Configurar la autenticación MAC-basada en unconmutador Objetivo el 802.1x es una herramienta de administración a los dispositivos de la lista blanca, noasegurando ningún acceso no autorizado a su red. Este documento le muestra cómo configurar laautenticación MAC-basada en un conmutador usando el Interfaz gráfica del usuario (GUI). Paraaprender cómo configurar MAC-basó la autenticación usando el comando line interface(cli), haceclic aquí. Nota: Esta guía es muy larga en 9 secciones y 1 sección para verificar un host se ha autenticado.Asga el café, el té o el agua y asegúrese que usted tiene tiempo suficiente de revisar y deejecutar los pasos implicados. ¿Cómo el radio trabaja? Hay tres componentes principales a la autenticación del 802.1x, un suplicante (cliente), unauthenticator (dispositivo de red tal como un conmutador), y un servidor de la autenticación(RADIUS). El Remote Authentication Dial-In User Service (RADIUS) es un servidor del accesoque utiliza el protocolo del Authentication, Authorization, and Accounting (AAA) que ayuda amanejar el acceso a la red. El RADIUS utiliza un client-server model en el cual la información deautenticación segura se intercambie entre el servidor de RADIUS y uno o más clientes RADIUS.Valida la identidad del cliente y notifica el conmutador independientemente de si autorizan alcliente a tener acceso al LAN. Un authenticator trabaja entre el cliente y el servidor de la autenticación. Primero, pedirá lainformación de identidad del cliente. En la respuesta, el authenticator verificaría la información conel servidor de la autenticación. Pasado, retransmitiría una respuesta al cliente. En este artículo, elauthenticator sería un conmutador que incluye al cliente RADIUS. El conmutador podríaencapsular y decapsulate que el Protocolo de Autenticación Extensible (EAP) enmarca para obrarrecíprocamente con el servidor de la autenticación. ¿Qué sobre la autenticación MAC-basada? En la autenticación MAC-basada, cuando el suplicante no entiende cómo hablar con elauthenticator ni no puede a, utiliza la dirección MAC del host para autenticar. autentican a lossuplicantes MAC-basados usando el RADIUS puro (sin usar EAP). El servidor de RADIUS tieneuna base de datos dedicada del host que contenga solamente las direcciones MAC permitidas.En vez de tratar la petición MAC-basada de la autenticación como autenticación del protocolopassword authentication (PAP), los servidores reconocen tal petición por el [Service-Type] delatributo 6 = 10. Compararán la dirección MAC en el atributo Llamar-Estación-identificación a lasdirecciones MAC salvadas en la base de datos del host. La versión de la versión 2.4 agrega la capacidad de configurar el formato del username enviadopara los suplicantes MAC-basados y de ser método de autenticación definido EAP o RADIUSpuro. En esta versión, usted puede también configurar el formato del username así comoconfigurar una contraseña específica, diferente del username, para los suplicantes MAC-basados. Topología:

1.2.3.4.5.6.7.8.9.10.

●

Nota: En este artículo, utilizaremos el SG550X-24 para el servidor de RADIUS y el authenticator.El servidor de RADIUS tiene una dirección IP estática de 192.168.1.100 y el authenticator tieneuna dirección IP estática de 192.168.1.101. Los pasos en este documento se realizan bajo modo de visualización avanzado. Para cambiar elmodo a avanzado, ir a la esquina superior derecha y seleccionar avanzado en la lista desplegabledel modo de visualización.

Índice

Configuraciones globales del servidor de RADIUSClaves del servidor de RADIUSGrupos de servidor de RADIUSUsuarios del servidor de RADIUSCliente RADIUSpropiedades de la autenticación del 802.1xla autenticación del 802.1x MAC-basó las configuraciones de la autenticaciónhost y autenticación de la sesión de la autenticación del 802.1xautenticación del puerto de autenticación del 802.1x

Conclusión

Dispositivos aplicables

Serie Sx350X

●

●

●

●

●

Serie SG350XGSerie Sx550XSerie SG550XG

Versión de software

2.4.0.94

Configuraciones globales del servidor de RADIUS Paso 1. Ábrase una sesión a la utilidad en Internet de su conmutador que será configurada comoservidor de RADIUS y navegar a la Seguridad > al servidor de RADIUS > a las configuracionesglobales del servidor de RADIUS.

