Funcionalidad 802.1x en switches Sx7xx: ¿Cómo autenticar usuarios específicos en una interfaz?

Publicado 2019-1-10 13:20:40 45 0 0 0

Funcionalidad 802.1x en switches Sx7xx: ¿Cómo autenticar usuarios específicos en una interfaz?

Hola a todos,

 

Quiero presentar un escenario bastante interesante que podría ser útil en algún momento.

 

¿Qué tal si queremos usar la autenticación 802.1x con un servidor RADIUS para autenticar a más usuarios en una interfaz?

 

Esto no es tan difícil porque podemos configurar 802.1x en función de la dirección MAC y autenticar a todos los usuarios de la interfaz.

 

¿Qué pasa si queremos autenticar solo a algunos usuarios de la interfaz y permitir que otros accedan a nuestra red sin ninguna restricción porque son nuestros amigos realmente buenos? ¿Cómo podemos hacer esto en nuestros switches?

 

Para explicar nuestra solución propuesta, tomaría como referencia la siguiente imagen:

https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2014/0701/03/53b1b52a8c8b9.PNG

Como podemos ver, ambos están conectados a la misma interfaz, entonces, ¿qué podemos hacer?

 

Primero tenemos que configurar la interfaz como híbrida para permitir paquetes etiquetados y no etiquetados. También tenemos que habilitar la función de VLAN de voz en la interfaz y configurar la VLAN en cuestión.

 

Después de esto recordamos que el dispositivo puede gestionar usuarios a través de dominios. En este caso, podemos configurar dos dominios: uno para los usuarios que necesitarán la autenticación por RADIUS y lo llamaremos dominio de radius4you y otro para los usuarios que no necesitarán autenticación y lo llamaremos dominio noauth4phone.

 

Para esto, en la vista AAA, crearemos los dominios que acabo de especificar y estableceremos un esquema de autenticación RADIUS en uno y otro sin autenticación.

 

Después de configurar la interfaz, crear los dominios y la plantilla del servidor de RADIUS (verificar el hedex), debemos habilitar y configurar la autenticación dot1x en la vista de sistema y de interfaz.

 

Como resultado, el switch autentica la computadora con el servidor RADIUS de acuerdo al dominio de radius4you configurado.

 

Como no queremos autenticar el teléfono, intentamos engañar al switch con el comando dot1x mac-bypass. Debido a que usamos este comando, cuando el switch intenta autenticar el teléfono y la autenticación dot1x falla, el switch utilizará la dirección MAC del teléfono para la autenticación. Ya que creamos un dominio de autenticación MAC donde no es necesaria la autenticación, cuando la autenticación dot1x falla, los dispositivos que tienen la dirección MAC especificada en el dominio mac-authen no se autenticarán en absoluto.

 

Ejemplo de configuración:

system view

#                                                                              

voice-vlan mac-address 04c5-a44c-98b1 mask ffff-ffff-ffff description phone     //Especifica el OUI

   address of voice packets that can be transmitted in the voice VLAN

#

#                                                                               

domain radius4you                                                                     

#                                                                              

dot1x enable          //habilita dot1x en la vista del sistema

dot1x timer reauthenticate-period 100     //establecer el intervalo de re-autenticación 802.1x

mac-authen enable             // habilita autenticación por dirección MAC

mac-authen domain noauth4phone mac-address 04c5-a44c-98b1 mask ffff-ffff-ffff      //configura un dominio de autenticación por usuario autenticado por dirección MAC

#

 

AAA view:

#                                                                               

aaa                                                                            

 authentication-scheme default                                             

 authentication-scheme radius                                                  

  authentication-mode radius                                                   

authentication-scheme noauth                                                  

  authentication-mode none                                                     

accounting-scheme default                                                     

  accounting start-fail online                                                 

domain default                                                                

 domain default_admin                                                          

 domain radius4you                                                                    

  authentication-scheme radius                                                 

  radius-server  acs                                                           

 domain noauth4phone           // crea el dominio nouaht4phone en la vista aaa

  authentication-scheme noauth     // Applica el esquema de autenticación noauth al dominio noauth4phone

 

En la vista de interfaz

#                                                                              

interface Ethernet5/0/20                                                       

voice-vlan 184 enable             // configure y habilita la vlan 184 de voz

 voice-vlan mode manual                                                        

 voice-vlan legacy enable          //habilita compatibilidad con CDP en la VLAN de Voz

 port hybrid pvid vlan 183                                                      

 port hybrid tagged vlan 184                                                   

 port hybrid untagged vlan 183                                                 

 stp disable                                                                    

 bpdu bridge enable                                                            

dot1x mac-bypass       //Una vez que la autenticación 802.1x falle, el equipo utiliza  

#         

 

Espero este ejemplo sea útil en caso de que quiera configurar este escenario en el futuro. Gracias

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba