Понимание dot1x

Стандарт IEEE 802.1X определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных юзеров подключенных к коммутатору , если доступ запрещен то трафик любой кроме dot1x на порту блокируется

Сервер аутентификации — это как правило Радиус (или его реализации) и как правило этот сервер стучится в AD/LDAP для того что б понять в какой лан надо прибить пользователя

Рассмотрим конфигурация для Juniper :

Секция profile для Radius servera :

access {
radius-server {
172.18.X.X {
port 1812;
secret "XXXXXXXXXXXX"; ## SECRET-DATA
timeout 5;
retry 5;
source-address 172.18.Y.Y;
}
172.18.X2.X2 {
port 1812;
secret "XXXXXXXXXXXX"; ## SECRET-DATA
timeout 5;
retry 5;
source-address 172.18.Y.Y;
}
}
profile vrn_dot1x {
authentication-order radius;
radius {
authentication-server [ 172.18.X.X 172.18.X2.X2 ];
}
radius-options {
revert-interval 1800;
}
}

 

}
Включаем поддержку dot1x > show configuration protocols:
dot1x {
traceoptions {
file dot1x_trace size 5m files 2 world-readable;
flag all;
}
authenticator {
authentication-profile-name dot1x;
interface {
ge-1/0/disable; Отключаем интерфейсы где не нужен dot1x

}

all {

supplicant multiple;

retries 2;

quiet-period 10;

transmit-period 3;

mac-radius;        ## Это опция необходима для того что б через Radius можно было прибить черзе by-pass via mac address

reauthentication 3600;

supplicant-timeout 60;

maximum-requests 2;

guest-vlan XXX_AUTH-FAILED;  ##Имя вилана для гостей

server-reject-vlan XXX_AUTH-FAILED; ##Имя влана для тех кто не прошел аутентификацию

server-fail use-cache;

}

}

}

}

Но так же при необходимости (так как сетевики не имеют доступа к Радиусу) можно прибить via MAB (Mac Address Bypass)

dot1x > show configuration protocols:

 

set protocols dot1x authenticator static [XX:XX:XX:XX:XX:XX] interface ge-X/X/X

Да и надо сообщить что dot1x не работает с q-in-q и не работает когда STP лочит в одно направление связь