Paso 2. Para activar el estatus de la característica del servidor de RADIUS, controle el checkboxdel permiso en el campo de estatus del servidor de RADIUS.

Paso 3. Para generar los desvíos para los eventos de las estadísticas RADIUS, las claves quefallaron, o para las claves que tuvieron éxito, controlan el checkbox deseado del permiso paragenerar los desvíos. Los desvíos son mensajes de los eventos del sistema generados vía elSimple Network Management Protocol (SNMP). Un desvío se envía al SNMP Manager delconmutador cuando ocurre una infracción. Las configuraciones siguientes del desvío son:

Desvíos de las estadísticas RADIUS — Controle para generar los desvíos para los eventosde las estadísticas RADIUS.

●

●

Desvíos del error de la autenticación de RADIUS — Controle para generar los desvíos paralas claves que fallaron.Desvíos del éxito de la autenticación de RADIUS — Controle para generar los desvíos paralas claves que tuvieron éxito.

Paso 4. El tecleo se aplica para salvar sus configuraciones. Claves del servidor de RADIUS Paso 1. Navegue a la Seguridad > al servidor de RADIUS > a las claves del servidor de RADIUS.La página de la clave del servidor de RADIUS se abre.

Paso 2. En la sección de la tabla de la clave secreta, el tecleo agrega… para agregar una clavesecreta.

●

●

●

Paso 3. La página de la ventana de la clave secreta del agregar se abre. En el campo de direccionamiento NAS, ingrese el direccionamiento del conmutador que está conteniendo alcliente del RADIO. En este ejemplo, utilizaremos a la dirección IP 192.168.1.101 como nuestrocliente RADIUS.

Paso 4. Seleccione uno del botón de radio que se utiliza como clave secreta. Las opcionessiguientes son:

Clave predeterminada del uso — Para los servidores especificados, el dispositivo intentaautenticar al cliente RADIUS usando la existencia, cadena de la clave predeterminada.Cifrado — Para cifrar las comunicaciones usando el algoritmo condensado de mensaje 5(MD5), ingrese la clave en la forma encriptada.Plaintext — Ingrese la cadena dominante en el modo del plaintext.

En este ejemplo, seleccionaremos el texto simple y utilizaremos el ejemplo de la palabra comonuestra clave secreta. Después de presionar apliqúese, su clave estará en una forma encriptada. Nota: No recomendamos el usar del ejemplo de la palabra como la clave secreta. Utilice por favoruna clave más fuerte. Hasta el 128 los caracteres pueden ser utilizados. Si su contraseña esdemasiado compleja entonces recordar es una buena contraseña, pero incluso mejor si ustedpuede dar vuelta a la contraseña en una frase de contraseña memorable con los caracteresespeciales y los números que substituyen las vocales — el "P@55w0rds@reH@rdT0Remember".Es el mejor no utilizar ninguna palabra que se pueda encontrar en un diccionario. Es el mejorelegir una frase e intercambiar hacia fuera algunas de las cartas por los caracteres especiales ylos números. Refiera por favor a este poste del blog de Cisco para más detalles.

Paso 5. El tecleo se aplica para salvar su configuración. La clave secreta ahora se cifra con elMD5. El MD5 es una función de troceo criptográfica que toma un pedazo de datos y crea unasalida hexadecimal única que no sea típicamente reproductiva. El MD5 utiliza un valor de troceodel bit 128.

Grupos de servidor de RADIUS Paso 1. Navegue a la Seguridad > al servidor de RADIUS > a los grupos de servidor de RADIUS.

Paso 2. El tecleo agrega… para agregar a un nuevo grupo de servidor de RADIUS.

Paso 3. La página del grupo de servidor de RADIUS del agregar se abre. Ingrese un nombre parael grupo. En este ejemplo, utilizaremos MAC802 como nuestro nombre del grupo.

