Ich richte 802.1X-Sicherheit in einem LAN ein, das über einen C2950-Switch verfügt, der den Zugriff vom WLAN auf das Ethernet-LAN steuert. Ich plane, PEAP zu verwenden. Ich habe dies gelesenCisco-Artikel zur Konfiguration der 802.1X-Sicherheit
Das RADIUS-Sicherheitssystem (Remote Authentication Dial-In User Service) mit EAP-Erweiterungen (Extensible Authentication Protocol) ist der einzige unterstützte Authentifizierungsserver. Es ist in Cisco Secure Access Control Server Version 3.0 verfügbar.
Ein RADIUS-Server ist erforderlich. Mir steht jedoch ein Ubuntu-Server (kein Cisco ACS) zur Verfügung und ich weiß nicht, wie ich für dieses Szenario einen RADIUS-Server einrichte.
Gibt es eine Möglichkeit, 802.1X/PEAP so einzurichten, dass es mit dem C2950 funktioniert? Und wie würden Sie den RADIUS-Server auf Ubuntu Server einrichten?
Antwort1
Der Free Radius-Server ist ein Open-Source-Radius-Server, der für alle wichtigen Linux-Distributionen, einschließlich Ubuntu, verfügbar ist:http://freeradius.org/doc/Sie müssen den Wireless Access Point so konfigurieren, dass er Authentifizierungsanforderungen an den Radius-Server sendet.
Aus dem Cisco-Dokument:
Konfigurieren der Switch-zu-RADIUS-Server-Kommunikation
RADIUS-Sicherheitsserver werden anhand ihres Hostnamens oder ihrer IP-Adresse, ihres Hostnamens und bestimmter UDP-Portnummern oder ihrer IP-Adresse und bestimmter UDP-Portnummern identifiziert. Die Kombination aus IP-Adresse und UDP-Portnummer ergibt eine eindeutige Kennung, die es ermöglicht, RADIUS-Anfragen an mehrere UDP-Ports auf einem Server mit derselben IP-Adresse zu senden. Wenn zwei verschiedene Host-Einträge auf demselben RADIUS-Server für denselben Dienst konfiguriert sind (z. B. Authentifizierung), fungiert der zweite konfigurierte Host-Eintrag als Failover-Backup für den ersten. Die RADIUS-Host-Einträge werden in der Reihenfolge ausprobiert, in der sie konfiguriert wurden.
Beginnen Sie im privilegierten EXEC-Modus und befolgen Sie diese Schritte, um die RADIUS-Serverparameter auf dem Switch zu konfigurieren. Dieses Verfahren ist obligatorisch.
Command PurposeSchritt 1
Terminal konfigurieren
Wechseln Sie in den globalen Konfigurationsmodus.
Schritt 2
Radius-Server-Host {Hostname | IP-Adresse} Auth-Port Portnummer Schlüsselzeichenfolge Konfigurieren Sie die RADIUS-Serverparameter auf dem Switch. Geben Sie für Hostname | IP-Adresse den Hostnamen oder die IP-Adresse des Remote-RADIUS-Servers an.
Geben Sie für die Auth-Port-Portnummer den UDP-Zielport für Authentifizierungsanforderungen an. Der Standardwert ist 1812.
Geben Sie für die Schlüsselzeichenfolge den Authentifizierungs- und Verschlüsselungsschlüssel an, der zwischen dem Switch und dem auf dem RADIUS-Server ausgeführten RADIUS-Daemon verwendet wird. Der Schlüssel ist eine Textzeichenfolge, die mit dem auf dem RADIUS-Server verwendeten Verschlüsselungsschlüssel übereinstimmen muss.
Hinweis: Konfigurieren Sie den Schlüssel immer als letztes Element in der Befehlssyntax des Radius-Server-Hosts, da führende Leerzeichen ignoriert werden, Leerzeichen innerhalb und am Ende des Schlüssels jedoch verwendet werden. Wenn Sie Leerzeichen im Schlüssel verwenden, schließen Sie den Schlüssel nicht in Anführungszeichen ein, es sei denn, die Anführungszeichen sind Teil des Schlüssels. Dieser Schlüssel muss mit der auf dem RADIUS-Daemon verwendeten Verschlüsselung übereinstimmen.
Wenn Sie mehrere RADIUS-Server verwenden möchten, geben Sie diesen Befehl erneut ein.