Ejemplo para configurar la autenticación 802.1x para controlar el acceso de STA inalámbricas (V200R009C00 y versiones posteriores)

161 0 0 0

Ejemplo para configurar la autenticación 802.1x para controlar el acceso de STA inalámbricas (V200R009C00 y versiones posteriores)

 

Autenticación 802.1x en el lado inalámbrico

 

802.1x es un protocolo de control de acceso a la red basado en puertos y la autenticación 802.1x es uno de los modos de autenticación NAC. La autenticación 802.1x garantiza la seguridad de las intranets empresariales.

 

La autenticación 802.1x garantiza una alta seguridad; sin embargo, requiere que el software cliente 802.1x esté instalado en los terminales de usuario, lo que resulta en un despliegue de red inflexible. Otros dos métodos de autenticación NAC tienen sus ventajas y desventajas: la autenticación de la dirección MAC no requiere la instalación del software del cliente, pero las direcciones MAC deben registrarse en un servidor de autenticación. La autenticación del portal tampoco requiere la instalación del software del cliente y proporciona una implementación flexible, pero tiene poca seguridad.

 

Como resultado, la autenticación 802.1x se aplica a escenarios con nuevas redes, distribución de usuarios centralizada y estrictos requisitos de seguridad de la información.

 

Notas de configuración

 

l  El motor de servicios de identidad de Cisco (ISE) en 2.0.0.306 funciona como el servidor RADIUS en este ejemplo.

 

l  En el modo de reenvío de datos de servicio, la VLAN de administración y la VLAN de servicio no pueden ser iguales. Si configura el modo de reenvío como reenvío directo, no se recomienda configurar la VLAN de administración y la VLAN de servicio para que sean iguales.

 

l  Si se usa el reenvío directo, configurar el aislamiento del puerto en la interfaz se conecta directamente a los puntos de acceso. Si el aislamiento del puerto no está configurado, muchos paquetes de transmisión se transmitirán en las VLAN o los usuarios de WLAN en diferentes AP podrán comunicarse directamente en la Capa 2.

 

l  Configurar la VLAN de administración y la VLAN de servicio:

 

- En el modo de reenvío de túnel, los paquetes de servicio se encapsulan en un túnel CAPWAP y luego se reenvían a la AC. La CA luego envía los paquetes a la red de capa superior o AP. Por lo tanto, los paquetes de servicio y los paquetes de administración se pueden reenviar normalmente siempre que la red entre la AC y los AP se agregue a la VLAN de administración y la VLAN del servicio y la red entre la red de CA y la capa superior se agregue a la VLAN del servicio.

 

- En el modo de reenvío directo, los paquetes de servicio no se encapsulan en un túnel CAPWAP, sino que se reenvían directamente a la red de capa superior o los AP. Por lo tanto, los paquetes de servicio y los paquetes de administración normalmente se pueden reenviar solo cuando la red entre la AC y los AP se agrega a la VLAN de administración y la red entre los AP y la red de la capa superior se agrega a la VLAN de servicio.

 

l  No se proporciona ningún mecanismo ACK para la transmisión de paquetes de multidifusión en interfaces aéreas. Además, los enlaces inalámbricos son inestables. Para garantizar la transmisión estable de paquetes de multidifusión, generalmente se envían a velocidades bajas. Si un gran número de dichos paquetes de multidifusión se envían desde el lado de la red, las interfaces aéreas pueden estar congestionadas. Se recomienda configurar la supresión de paquetes de multidifusión para reducir el impacto de una gran cantidad de paquetes de multidifusión de baja velocidad en la red inalámbrica. Tenga cuidado al configurar el límite de velocidad; De lo contrario, los servicios de multidifusión pueden verse afectados.

 

- En el modo de reenvío directo, se recomienda configurar la supresión de paquetes de multidifusión en las interfaces del conmutador conectadas a los AP.

 

- En el modo de reenvío de túnel, se recomienda configurar la supresión de paquetes de multidifusión en los perfiles de tráfico de la AC.

 

Para obtener detalles sobre cómo configurar la supresión de tráfico, consulte "¿Cómo configuro la supresión de paquetes de multidifusión para reducir el impacto de un gran número de paquetes de multidifusión de baja velocidad en la red inalámbrica?" en la configuración de WLAN QoS de la Guía de configuración - WLAN-AC de la versión del producto correspondiente.

 

l  La siguiente tabla enumera los productos y versiones aplicables.

Software Version

Product Model

AP Model and Version

V200R011C10

S5720HI, S7700,   S9700

NOTE

For S7700,   you are advised to deploy S7712, or S7706 switches for WLAN services. S7703   switches are not recommended.

For S9700,   you are advised to deploy S9712 or S9706 switches for WLAN services. S9703   switches are not recommended.

V200R007C20:

AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN,   AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US,   AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN,   AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24,   AD9430DN-12, R230D, R240D, AP6050DN, AP6150DN, AP7050DE, AP7050DN-E,   AP4030TN, AP4050DN-E, AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E,   AP8130DN-W, AP4050DN, AP4051DN, AP4151DN, AP8050DN, AP8150DN

V200R007C10:

AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN,   AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US,   AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN,   AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24,   AD9430DN-12, R230D, R240D, AP6050DN, AP6150DN, AP7050DE, AP7050DN-E,   AP4030TN, AP4050DN-E, AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W

V200R006C20:

AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN,   AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US,   AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN,   AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN, AP9131DN, AP9132DN,   AD9430DN-24, AD9430DN-12, R230D, R240D

V200R006C10:

AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN,   AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US,   AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN,   AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN

V200R010C00

S5720HI, S7700,   S9700

NOTE

For S7700,   you are advised to deploy S7712, or S7706 switches for WLAN services. S7703   switches are not recommended.

For S9700,   you are advised to deploy S9712 or S9706 switches for WLAN services. S9703   switches are not recommended.

V200R007C10:

AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN,   AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN-US,   AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN,   AP4030DN, AP4130DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12,   R230D, R240D, AP6050DN, AP6150DN, AP7050DE, AP7050DN-E, AP4030TN, AP4050DN-E,   AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W

V200R006C20:

AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN,   AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US,   AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN,   AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN, AP9131DN, AP9132DN,   AD9430DN-24, AD9430DN-12, R230D, R240D

V200R006C10:

AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN,   AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US,   AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN,   AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN

V200R009C00

S5720HI, S7700,   S9700

NOTE

For S7700,   you are advised to deploy S7712 or S7706 switches for WLAN services. S7703   switches are not recommended.

For S9700,   you are advised to deploy S9712 or S9706 switches for WLAN services. S9703   switches are not recommended.

V200R007C10:

AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN,   AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US,   AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN,   AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24,   AD9430DN-12, R230D, R240D, AP6050DN, AP6150DN, AP7050DE, AP7050DN-E,   AP4030TN, AP4050DN-E, AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E,   AP8130DN-W

V200R006C20:

AP6010SN-GN, AP6010DN-AGN,   AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN,   AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN-US,   AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN,   AP4030DN, AP4130DN, AP3030DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24,   AD9430DN-12, R230D, R240D

V200R006C10:

AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN,   AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US,   AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN,   AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN

Requisitos de red

 

Como se muestra en la Figura 1-1, el AC de una empresa se conecta a la puerta de enlace de salida (Enrutador) y al servidor RADIUS, y se conecta al AP a través del SwitchA. La WLAN con el SSID wlan-net está disponible para que los empleados accedan a los recursos de la red. La puerta de enlace también funciona como un servidor DHCP para proporcionar direcciones IP en el segmento de red 10.23.101.0/24 para las STA. La CA controla y administra las STA.

 

Debido a que la WLAN está abierta para los usuarios, existen riesgos potenciales de seguridad para la información de la empresa si no se configura una política de seguridad para la WLAN. La empresa requiere alta seguridad de la información, por lo que se configura una política de seguridad WPA2 que utiliza la autenticación 802.1x y el cifrado AES. El servidor RADIUS autentica las identidades STA. La CA debe configurarse para funcionar como un relé EAP, de modo que la CA admita la autenticación 802.1x.

 

Figura 1-1 Diagrama de red para configurar la autenticación 802.1X

141124pbv8anb98vfbs6sw.png?image.png

Planificación de datos

 

Tabla 1-2 Planificación de datos

141133m9vixi6f4xvwtx6i.png?image.png

141142ylcjjyb388pxsz7d.png?image.png

Tabla 1-3 Planificación de datos en el servidor ISE

141151vqxg1ssipzmmtvmt.png?image.png

Mapa de configuración

 

1. Configure el AC para comunicarse con los AP y los dispositivos de red de capa superior.

2. En la CA, configure la CA para asignar una dirección IP al AP y el enrutador para asignar direcciones IP a las STA.

3. Configure los parámetros de autenticación RADIUS en la CA.

4. En la CA, configure un perfil de acceso 802.1x para administrar los parámetros de control de acceso 802.1x.

5. En la AC, configure un perfil de autenticación, vincule el perfil de acceso 802.1x al perfil de autenticación y configure un dominio de autenticación forzoso para los usuarios.

6. En la CA, configure los puntos de acceso para conectarse.

7. En la CA, configure los parámetros del servicio WLAN, establezca la política de seguridad en WPA2-802.1X-AES, y enlace un perfil de política de seguridad y un perfil de autenticación a un perfil VAP para controlar el acceso desde las STA.

8. En el servidor ISE, configure la información del dispositivo de autenticación, la información del usuario y la función de autenticación 802.1x para implementar el acceso al dispositivo, el acceso del usuario y la autenticación 802.1x basada en la dirección MAC.

 

Procedimiento

 

                               Paso 1 Establezca el modo NAC en modo unificado en la CA (configuración predeterminada). Configure el SwitchA y el AC para que el AP y el AC puedan transmitir paquetes CAPWAP.

 

# Agregue GE0 / 0/1 que conecta SwitchA al AP a la administración de VLAN 100 y agregue GE0 / 0/2 que conecta SwitchA a la CA a la misma VLAN

141200ogydghtc7zhctyg0.png?image.png

# Agregue GE1 / 0/1 que conecta la CA al SwitchA a la VLAN 100.

141207soaxm1bsmff0obrr.png?image.png

Paso 2 Configure la CA para comunicarse con el dispositivo en sentido ascendente.

 

# Configure VLANIF 101 (servicio VLAN), VLANIF 102 y VLANIF 103.

141213kbxozcxsmom8om9u.png?image.png

# Agregue GE1 / 0/2 que conecta la CA al enrutador a la VLAN 102

141221fcd682oj8dz8c1d4.png?image.png

# En la CA, configure una ruta estática.

141232afehkzvqaqff3vdx.png?image.png

Paso 3 Configure la CA para asignar una dirección IP al AP y el Enrutador para asignar direcciones IP a las STA.

 

# Configure el AC para asignar una dirección IP al AP desde un grupo de direcciones de interfaz.

141238yleeo29e9omgve00.png?image.png

# Configure la CA como un agente de retransmisión DHCP y especifique la dirección IP del servidor DHCP en el agente de retransmisión DHCP.

141245re9shlr59hmrmlh2.png?image.png

# Configure el enrutador como un servidor DHCP para asignar direcciones IP a STA desde un grupo de direcciones global. La dirección de la puerta de enlace de egreso del cliente DHCP es 10.23.101.1, y el segmento de red del grupo de direcciones global es 10.23.101.0/24.

141250wgchs6g06u6zc560.png?image.png

Paso 4 Configure los parámetros de autenticación RADIUS

# Configurar una plantilla de servidor RADIUS.

141258ymu5sqaozw1ua5ve.png?image.png

# Configurar un esquema de autenticación RADIUS.

141305d5yvv22mz6sd7w6v.png?image.png

# Cree un dominio AAA y configure la plantilla del servidor RADIUS y el esquema de autenticación.

141313nuifc1p60mhik2nn.png?image.png

                # Compruebe si una STA se puede autenticar utilizando la autenticación RADIUS. Se han configurado un nombre de usuario A-123@huawei.com y la contraseña 123456 en el servidor RADIUS.

141320yp00psc4i80hplcc.png?image.png

Paso 5 Configure un perfil de acceso 802.1X para administrar los parámetros de control de acceso 802.1X.

 

# Cree el perfil de acceso 802.1X wlan-dot1x.

141328pt14w214txd1qmq3.png?image.png

                # Establecer el modo de autenticación a relé EAP

141334qr7949sw75woww0w.png?image.png

Paso 6 Configure un perfil de autenticación llamado wlan-authentication, aplique el perfil de acceso 802.1X y configure un dominio de autenticación forzado.

141340ivj7cewagef5cf3e.png?image.png

Paso 7 Configurar el AP para ir en línea.

 

# Cree un grupo de AP y agregue el AP al grupo de AP.

141347s11fvv77eca8qkjv.png?image.png

# Cree un perfil de dominio reglamentario, configure el código de país AC en el perfil y aplique el perfil al grupo de AP

141354euhjgdz5h5u9u8aq.png?image.png

# Configurar la interfaz fuente de la AC

141400ocvwqv2bcch3lzhy.png?image.png

# Importe el AP fuera de línea en la CA y agregue el AP al grupo de AP ap-group1. Supongamos que la dirección MAC del AP es 60de-4476-e360. Configure un nombre para el AP en función de la ubicación de implementación del AP, para que pueda saber dónde se implementa el AP desde su nombre. Por ejemplo, nombre el AP area_1 si está desplegado en el Área 1.

141407z141jhz2455j14zn.png?image.png

# Después de encender el AP, ejecute el comando display ap all para verificar el estado del AP. Si el campo Estado se muestra como ni, el AP se conecta normalmente.

141416dny33k5dnff7dkdn.png?image.png

Paso 8 Configurar los parámetros del servicio WLAN.

 

# Cree el perfil de seguridad wlan-security y establezca la política de seguridad en el perfil.

141425o5cbfbgx68mp8ypf.png?image.png

                # Cree el perfil SSID wlan-ssid y establezca el nombre de SSID en wlan-net.

141431wyi8y88r5vgqi5yz.png?image.png

                # Cree el perfil de VAP wlan-vap, configure el modo de reenvío de datos y las VLAN de servicio, y aplique el perfil de seguridad, el perfil de SSID y el perfil de autenticación al perfil de VAP.