Paso 4. Ingrese el nivel de privilegio del Acceso de administración del grupo en el campo del nivel de privilegio. El rango es a partir de la 1 — 15, 15 que son el más privilegiado y el valorpredeterminado es 1. En este ejemplo, dejaremos el nivel de privilegio como 1. Nota: No configuraremos el rango de tiempo o el VLA N en este artículo.

Paso 5. El tecleo se aplica para salvar sus configuraciones.

Usuarios del servidor de RADIUS Paso 1. Navegue a la Seguridad > al servidor de RADIUS > a los usuarios del servidor deRADIUS para configurar a los usuarios para el RADIUS.

Paso 2. El tecleo agrega… para agregar a un usuario nuevo.

Paso 3. La página del usuario del servidor de RADIUS del agregar se abre. En el campo de Nombre de usuario, ingrese en el MAC address de un usuario. En este ejemplo, utilizaremosnuestra dirección MAC de los Ethernetes en nuestro ordenador. Nota: Una porción de la dirección MAC se ha enmascarado hacia fuera.

●

●

Paso 4. Seleccione a un grupo en la lista desplegable del nombre del grupo. Según lo destacadoen el paso 3 de la sección de grupo del servidor de RADIUS, seleccionaremos MAC802 comonuestro nombre del grupo para este usuario.

Paso 5. Seleccione uno de los botones de radio siguientes:

Cifrado — Una clave se utiliza para cifrar las comunicaciones usando el MD5. Para utilizar elcifrado, ingrese la clave en la forma encriptada.Plaintext — Si usted no tiene una cadena dominante cifrada (de otro dispositivo), ingrese lacadena dominante en el modo del plaintext. Se genera y se visualiza la cadena dominantecifrada.

Seleccionaremos el texto simple como nuestra contraseña para este usuario y pulsaremos en el ejemplo como nuestro contraseña de texto únicamente. Nota: No se recomienda para utilizar el ejemplo como el contraseña de texto únicamente.Recomendamos el usar de una contraseña más fuerte.

Paso 6. El tecleo se aplica una vez que usted es el configurar hecho. Ahora usted ha acabado de configurar al servidor de RADIUS. En la siguiente sección,configuraremos el segundo conmutador para ser un authenticator. Cliente RADIUS Paso 1. Ábrase una sesión a la utilidad en Internet de su conmutador que será configurada comoel authenticator y navegar a la Seguridad > al cliente RADIUS.

Paso 2. Enrolle abajo a la sección de la tabla RADIUS, después haga clic agregan… para agregara un servidor de RADIUS.

El paso 3. (opcional) selecciona si especificar al servidor de RADIUS por la dirección IP o elnombre en el campo de definición del servidor. En este ejemplo, guardaremos la selección delvalor por defecto al lado de dirección IP.

El paso 4. (opcional) selecciona la versión de la dirección IP del servidor de RADIUS en versiónIP el campo. Guardaremos la selección del valor por defecto de versión 4 por este ejemplo.

Paso 5. Ingrese en el servidor de RADIUS por el IP address o el nombre. Ingresaremos el IPaddress de 192.168.1.100 en el IP address/el campo de nombre del servidor.

Paso 6. Ingrese la prioridad del servidor. La prioridad determina la orden que el dispositivo intentaentrar en contacto con los servidores para autenticar a un usuario. El dispositivo comienza con elservidor de RADIUS más prioritario primero. Cero es la prioridad más alta.

Paso 7. Ingrese la cadena dominante usada para autenticar y cifrar la comunicación entre eldispositivo y el servidor de RADIUS. Esta clave debe hacer juego la clave configurada en elservidor de RADIUS. Puede ser ingresada en el formato cifrado o del Plaintext. Si se selecciona el valor por defecto del uso, el dispositivo intenta autenticar al servidor de RADIUS usando lacadena de la clave predeterminada. Utilizaremos el definido por el usario (Plaintext) yingresaremos en el ejemplo dominante. Nota: Dejaremos el resto de la configuración como valor por defecto. Usted puede configurarlos siusted tiene gusto.

Paso 8. El tecleo se aplica para salvar la configuración. propiedades de la autenticación del 802.1x La página de las propiedades se utiliza global para activar el puerto/la autenticación deldispositivo. Para que la autenticación funcione, debe ser activada global e individualmente encada puerto. Paso 1. Navegue a la Seguridad > a la autenticación > a las propiedades del 802.1x.

