Bu yazıda Cisco switchte 802.1x konfigürasyonunun nasıl yapılacağını anlatacağız. Switch portlarında dot1x aktifleştirerek switch portlarına kablo ile bağlanan cihazların radius sunucu üzerinden denetlenmesini sağlayabiliriz. Network güvenliğini sağlamak için yapılması gereken işlemlerden bir tanesidir. Bu işlemin nasıl yapıldığını ve mantığını anlamak için örnek bir uygulama yapalım;
Not: Bu işlemi Packet Tracer üzerinden yapacağız.
1-) Yapımız aşağıdaki görseldeki gibidir.
Switch ip (vlan1)= 192.168.1.250/24
Radius Server= 192.168.1.1/24
PC0= 192.168.1.2/24
PC1= 192.1681.3/24
2-) İlk olarak aşağıdaki komutları uygulayarak switch’e vlan1’de ip adresi tanımlıyoruz;
enable
conf term
interface vlan1
ip address 192.168.1.250 255.255.255.0
no shutdown
exit
3-) Radius sunucuya giriş yapıyoruz ve Services yazan yere tıklıyoruz. Gelen ekranın sol tarafından AAA yazan yere tıklıyoruz. Bu bölümde aşağıdaki alanları dolduruyoruz;
Service= On duruma getiriyoruz.
Client Name= Bir isim veriyoruz.
Client IP= Switch’in ip adresini giriyoruz
Secret: Bir anahtar belirliyoruz. Bu anahtar hem switchte hem de burada yani radius sunucuda aynı olmalı.
Gerekli alanları doldurduktan sonra Add butonuna tıklıyoruz.
4-) Aynı ekranda iki hesap oluşturuyoruz (2 adet bilgisayar için).
5-) Sol tarafta Radius EAP yazan yeri seçiyoruz ve açılan bölümden Allow EAP-MD5 yazan yeri seçili duruma getiriyoruz.
6-) Radius sunucu üzerinde gerekli ayarları yaptıktan sonra 192.168.1.2 ip adresli bilgisayardan 192.168.1.3 ip adresli bilgisayara ping atalım. Şuan için erişim sorunsuz olarak gerçekleşmektedir. Switchte dot1x aktifleştirdiğimizde erişim gerçekleşmeyecektir.
7-) Tekrar switch e geçiyoruz ve aşağıdaki komutları uyguluyoruz;
aaa new-model
radius-server host 192.168.1.1 key Deneme123
aaa authentication dot1x default group radius
dot1x system-auth-control 
😎 Yukarıdaki komutlar ile switch te Dot1x’i aktif yapmış olduk. Şimdi switchte bilgisayarların bağlı olduğu portlarda Dot1x’i aktif yapalım. Bu işlem için aşağıdaki komutları uygulamamız yeterli olacaktır;
interface range fast0/2-3
switchport mode access
authentication port-control auto
dot1x pae authenticator
exit
9-) Tekrar 192.168.1.2 ip adresli bilgisayardan 192.168.1.3 ip adresli bilgisayara ping atalım. Bu sefer iletişim başarısız oldu. Çünkü switchte Dot1x’i aktif yaptık.
10-) İki bilgisayarın ip ayarlarının yapıldığı bölüme giriş yapılım ve Use 802.1x Security yazan yeri seçili duruma getirelim. Daha sonra radius sunucuda oluşturduğumuz hesaplardan birini bilgisayara tanımlayalım.
11-) Yukarıdaki işlemden sonra 192.168.1.2 ip adresli bilgisayardan 192.168.1.3 ip adresli bilgisayara ping atmayı denediğimizde iletişim sorunsuz gerçekleşecektir. Çünkü bilgisayarlara hesap bilgilerini girdiğimiz için raidus sunucu üzerinde denetim başarılı olarak gerçekleşti ve iletişim sağlandı.
Makalemizin sonuna geldik. Cisco yazılarımıza devam edeceğiz. Bizi takip etmeye devam edin.