, ce qui permet au commutateur d’affecter dynamiquement le VLAN 201 au port d’accès.
Procédure étape par étape
Sous Profils > Configuration > Application, cliquez sur Ajouter.
Sous l’onglet Profil, définissez Modèle sur Application basée sur RADIUS et tapez le nom du profil, Juniper_Vlan_201, dans le champ Nom.
Sous l’onglet Attributs, définissez les attributs RADIUS comme indiqué.
Configurez la stratégie d’application de l’authentification MAC RADIUS.
Cette stratégie indique à Aruba ClearPass d’effectuer l’une des actions suivantes, selon que l’adresse MAC du point de terminaison se trouve ou non dans la base de données RADIUS :
Si l’adresse se trouve dans la base de données RADIUS, envoyez un message d’acceptation d’accès au commutateur.
Si l’adresse ne figure pas dans la base de données RADIUS, envoyez un message Acess Accept au commutateur avec le nom du filtre de pare-feu défini dans le profil d’authentification MAC RADIUS.
Procédure étape par étape
Sous Configuration > Stratégies > d’application, cliquez sur Ajouter.
Sous l’onglet Application, tapez le nom de la stratégie (Juniper-MAC-Auth-Policy) et définissez Profil par défaut sur Juniper_DACL_1 (le profil que vous avez défini à l’étape 5).
Sous l’onglet Règles, cliquez sur Ajouter une règle et ajoutez les deux règles affichées.
Vous devez ajouter les règles de manière séquentielle en créant la première règle dans l’éditeur de règles et en cliquant sur Enregistrer avant de créer la deuxième règle.
Configurez la stratégie d’application 802.1X.
Cette stratégie indique à Aruba ClearPass d’effectuer l’une des actions suivantes, selon que l’utilisateur appartient ou non au service financier :
Si l’utilisateur appartient au service financier, envoyez un message d’acceptation d’accès au commutateur et les informations VLAN 201 définies dans le profil d’application 802.1X.
Si l’utilisateur n’appartient pas au service financier, envoyez un message d’acceptation d’accès au commutateur.
Procédure étape par étape
Sous Configuration > Stratégies > d’application, cliquez sur Ajouter.
Sous l’onglet Application, tapez le nom de la stratégie (Juniper_Dot1X_Policy) et définissez Profil par défaut sur [Autoriser le profil d’accès]. (Il s’agit d’un profil préemballé fourni avec Aruba ClearPass.)
Sous l’onglet Règles, cliquez sur Ajouter une règle et ajoutez la règle affichée.
Configurez le service d’authentification MAC RADIUS.
La configuration de ce service entraîne l’exécution de l’authentification MAC RADIUS lorsque les attributs Nom d’utilisateur RADIUS et Client-MAC-Address reçus ont la même valeur.
Procédure étape par étape
Sous Configuration > Services, cliquez sur Ajouter.
Sous l’onglet Services, remplissez les champs comme indiqué.
Sous l’onglet Authentification, supprimez [ MAC AUTH ] de la liste Méthodes d’authentification et ajoutez [EAP MD5] à la liste.
Sous l’onglet Application, sélectionnez Juniper-MAC-Auth-Policy.
Configurez le service d’authentification 802.1X.
Procédure étape par étape
Sous Configuration > Services, cliquez sur Ajouter.
Sous l’onglet Service, remplissez les champs comme indiqué.
Sous l’onglet Authentification, définissez Sources d’authentification sur [Référentiel utilisateur local][Base de données SQL locale].
Sous l’onglet Application, définissez Stratégie d’application sur Juniper_Dot1X_Policy.
Vérifiez que la stratégie du service d’authentification MAC RADIUS est évaluée avant la stratégie de service d’authentification 802.1X.
Étant donné qu’Aruba ClearPass est configuré pour reconnaître les demandes d’authentification MAC RADIUS par l’attribut Nom d’utilisateur RADIUS et l’attribut Client-MAC-Address ayant la même valeur, il est plus efficace d’évaluer d’abord la stratégie de service MAC RADIUS.
Dans la fenêtre principale Services, vérifiez que Juniper-MAC-Auth-Policy apparaît avant Juniper-MAC_Dot1X_Policy dans la liste des services, comme illustré. Si ce n’est pas le cas, cliquez sur Réorganiser et déplacez Juniper-MAC-Auth-Policy au-dessus de Juniper-MAC_Dot1X_Policy.
Configuration du demandeur Windows 7 sur l’ordinateur portable
Procédure étape par étape
Cet exemple de configuration réseau utilise le demandeur 802.1X natif sur l’ordinateur portable Windows 7. Ce demandeur doit être configuré pour l’authentification PEAP 802.1X.
Les étapes générales de configuration du demandeur Windows 7 sont les suivantes :
Assurez-vous que le service Wired AutoConfig est démarré.
Activez l’authentification PEAP 802.1X pour la connexion au réseau local.
Configurez les paramètres de validation des certificats de serveur.
Configurez les paramètres d’identification de l’utilisateur.
Assurez-vous que le service Wired AutoConfig est démarré sur l’ordinateur portable.
Sélectionnez Panneau de configuration > Outils d’administration > services. Démarré doit apparaître dans le champ Wired AutoConfig Status (État de la configuration automatique filaire).
Activez l’authentification PEAP 802.1X pour la connexion au réseau local.
Procédure étape par étape
Sous Panneau de configuration > Centre Réseau et partage > Modifier les paramètres de la carte, cliquez avec le bouton droit sur Connexion au réseau local , puis cliquez sur Propriétés.
Sous l’onglet Authentification de la fenêtre Propriétés de connexion au réseau local, configurez les propriétés comme indiqué.
Configurez si l’ordinateur portable valide ou non le certificat de serveur Aruba ClearPass.
Cliquez sur Paramètres pour afficher la fenêtre Propriétés EAP protégées.
Si vous ne souhaitez pas que l’ordinateur portable valide le certificat de serveur ClearPass, décochez la case Valider le certificat de serveur.
Si vous souhaitez que l’ordinateur portable valide le certificat de serveur ClearPass, cochez Valider le certificat de serveur, tapez le nom du serveur ClearPass et sélectionnez l’autorité de certification racine approuvée pour le certificat de serveur ClearPass. Le nom du serveur doit correspondre au CN dans le certificat de serveur.
Configurez les paramètres d’identification de l’utilisateur.
Cet exemple de configuration n’utilise pas les informations d’identification Windows Active Directory pour l’authentification des utilisateurs. Au lieu de cela, il utilise les informations d’identification de l’utilisateur local défini sur le serveur Aruba ClearPass.
Procédure étape par étape
Dans la fenêtre Propriétés EAP protégées, cliquez sur Configurer pour configurer le mot de passe sécurisé (EAP-MSCHAP v2). Désactivez la case à cocher Utiliser automatiquement mon nom d’ouverture de session Windows et mon mot de passe .
Si votre serveur Aurba ClearPass était configuré pour utiliser Windows Active Directory pour authentifier les utilisateurs, vous laisseriez cette option sélectionnée.
Terminez la configuration des propriétés PEAP protégées en cliquant sur OK.
Sous l’onglet Authentification des propriétés de connexion au réseau local, cliquez sur Paramètres supplémentaires.
Dans Paramètres avancés, sélectionnez Authentification utilisateur pour le mode d’authentification et cliquez sur Remplacer les informations d’identification.
Entrez l’ID utilisateur (usertest1) et le mot de passe de l’utilisateur local que vous avez ajouté à la base de données des utilisateurs locaux sur le serveur Aruba ClearPass.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’authentification sur le commutateur EX4300
- Vérification du statut des demandes d’authentification sur Aruba ClearPass Policy Manager
Vérification de l’authentification sur le commutateur EX4300
But
Vérifiez que l’utilisateur test, usertest1, est authentifié et placé dans le VLAN approprié.
Action
Connectez l’ordinateur portable Windows 7 configuré comme décrit dans Configuration du demandeur Windows 7 sur l’ordinateur portable à ge-0/0/22 sur le commutateur EX4300.
Sur le commutateur, tapez la commande suivante :
user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 802.1X Information: Interface Role State MAC address User ge-0/0/22.0 Authenticator Authenticated 00:50:56:9B:03:7F usertest1Pour plus de détails, y compris l’attribution dynamique de VLAN, tapez :
user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 detail ge-0/0/22.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: usertest1, 00:50:56:9B:03:7F Operational state: Authenticated Backend Authentication state: Idle Authentication method: Radius Authenticated VLAN: V201 Session Reauth interval: 3600 seconds Reauthentication due in 3397 seconds
Sens
L’authentification 802.1X fonctionne comme configuré : usertest1 a été authentifié avec succès et placé dans le VLAN 201.
Vous pouvez utiliser la commande show dot1x pour vérifier également que l’ordinateur portable invité est correctement authentifié à l’aide de l’authentification MAC RADIUS.
Vérification du statut des demandes d’authentification sur Aruba ClearPass Policy Manager
But
Vérifiez que les points de terminaison sont correctement authentifiés et que les attributs RADIUS corrects sont échangés entre le commutateur et Aruba ClearPass.
Action
Accédez à Surveillance > Surveillance en direct > Access Tracker pour afficher l’état des demandes d’authentification.
Access Tracker surveille les demandes d’authentification au fur et à mesure qu’elles se produisent et rend compte de leur état.
Pour vérifier les attributs RADIUS envoyés par le commutateur à Aruba ClearPass pour une demande particulière, cliquez sur la demande, puis sur l’onglet Entrée dans la fenêtre Détails de la demande.
Pour vérifier les attributs RADIUS qu’Aruba ClearPass a renvoyés au commutateur pour cette demande, cliquez sur l’onglet Sortie.
Sens
Le champ Login Status (État de connexion) de Access Tracker indique que l’ordinateur portable de l’employé et l’ordinateur portable invité sont authentifiés avec succès. Les détails de la demande d’authentification de usertest1 indiquent que le commutateur envoie les attributs RADIUS corrects à Aruba ClearPass et que ClearPass renvoie au commutateur les attributs RADIUS corrects spécifiant VLAN 201.