Toto je starší verze dokumentu!

Nastavení přepínačů řady HP ProCurve

Následující příklad popisuje příkazy pro jednoduchou konfiguraci portů přepínačů řady HP ProCurve pro přístup prosřednictvím 802.1x. Ukázková konfigurace má následující vlastnosti:

  • Konfigurace vychází z přepínače HP 2510-24 a měla by být použitelná pro většinu přepínačů HP ProCurve. Zatím ověřeno na 2524, 2510-24, 2626, 5406zl.
  • Uplink je na portu 26. Na tento port jsou přivedeny všechny klíčové VLAN tj. management (VID 504), eduroam (VID 578) pro uživatele autentizované prostřednictvím 802.1x a vutbrno (VID 589) pro klienty bez podpory 802.1x, tj. s webovou autentizací.
  • Porty 1 až 10 budeme uvažovat pro připojení koncových uživatelů přímo do ethernetu.
  • Pro autentizaci se používá protokol PEAP, tj. stejný jako u Wireless sítí.
  • Prvek bohužel neumožňuje definovat různé radius servery pro přístup k managementu přepínače a pro ověřování uživatelů. Vše je nutné ošetřit na straně radius serveru vhodným rozlišením AVP. V opačném případě hrozí, že management přepínače bude přístupný všem uživatelům, což jistě není žádoucí.

Definice vlan pro management prvku a adresy pro přístup k radius serverům: <xterm> ip default-gateway 147.229.255.1 vlan 504 

 name "mgmt-vlan"
 ip address 147.229.255.61 255.255.255.0
 tagged 26
 exit

</xterm>

Nadefinování VLAN pro autentizovaný a neautentizovaný přístup. Uživatelské porty nebudeme přiřazovat do žádné VLAN. <xterm> vlan 589 

 name "vutbrno"
 tagged 26
 exit

vlan 578 

 name "eduroam"
 untagged 1-10
 tagged 26
 exit

</xterm>

Definice typu použité autentizační metody (EAP) a radius serverů: <xterm> aaa authentication port-access eap-radius radius-server host <radius1_server> key <radius1_klic> radius-server host <radius2_server> key <radius2_klic> </xterm>

Zapnutí autentizace na příslušných uživatelských portech a přiřazení do VLAN pro autentizovaný a neautentizovaný přístup: <xterm> aaa port-access authenticator 1-10 aaa port-access authenticator 1-10 auth-vid 578 aaa port-access authenticator 1-10 unauth-vid 589 aaa port-access authenticator active </xterm>

Příkazem show port-access authenticator je možné zobrazit stav klientů na jednotlivých portech: <xterm> hp(config)# show port-access authenticator

Port Access Authenticator Status 

Port-access authenticator activated [No] : Yes
            Current
Port Status VLAN ID
---- ------ --------
1    Closed 589
2    Closed 1
3    Closed 589
4    Closed 1
5    Open   578
6    Closed 1
7    Closed 1
8    Closed 1
9    Closed 1
10   Closed 1

</xterm> Na portech 1 a 3 jsou neutentizovaní klienti zařazení do VLAN vutbrno (VID 589). Na portu 5 je připojen řádně autentizovaný klient a zařazen do VLAN eduroam (VID 578).