Nastavení přepínačů řady HP ProCurve

Následující příklad popisuje příkazy pro jednoduchou konfiguraci portů přepínačů řady HP ProCurve pro přístup prosřednictvím 802.1x. Ukázková konfigurace má následující vlastnosti:

Konfigurace vychází z přepínače HP 2510-24 a měla by být použitelná pro většinu přepínačů HP ProCurve. Zatím ověřeno na 2524, 2510-24, 2626, 5406zl.
Uplink je na portu 26. Na tento port jsou přivedeny všechny klíčové VLAN tj. management (VID 504), eduroam (VID 578) pro uživatele autentizované prostřednictvím 802.1x a vutbrno (VID 589) pro klienty bez podpory 802.1x, tj. s webovou autentizací.
Porty 1 až 10 budeme uvažovat pro připojení koncových uživatelů přímo do ethernetu.
Pro autentizaci se používá protokol PEAP, tj. stejný jako u Wireless sítí.
Prvek bohužel neumožňuje definovat různé radius servery pro přístup k managementu přepínače a pro ověřování uživatelů. Vše je nutné ošetřit na straně radius serveru vhodným rozlišením AVP. V opačném případě hrozí, že management přepínače bude přístupný všem uživatelům, což jistě není žádoucí.

Definice vlan pro management prvku a adresy pro přístup k radius serverům:

ip default-gateway 147.229.255.1
vlan 504
   name "mgmt-vlan"
   ip address 147.229.255.61 255.255.255.0
   tagged 26
   exit

Nadefinování VLAN pro autentizovaný a neautentizovaný přístup. Uživatelské porty nebudeme přiřazovat do žádné VLAN.

vlan 589
   name "vutbrno"
   tagged 26
   exit
vlan 578
   name "eduroam"
   untagged 1-10
   tagged 26
   exit

Definice typu použité autentizační metody (EAP) a radius serverů:

aaa authentication port-access eap-radius
radius-server host <radius1_server> key <radius1_klic>
radius-server host <radius2_server> key <radius2_klic>

Zapnutí autentizace na příslušných uživatelských portech a přiřazení do VLAN pro autentizovaný a neautentizovaný přístup:

aaa port-access authenticator 1-10
aaa port-access authenticator 1-10 auth-vid 578
aaa port-access authenticator 1-10 unauth-vid 589
aaa port-access authenticator active

Příkazem show port-access authenticator je možné zobrazit stav klientů na jednotlivých portech:

hp(config)# show port-access authenticator

 Port Access Authenticator Status

  Port-access authenticator activated [No] : Yes

              Current
  Port Status VLAN ID
  ---- ------ --------
  1    Closed 589
  2    Closed 1
  3    Closed 589
  4    Closed 1
  5    Open   578
  6    Closed 1
  7    Closed 1
  8    Closed 1
  9    Closed 1
  10   Closed 1

Na portech 1 a 3 jsou neutentizovaní klienti zařazení do VLAN vutbrno (VID 589). Na portu 5 je připojen řádně autentizovaný klient a zařazen do VLAN eduroam (VID 578).