141436qm2r2jvbknsnm3jk.png?image.png

                # Vincule el perfil de VAP wlan-vap al grupo de AP y aplique el perfil a la radio 0 y la radio 1 del AP.

141443pku7e1fae77jfelr.png?image.png

Paso 9 Confirma la configuración.

141448bf6i97zgk57wgjsi.png?image.png

Paso 10 Configurar el servidor ISE.

 

# Inicie sesión en el servidor ISE.

 

1. Ingrese la dirección de acceso del servidor ISE en la barra de direcciones, que está en el formato de https: // ISE-IP. ISE-IP es la dirección IP del servidor ISE.

 

2. En la página que se muestra, ingrese el nombre de usuario y la contraseña para iniciar sesión en el servidor ISE.

 

# Crear información del departamento. Seleccione Administración> Gestión de identidad> Grupos. En el panel en el lado derecho, haga clic en Agregar y luego cree un Grupo de Identidad llamado departamento de I&D.

141457nq11rvq41rvtarar.png?image.png

                # Crear información de cuenta de usuario. Seleccione Administración> Gestión de identidad> Identidades. En el panel de la derecha, haga clic en Agregar y agregue la cuenta de usuario y la contraseña al departamento de I + D.

141506i2n28b6c6nkflle2.png?image.png

# Agregue información de CA para que el ISE pueda interactuar con la CA. Seleccione Administración> Recursos de red> Dispositivos de red. En el panel del lado derecho, haga clic en Agregar para agregar información de CA.

141514ra1tn8n8s4v2ak3q.png?image.png

141522k767infachi055cj.png?image.png

# Configurar los protocolos de autenticación y cifrado permitidos. Elija Política> Elementos de política> Resultados> Autenticación> Protocolos permitidos y haga clic en Agregar para configurar los protocolos de autenticación y cifrado permitidos. En este ejemplo, se utiliza la configuración por defecto. Es decir, se permiten PAP, CHAP y EAP.

141534judx0047puaooa2o.png?image.png

# Configurar las políticas de autenticación y autorización. Seleccione Política> Autenticación. El tipo de política se puede establecer en simple o basado en reglas. En este ejemplo, configúralo en Simple. Luego, enlace la información del usuario y los protocolos de autenticación permitidos configurados en los pasos anteriores a la política de autenticación.

141546ogjwt0hxaaj53fwv.png?image.png

Paso 11 Verificar la configuración.

  •  La WLAN con SSID wlan-net está disponible para las STA conectadas al AP.

  •  La PC inalámbrica obtiene una dirección IP después de asociarse con la WLAN.

  •  Use el cliente de autenticación 802.1x en una STA e ingrese el nombre de usuario y la contraseña correctos. La STA está autenticada y puede acceder a la WLAN. Debe configurar el cliente para la autenticación PEAP.

 

- Configuración en el sistema operativo Windows XP:

 

i. En la página de la pestaña Asociación del cuadro de diálogo Propiedades de red inalámbrica, agregue SSID wlan-net, establezca el modo de autenticación en WPA2 y el algoritmo de cifrado en AES.

 

ii. En la página de la pestaña Autenticación, establezca el tipo de EAP en PEAP y haga clic en Propiedades. En el cuadro de diálogo Propiedades de EAP protegido, deseleccione Validar certificado de servidor y haga clic en Configurar. En el cuadro de diálogo que se muestra, deseleccione Usar automáticamente mi nombre y contraseña de inicio de sesión de Windows y haga clic en Aceptar.

 

- Configuración en el sistema operativo Windows 7:

 

i Acceda a la página Administrar redes inalámbricas, haga clic en Agregar y seleccione Crear manualmente un perfil de red. Añadir SSID wlan-net. Establezca el modo de autenticación en WPA2-Enterprise y el algoritmo de cifrado en AES. Haga clic en Siguiente.

 

ii. Haga clic en Cambiar configuración de conexión. En la página de Propiedades de la red inalámbrica que se muestra, seleccione la página de la ficha Seguridad y haga clic en Configuración. En el cuadro de diálogo Propiedades de EAP protegido, deseleccione Validar certificado de servidor y haga clic en Configurar. En el cuadro de diálogo que se muestra, deseleccione Usar automáticamente mi nombre y contraseña de inicio de sesión de Windows y haga clic en Aceptar.

 

iii. En la página Propiedades de la red inalámbrica, haga clic en Configuración avanzada. En la página de Configuración avanzada que se muestra, seleccione Especificar el modo de autenticación, establezca el modo de autenticación de identidad en Autenticación del usuario y haga clic en Aceptar.

 

----Fin


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje