En este artículo se explica cómo habilitar la autenticación 802.1x en los switches Dell Networking Force10.
Objetivos
- ¿Qué es 802.1x?
- Puntos importantes para recordar
- Habilitar 802.1x
- Configuración de la conexión del servidor RADIUS
- Verificar configuración
¿Qué es 802.1x?
802.1 X es un método de seguridad de puerto. Un dispositivo conectado a un puerto que está habilitado con 802.1X no puede enviar o recibir paquetes en la red hasta que se pueda verificar su identidad (a través de un nombre de usuario y contraseña, por ejemplo). Esta función se llama por su especificación IEEE.
802.1X emplea un protocolo de autenticación extensible (EAP) para transferir las credenciales de un dispositivo a un servidor de autenticación (por lo general, RADIUS) mediante un dispositivo de acceso de red intermediario obligatorio, en este caso, un switch Dell Networking. El dispositivo de acceso a la red media toda la comunicación entre el dispositivo del usuario final y el servidor de autenticación para que la red siga siendo segura. El dispositivo de acceso a la red utiliza EAP-over-Ethernet (EAPOL) para comunicarse con el dispositivo del usuario final y EAP-over-RADIUS para comunicarse con el servidor.
El sistema operativo (SO) de Dell Networking es compatible con 802.1X con EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 y MS-CHAPv2 con PEAP.
Puntos importantes para recordar
- El SO de Dell Networking es compatible con 802.1X con EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1 y MS-CHAPv2 con PEAP.
- Las plataformas son compatibles solo con RADIUS como servidor de autenticación.
- Si el servidor RADIUS primario deja de responder, el autenticador comienza a usar un servidor RADIUS secundario, si está configurado.
- 802.1 X no es compatible con los canales de puertos o los miembros del canal de puerto.
Habilitar 802.1x
| Comando |
Parámetros |
| FTOS# configure |
Entrar al modo de configuración. |
| FTOS(conf)# dot1x authentication |
Habilite de manera global la autenticación de dot1x |
| FTOS(conf)# interface range te 1/1 – 2 |
Ingrese un rango específico de puertos que se configurarán. |
| FTOS(conf-if-te-1/1-2)# switchport |
Habilite el modo de switchport de nivel 2 en la interfaz. |
| FTOS(conf-if-te-1/1-2)# dot1x authentication |
Habilite la autenticación de dot1x en el nivel de puerto para el rango especificado. |
Configuración de la conexión del servidor RADIUS
| Comando |
Parámetros |
| FTOS# configure |
Entrar al modo de configuración. |
| FTOS(conf)#radius-server host 10.180.58.10 |
Configure la dirección IP o el nombre del host que apunta a la ubicación del servidor RADIUS. |
| FTOS(conf)#radius-server key {encryption-type} key |
Configure la clave del servidor RADIUS para el protocolo de enlace con el servidor RADIUS.
Las opciones de tipo de cifrado son las siguientes:
0 Especificar una clave NO CIFRADA seguirá 7 Especifique una clave OCULTA seguirá LA LÍNEA La clave de usuario NO CIFRADA
(texto no cifrado) (máx. de 42 caracteres) |
| FTOS(conf)#dot1x auth-server radius |
Identifique el servidor de autenticación dot1x como un servidor RADIUS. |
Verificar la configuración de 802.1x
Con los siguientes comandos se mostrará la 802.1x configurada en el switch.
FTOS#show running-config | find dot1x
autenticación dot1x
!
[salida omitida]
!
interfaz TenGigabitEthernet 1/1
sin dirección IP
autenticación dot1x
sin apagado
FTOS#show dot1x interface TenGigabitEthernet 1/1
Información de 802.1x sobre te 1/1:
estado de -----------------------------
Dot1x: Habilitar
control de puertos: Estado de
autenticación de puerto AUTOMÁTICO: Autenticación no
autorizada: Deshabilite
el ID de VLAN sin etiquetar: Ninguna
VLAN huésped: Deshabilite
el ID de VLAN invitado: VLAN que
no es de autoa autenticación: Deshabilite el ID de VLAN con
errores de autenticación: NONE
Auth-Fail Max-Attempts: NINGUNO
Mac-Auth-Bypass: Deshabilitar
Mac-Auth-Bypass solamente: Deshabilitar
el período de transmisión: Período silencioso de 30
segundos: 60 segundos
ReAuth Max: 2
Tiempo de espera flexible: 30 segundos de
tiempo de espera del servidor: Intervalo de
reautención de 30 segundos: 3600 segundos
Máx. de EAP-Req: Modo de 2
hosts: estado de
PAE de autenticación de SINGLE_HOST:
Inicialización del estado de back-end: Inicializar
FTOS#show run | grep radius|dot1x
dot1x authentication
dot1x authentication
radius-server host 10.180.58.10 key 7 7bb92471cb453a73