Este artigo explica como ativar a autenticação 802.1x nos switches Dell Networking Force10.
Objetivos
- O que é 802.1x?
- Coisas importantes para lembrar
- Ativar 802.1x
- Configurar a conexão do servidor Radius
- Verificar a configuração
O que é 802.1x?
802.1X é um método de segurança de porta. Um dispositivo conectado a uma porta ativada com 802.1X não pode enviar ou receber pacotes na rede até que sua identidade possa ser verificada (por meio de um nome de usuário e senha, por exemplo). Esse recurso é nomeado por sua especificação IEEE.
O 802.1 X utiliza o protocolo de autenticação extensível (EAP) para transferir as credenciais de um dispositivo para um servidor de autenticação (normalmente RADIUS) usando um dispositivo de acesso de rede intermediário obrigatório, neste caso, um Dell Networking Switch. O dispositivo de acesso à rede media toda a comunicação entre o dispositivo do usuário final e o servidor de autenticação para que a rede permaneça segura. O dispositivo de acesso à rede usa EAP-over-Ethernet (EAPOL) para se comunicar com o dispositivo do usuário final e EAP-over-RADIUS para se comunicar com o servidor.
O sistema operacional (SO) Dell Networking oferece suporte para 802.1X com EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1, e MS-CHAPv2 com PEAP.
Coisas importantes para lembrar
- O sistema operacional Dell Networking oferece suporte para 802.1X com EAP-MD5, EAP-OTP, EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1, e MS-CHAPv2 com PEAP.
- Todas as plataformas oferecem suporte apenas ao RADIUS como servidor de autenticação.
- Se o servidor RADIUS primário não estiver respondendo, o autenticador começará a usar um servidor RADIUS secundário, se configurado.
- Não há suporte para 802.1X em canais de porta ou membros de canal de porta.
Ativar 802.1x
| Comando |
Parâmetros |
| FTOS# configure |
Entra no modo de configuração. |
| FTOS(conf)# dot1x authentication |
Ativa globalmente a autenticação do dot1x |
| FTOS(conf)# interface range te 1/1 – 2 |
Insere uma faixa específica de portas a ser configurada. |
| FTOS(conf-if-te-1/1-2)# switchport |
Ativa a camada 2 no modo switchport na interface. |
| FTOS(conf-if-te-1/1-2)# dot1x authentication |
Ativa a autenticação dot1x no nível da porta para a faixa especificada. |
Configuração da conexão de servidor RADIUS
| Comando |
Parâmetros |
| FTOS# configure |
Entra no modo de configuração. |
| FTOS(conf)#radius-server host 10.180.58.10 |
Define o endereço IP ou o nome do host que encontra o local do servidor RADIUS. |
| FTOS(conf)#radius-server key {encryption-type} key |
Define a chave do servidor RADIUS para handshake com o servidor RADIUS.
as opções de encryption-type são:
0 Specify an UNENCRYPTED key will follow
7 Specify a HIDDEN key will follow
LINE The UNENCRYPTED (cleartext) user key (max 42 chars) |
| FTOS(conf)#dot1x auth-server radius |
Identifica o servidor de autenticação dot1x como um servidor RADIUS. |
Verifica a configuração do 802.1x
Os comandos a seguir exibirão o 802.1x configurado no switch.
FTOS#show running-config | find dot1x
dot1x authentication
!
[output omitted]
!
interface TenGigabitEthernet 1/1
no ip address
dot1x authentication
no shutdown
FTOS#show dot1x interface TenGigabitEthernet 1/1
802.1x information on Te 1/1
:-----------------------------
Dot1x Status: Enable
Port Control: AUTO
Port Auth Status: UNAUTHORIZED
Re-Authentication: Disable
Untagged VLAN id: None
Guest VLAN: Disable
Guest VLAN id: NON
EAuth-Fail VLAN: Disable
Auth-Fail VLAN id: NONE
Auth-Fail Max-Attempts: NONE
Mac-Auth-Bypass: Disable
Mac-Auth-Bypass Only: Disable
Tx Period: 30 seconds
Quiet Period: 60 seconds
ReAuth Max: 2
Supplicant Timeout: 30 seconds
Server Timeout: 30 seconds
Re-Auth Interval: 3600 seconds
Max-EAP-Req: 2
Host Mode: SINGLE_HOST
Auth PAE State: Initialize
Backend State: Initialize
FTOS#show run | grep radius|dot1x
dot1x authentication
dot1x authentication
radius-server host 10.180.58.10 key 7 7bb92471cb453a73