Paso 2. Controle el checkbox del permiso para activar la autenticación puerto-basada.

●

●

●

Paso 3. Seleccione los métodos de autenticación de usuario. Elegiremos el RADIUS comonuestro método de autenticación. Las opciones siguientes son:

RADIUS, ninguno — Realice la autenticación del puerto primero usando el servidor deRADIUS. Si no se recibe ninguna respuesta del RADIUS (por ejemplo, si el servidor estáabajo), después no se realiza ninguna autenticación, y se permite la sesión. Si el servidorestá disponible pero los credenciales de usuario son incorrectos, se niega el acceso y setermina la sesión.RADIUS — Autentique al usuario en el servidor de RADIUS. Si no se realiza ningunaautenticación, la sesión no se permite.Ninguno — No autentique al usuario. Permita la sesión.

El control (opcional) del paso 4. la casilla de verificación del permiso para los desvíos del error dela autenticación MAC y el éxito de la autenticación MAC atrapa. Esto generará un desvío si laautenticación MAC falla o tiene éxito. En este ejemplo, activaremos los desvíos de los desvíos delerror de la autenticación MAC y del éxito de la autenticación MAC.

Paso 5. El tecleo se aplica. la autenticación del 802.1x MAC-basó las configuraciones de laautenticación

●

●

Esta página le permite configurar la diversa configuración aplicable a la autenticación MAC-basada. Paso 1. Navegue a la autenticación de la Seguridad > del 802.1x > las configuraciones MAC-basadas de la autenticación.

Paso 2. En el tipo de la autenticación MAC, seleccione uno del siguiente:

EAP — Utilice el RADIUS con la encapsulación EAP para el tráfico entre el conmutador(cliente RADIUS) y el servidor de RADIUS, que autentica a un suplicante MAC-basado.RADIUS — Utilice el RADIUS sin la encapsulación EAP para el tráfico entre el conmutador(cliente RADIUS) y el servidor de RADIUS, que autentica a un suplicante MAC-basado.

En este ejemplo, elegiremos el RADIUS como nuestro tipo de la autenticación MAC.

Paso 3. En el formato username, seleccione el número de caracteres ASCII entre losdelimitadores de la dirección MAC enviada como Nombre de usuario. En este caso, elegiremos 2como nuestro tamaño del grupo. Nota: Asegúrese de que el formato username sea lo mismo que la manera que usted entra ladirección MAC en la sección de los usuarios del servidor de RADIUS.

Paso 4. Seleccione el carácter usado como delimitador entre los grupos definidos de caracteresen la dirección MAC. En este ejemplo, seleccionaremos: como nuestro separador de grupo.

Paso 5. En el campo del caso, seleccione la minúscula o el mayúscula para enviar el Nombre deusuario en más bajo o mayúsculo.

●

●

●

Paso 6. La contraseña define cómo el conmutador utilizará para la autenticación vía el servidor deRADIUS. Seleccione una de las opciones siguientes:

Valor por defecto del uso (username) — Seleccione esto para utilizar el username definidocomo la contraseña.Cifrado — Defina una contraseña en el formato cifrado.Texto simple — Defina una contraseña en el formato del texto simple.

Nota: La publicación del algoritmo condensado de mensaje 5 de la contraseña (MD5) visualiza lacontraseña de la publicación MD5. El MD5 es una función de troceo criptográfica que toma unpedazo de datos y crea una salida hexadecimal única que no sea típicamente reproductiva. ElMD5 utiliza un valor de troceo del bit 128. Paso 7. El tecleo se aplica y las configuraciones se guardan al archivo de configuración corriente. host y autenticación de la sesión de la autenticación del 802.1x El host y la autenticación de la sesión paginan los permisos que definen el modo en el cual el802.1x actúa encendido el puerto y la acción para realizarse si se ha detectado una infracción. Paso 1. Navegue a la Seguridad > a la autenticación > al host y a la autenticación de la sesión del802.1x.

Paso 2. Seleccione el puerto que usted quiere configurar la autenticación del host. En esteejemplo, configuraremos GE1 como está conectado con un host de extremo.

