Radius olarak FreeRadius veya muadili radius serverlar kurulabilir. Ürünlerin kurulumu ile ilgili kendi web sitelerinde veya communitylerde detaylı anlatım mevcut olduğu için sadece Juniper EX2200 Switch üzerinde yapılan işlemler anlatılmıştır.
root@Switch> show version
fpc0:
Hostname: Switch
Model: ex2200-48p-4g
JUNOS Base OS boot [12.3R8.7]
JUNOS Base OS Software Suite [12.3R8.7]
JUNOS Kernel Software Suite [12.3R8.7]
JUNOS Crypto Software Suite [12.3R8.7]
JUNOS Online Documentation [12.3R8.7]
JUNOS Enterprise Software Suite [12.3R8.7]
JUNOS Packet Forwarding Engine Enterprise Software Suite [12.3R8.7]
JUNOS Routing Software Suite [12.3R8.7]
JUNOS Web Management [12.3R8.7]
JUNOS FIPS mode utilities [12.3R8.7]
—————————————————————————-
Juniper EX Switchlerde 802.1x Konfigürasyonu
1.1.1.1 = radius server IP
secretkey123 = radius secret key
root# edit access
root# set radius-server 1.1.1.1 port 1812 secret secretkey123
root# set profile myprofile authentication-order radius
root# set profile myprofile radius authentication-server 1.1.1.1
root# top
root# edit protocols dot1x authenticator
root# set authentication-profile-name myprofile
root# set interface ge-0/0/1 supplicant multiple
root# set interface ge-0/0/1.0 reauthentication 3600
root# top
root# commit
Suppliciant Modes
802.1x yapılan porta hub üzerinden birden fazla client bağlanıyor olabilir. Bu vb. durumlar için Suppliciant Mode konfigürasyonunu ihtiyaca göre belirlemek gerekebilir.
single— Sadece porta bağlanan ilk clientı authenticate eder. Authenticate olan ilk clientın ardından porta bağlanan diğer tüm clientlar, porta 802.1x olmadan erişir ve herhangi bir authentication işlemi yapılmaz. Eğer ilk authenticate olan client log-out olursa diğer tüm clientlar lock-out olur ve ilk client yeniden authenticate olana kadar aynı durum geçerli olur.
single-secure— Sadece bir client porta authenticate eder. Client’ ın arada bir hub vs. olmadan direct ilgili porta bağlı olması gerekir.
multiple— 802.1x uygulanmış olan porta birden fazla clientı authenticate edebilir. Authentication işlemini gerçekleştiren clientlar birbirinden bağımsızdır. Bir porta en fazla kaç clientın authenticate edileceği belirlenerek limit koyulabilir. 802.1x den bağımsız olarak Port security settings üzerinden bir porta en fazla kaç device bağlanabileceğine ilişkin bir limitasyon yapıldı ise en küçük değer olan switch tarafından referans alınır. Örneğin 802.1x multiple suppliciant olarak 10 client belirlenip port security tarafında ise bir porta en fazla 5 client bağlanabilir şeklinde ayar yapıldı ise 802.1x tarafında da 5 değeri referans alınır.
Juniper EX Switchlerde 802.1x TroubleShooting
root@Switch> show dot1x interface
802.1X Information:
Interface Role State MAC address User
ge-0/0/4.0 Authenticator Initialize
ge-0/0/6.0 Authenticator Authenticated C4:4D:76:E7:B7:99 DOMAIN\bahar
ge-0/0/7.0 Authenticator Authenticated C4:6D:56:V7:S7:97 DOMAIN\yasemin
———————————-
root@Switch> show dot1x interface ge-0/0/6.0 detail
ge-0/0/6.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member:
Number of connected supplicants: 1
Supplicant: DOMAIN\bahar, C4:4D:76:E7:B7:99
Operational state: Authenticated
Backend Authentication state: Idle
Authentcation method: Radius
Authenticated VLAN: Personel
Session Reauth interval: 10800 seconds
Reauthentication due in 7788 seconds
——————————————–
root@Switch> show log messages | match dot1x
Feb 20 19:08:37 Kat1_Switch init: dot1x-protocol (PID 82936) terminate signal sent
Feb 20 19:08:37 Kat1_Switch dot1xd[82936]: TASK_SIGNAL_TERMINATE: termination signal no- 0 received
Feb 20 19:08:37 Kat1_Switch dot1xd[82936]: TASK_EXIT: Exit dot1xd[82936] version 11.1R3.5 built by builder on 2011-06-25 01:00:14 UTC, caller 1642d0
Feb 20 19:08:41 Kat1_Switch init: dot1x-protocol (PID 82936) exited with status=0 Normal Exit
Feb 20 19:20:25 Kat1_Switch init: dot1x-protocol (PID 1289) started
Emre BAŞTUĞ