Paso 3. El tecleo corrige… para configurar el puerto.

1.●

●

●

●

2.●

●

Paso 4. En el campo de la autenticación del host, seleccione una de las opciones siguientes:

Modo del solo hostSe autoriza un puerto si hay un cliente autorizado. Solamente un host se puede autorizaren un puerto.Cuando un puerto es desautorizado y se activa el VLA N del invitado, el tráfico sin Tagsremapped al VLA N del invitado. Se cae el tráfico marcado con etiqueta a menos quepertenezca al VLA N del invitado o a un VLA N unauthenticated. Si un VLA N del invitadono se activa en el puerto, sólo el tráfico marcado con etiqueta que pertenece a los VLA Nunauthenticated se puentea.Cuando se autoriza un puerto, el tráfico untagged y marcado con etiqueta del hostautorizado se puentea basó en la configuración del puerto estática de la calidad demiembro del VLA N. El tráfico de otros host se cae.Un usuario puede especificar que el tráfico sin Tags del host autorizado remapped a unVLA N que sea asignado por un servidor de RADIUS durante el proceso de autenticación.Se cae el tráfico marcado con etiqueta a menos que pertenezca al VLA N RADIUS-asignado o a los VLA N unauthenticated. La asignación VLAN del radio en un puerto se fijaen la página de la autenticación del puerto.

Modo del Multi-hostSe autoriza un puerto si hay por lo menos un cliente autorizado.Cuando un puerto es desautorizado y se activa un VLA N del invitado, el tráfico sin Tagsremapped al VLA N del invitado. Se cae el tráfico marcado con etiqueta a menos que

●

●

3.●

●

●

●

pertenezca al VLA N del invitado o a un VLA N unauthenticated. Si el VLA N del invitadono se activa en un puerto, sólo el tráfico marcado con etiqueta que pertenece a los VLA Nunauthenticated se puentea.Cuando se autoriza un puerto, el tráfico untagged y marcado con etiqueta de todos loshost conectados con el puerto se puentea, sobre la base de la configuración del puertoestática de la calidad de miembro del VLA N.Usted puede especificar que el tráfico sin Tags del puerto autorizado remapped a un VLAN que sea asignado por un servidor de RADIUS durante el proceso de autenticación. Secae el tráfico marcado con etiqueta a menos que pertenezca al VLA N RADIUS-asignado oa los VLA N unauthenticated. La asignación VLAN del radio en un puerto se fija en lapágina de la autenticación del puerto.

Modo de las Multi-sesionesA diferencia de los modos del solo host y del multi-host, un puerto en el modo de la multi-sesión no tiene un estatus de la autenticación. Este estatus se asigna a cada clienteconectado con el puerto.El tráfico marcado con etiqueta que pertenece a un VLA N unauthenticated se puenteasiempre sin importar si el host está autorizado o no.De marcado con etiqueta y el tráfico sin Tags de los host no autorizados que nopertenecen a un VLA N unauthenticated remapped al VLA N del invitado si se define y seactiva en el VLA N, o se cae si el VLA N del invitado no se activa en el puerto.Usted puede especificar que el tráfico sin Tags del puerto autorizado remapped a un VLAN que sea asignado por un servidor de RADIUS durante el proceso de autenticación. Secae el tráfico marcado con etiqueta a menos que pertenezca al VLA N RADIUS-asignado oa los VLA N unauthenticated. La asignación VLAN del radio en un puerto se fija en lapágina de la autenticación del puerto.

Paso 5. El tecleo se aplica para salvar su configuración. Nota: Utilice las configuraciones de la copia… para aplicar la misma configuración de GE1 a lospuertos múltiples. Deje el puerto que está conectado con el servidor de RADIUS como hostmúltiple (802.1x). autenticación del puerto de autenticación del 802.1x

La página de la autenticación del puerto activa la configuración de parámetros para cada puerto.Puesto que algunos de los cambios de configuración son solamente posibles mientras que elpuerto está el estado autorizado de en vigor, tal como autenticación del host, se recomienda queusted cambia el control del puerto para forzar autorizado antes de realizar los cambios. Cuando laconfiguración es completa, vuelva el control del puerto a su estado anterior. Nota: Configuraremos solamente las configuraciones que se requiere para la autenticación MAC-basada. El resto de la configuración será dejado como valor por defecto. Paso 1. Navegue a la autenticación de la Seguridad > del 802.1x > a la autenticación del puerto.

Paso 2. Seleccione el puerto que usted quiere configurar la autorización de puerto. Nota: No configure el puerto que el conmutador está conectado con. El conmutador es undispositivo confiable así que licencia ese puerto según lo forzado autorizado.

Paso 3. Entonces enrolle abajo y el tecleo corrige… para configurar el puerto.

●

●

●

En la página de la autenticación del puerto del corregir, el Campo de control actual del puerto visualiza el estado actual de la autorización de puerto. Si se autoriza el estado, se autentica elpuerto u o el control administrativo del puerto es fuerza autorizada. Inversamente, si el estado es desautorizado, después el puerto o no se autentica o el control administrativo del puerto es fuerza desautorizada. Si activan al suplicante en un interfaz, el control actual del puerto serásuplicante. Paso 4. Seleccione el estado administrativo de la autorización de puerto. Configure el puerto al auto. Las opciones disponibles son:

Desautorizado forzado — Niega el acceso del interfaz trasladándose el interfaz al estadodesautorizado. El dispositivo no proporciona los servicios de autenticación al cliente a travésdel interfaz.Auto — Los permisos puerto-basaron la autenticación y la autorización en el dispositivo. Losmovimientos del interfaz entre un estado autorizado o desautorizado basado en elintercambio de la autenticación entre el dispositivo y el cliente.Forzados autorizados — Autoriza el interfaz sin la autenticación.

Nota: Forzado autorizado es el valor predeterminado.

Paso 5. En el 802.1x basado el campo de la autenticación, uncheck el checkbox del permiso pues no vamos a utilizar el 802.1x como nuestra autenticación. El valor predeterminado de la autenticación basada 802.1x se activa.

Paso 6. Controle el checkbox del permiso para saber si hay autenticación basada MAC comoqueremos activar la autenticación del puerto basada en la dirección MAC del suplicante.Solamente 8 autenticaciones MAC-basadas se pueden utilizar en el puerto.

Paso 7. El tecleo se aplica para salvar sus cambios. Si usted quiere salvar su configuración, presione el botón Save Button en la cima de su pantalla. Conclusión Usted ahora ha configurado con éxito la autenticación MAC-basada en su conmutador. Paraverificar que la autenticación MAC-basada esté trabajando, siga los pasos abajo. Paso 1. Navegue a la autenticación de la Seguridad > del 802.1x > los host autenticados para verlos detalles sobre los usuarios autenticados.

●

●

●

●

●

●

●

Paso 2. En este ejemplo, usted puede ver que nuestra dirección MAC de los Ethernetes fueautenticada en la tabla autenticada del host. Los campos del siguiente definen como:

Nombre de usuario — Nombres del suplicante que autenticaron en cada puerto.Número del puerto del puerto.Tiempo de la sesión (DD: HH: MILÍMETRO: SS) — cantidad de tiempo que autenticaron yautorizó al suplicante el acceso en el puerto.Método de autenticación — Método por el cual la sesión pasada fue autenticada.Servidor autenticado — Servidor de RADIUS.Dirección MAC — Visualiza la dirección MAC del suplicante.Identificación del VLA N — El VLA N del puerto.

El paso 3. (opcional) navega al estatus y a las estadísticas > al View log > a memoria RAM. Lapágina de memoria RAM visualizará todos los mensajes que guardaron en el RAM (caché) enorden cronológico. Las entradas se salvan en el registro del RAM según la configuración en lapágina de las configuraciones de registro.

Paso 4. En la tabla del registro de memoria RAM, usted debe ver un mensaje de registroinformativo que estado su dirección MAC que es autorizada en el puerto gi1/0/1.

Nota: Enmascaran a la parte de la dirección MAC hacia fuera.

Vea la versión video de este artículo…

Haga clic aquí para ver otras conversaciones sobre aspectos teóricos de Cisco