Ejemplo para configurar la autenticación 802.1x para controlar el acceso de los terminales cableados (punto de autenticación en el switch de agregac

Pubilicado 2019-1-28 06:15:51 62 0 0 0

Visión general de la autenticación 802.1x

802.1x es un protocolo de control de acceso a la red basado en puertos y la autenticación 802.1x es uno de los modos de autenticación NAC. La autenticación 802.1x garantiza la seguridad de las intranets empresariales.

La autenticación 802.1x garantiza una alta seguridad; sin embargo, requiere que el software cliente 802.1x esté instalado en los terminales de usuario, lo que resulta en un despliegue de red inflexible. Otros dos modos de autenticación NAC tienen sus ventajas y desventajas: la autenticación de la dirección MAC no requiere la instalación del software del cliente, pero las direcciones MAC deben registrarse en un servidor de autenticación. La autenticación del portal tampoco requiere la instalación del software del cliente y proporciona una implementación flexible, pero tiene poca seguridad.

Como resultado, la autenticación 802.1x se aplica a escenarios con nuevas redes, distribución de usuarios centralizada y estrictos requisitos de seguridad de la información.

Notas de configuración

·         El motor de servicios de identidad de Cisco (ISE) en 2.0.0.306 funciona como el servidor RADIUS en este ejemplo.

·         Actualmente, el dispositi****dmite los modos de autenticación CHAP, PAP, EAP-PEAP, EAP-FAST, EAP-TLS y EAP-MD5 para clientes 802.1x.

·         Las claves de autenticación y contabilidad compartidas de RADIUS en el switch deben ser las mismas que las del ISE.

·         Por defecto, el switch permite que los paquetes del servidor RADIUS se transfieran. No es necesario configurar reglas sin autenticación para el servidor en el switch.

Requisitos de red

Las empresas tienen altos requisitos en seguridad de red. Para evitar el acceso no autorizado y proteger la seguridad de la información, una empresa solicita a los usuarios que pasen la autenticación de identidad y la verificación de seguridad antes de acceder a la red de la empresa. Solo los usuarios autorizados pueden acceder a la red de la empresa. Para reducir la inversión en reconstrucción de la red, se recomienda configurar la función de autenticación 802.1x en el switch de agregación y conectar un único servidor de autenticación centralizado al switch de agregación en modo de derivación.

Figura 1-1 Diagrama de red para configurar la autenticación 802.1x para controlar el acceso interno del usuario

061204q2ldtd5zlwt5bgs5.png?image.png

Plan de datos

Tabla 1-1 plan de datos de red

Objeto

Datos

ISE

Dirección IP: 192.168.100.100

Post-authentication domain server

Dirección IP: 192.168.102.100

Switch de agregación (SwitchA)

·           VLAN a la   que pertenece 0/0/6 conectado al servidor: VLAN 100

·           VLAN a la   que pertenecen las interfaces posteriores GE0 / 0/1 y GE0 / 0/2: VLAN 200

Switch de acceso (SwitchC)

ID de VLAN   de usuario: 200

Switch de acceso (SwitchD)

ID de VLAN   de usuario: 200

 

Tabla 1-2 plan de datos del servicio del switch de agregación

Objeto

Datos

Esquema RADIUS

·           Dirección   IP del servidor de autenticación: 192.168.100.100

·           Number   Número de puerto del servidor de autenticación: 1812

·           IP   Dirección IP del servidor de contabilidad: 192.168.100.100

·           Número de   puerto del servidor de contabilidad: 1813

·           Clave   compartida para el servidor RADIUS: Huawei @ 2014

·           Intervalo contable:   15 minutos

·           Dominio de   autenticación: isp

Número de   ACL del dominio de post-autenticación

3002

 

                Tabla 1-3 plan de datos de servicio ISE

Objeto

Datos

Departamento

RD   department

Acceso   de usuario

Cuenta de Acceso: A-123

Contraseña: Huawei123

Grupo   de dispositivo

Grupo de dispositivos cableados :   Switch

Dirección   IP del switch

SwitchA:   192.168.10.10

Clave   de autenticación RADIUS

Huawei@2014

Clave   de contabilidad RADIUS

Huawei@2014

               

 

Mapa de configuración

1.       Configure el switch de agregación, incluidas las interfaces de VLAN, los parámetros para conectarse al servidor RADIUS, habilitar la autenticación NAC y acceder al dominio de autenticación posterior.

Nota

Asegúrese de las rutas accesibles entre los switches de acceso (SwitchC y SwitchD), el switch de agregación (SwitchA) y el ISE.

2.    Configure los switches de acceso, incluidas las VLAN y la transmisión transparente 802.1x.

3.     Configure el ISE:

a. Inicie sesión en el ISE.

b Agrega una cuenta al ISE.

c. Añadir switches al ISE.

d. Configure reglas de autenticación, resultados de autorización y reglas de autorización en el ISE.

Procedimiento

Paso 1 Configure el switch de agregación.

1.       Cree VLAN y configure las VLAN permitidas por las interfaces para que los paquetes puedan reenviarse.

<HUAWEI> system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 100 200 
[SwitchA] interface gigabitethernet 0/0/1     
[SwitchA-GigabitEthernet0/0/1] port link-type trunk 
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 200 
[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchA] interface gigabitethernet 0/0/2     
[SwitchA-GigabitEthernet0/0/2] port link-type trunk 
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 200 
[SwitchA-GigabitEthernet0/0/2] quit 
[SwitchA] interface gigabitethernet 0/0/6     
[SwitchA-GigabitEthernet0/0/6] port link-type trunk 
[SwitchA-GigabitEthernet0/0/6] port trunk allow-pass vlan 100 
[SwitchA-GigabitEthernet0/0/6] quit 
[SwitchA] interface vlanif 100 
[SwitchA-Vlanif100] ip address 192.168.10.10 24     
[SwitchA-Vlanif100] quit 
[SwitchA] interface vlanif 200 
[SwitchA-Vlanif200] ip address 192.168.200.1 24     
[SwitchA-Vlanif200] quit 
[SwitchA] ip route-static 192.168.100.0 255.255.255.0 192.168.10.11     
[SwitchA] ip route-static 192.168.102.0 255.255.255.0 192.168.10.11 

2. Cree y configure una plantilla de servidor RADIUS, un esquema de autenticación AAA y un dominio de autenticación.

# Cree y configure la plantilla de servidor RADIUS rd1.

[SwitchA] radius-server template rd1 
[SwitchA-radius-rd1] radius-server authentication 192.168.100.100 1812 
[SwitchA-radius-rd1] radius-server accounting 192.168.100.100 1813 
[SwitchA-radius-rd1] radius-server shared-key cipher Huawei@2014 
[SwitchA-radius-rd1] quit 

# Cree un abc de esquema de autenticación AAA y configure el modo de autenticación en RADIUS.

[SwitchA] aaa 
[SwitchA-aaa] authentication-scheme abc 
[SwitchA-aaa-authen-abc] authentication-mode radius 
[SwitchA-aaa-authen-abc] quit

# Configurar un esquema contable acco1. Establezca el modo de contabilidad en RADIUS para que el servidor RADIUS pueda mantener el estado de la cuenta, como inicio de sesión, cierre de sesión y cierre de sesión forzado.

[SwitchA-aaa] accounting-scheme acco1 
[SwitchA-aaa-accounting-acco1] accounting-mode radius 
[SwitchA-aaa-accounting-acco1] accounting realtime 15     
[SwitchA-aaa-accounting-acco1] quit

# Cree un dominio de autenticación isp y enlace el esquema de autenticación AAA abc, el esquema de contabilidad acco1 y la plantilla de servidor RADIUS rd1 al dominio.

[SwitchA-aaa] domain isp 
[SwitchA-aaa-domain-isp] authentication-scheme abc 
[SwitchA-aaa-domain-isp] accounting-scheme acco1 
[SwitchA-aaa-domain-isp] radius-server rd1 
[SwitchA-aaa-domain-isp] quit 
[SwitchA-aaa] quit

# Configurar el dominio global predeterminado isp. Durante la autenticación de acceso, ingrese un nombre de usuario en el formato usuario @ isp para realizar la autenticación AAA en la isp del dominio. Si el nombre de usuario no contiene un nombre de dominio o contiene un nombre de dominio no válido, el usuario se autentica en el dominio predeterminado.

[SwitchA] domain isp

3. Habilitar la autenticación 802.1x.

# Establece el modo NAC en unificado.

[SwitchA] authentication unified-mode

Nota

Por defecto, el modo unificado está habilitado. Después de cambiar el modo NAC, guarde la configuración y reinicie el dispositivo para que la configuración tenga efecto.

# Habilite la autenticación 802.1x en GE0/0/1 y GE0/0/2.

[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-Gigabitethernet0/0/1] authentication dot1x     
[SwitchA-Gigabitethernet0/0/1] quit 
[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-Gigabitethernet0/0/2] authentication dot1x     
[SwitchA-Gigabitethernet0/0/2] quit

4. Configure ACL 3002 para el dominio posterior a la autenticación.

[SwitchA] acl 3002 
[SwitchA-acl-adv-3002] description 3002.in    
[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.102.100 0 
[SwitchA-acl-adv-3002] rule 2 deny ip destination any 
[SwitchA-acl-adv-3002] quit

Paso 2 Configure los switches de acceso.

1. Cree VLAN y configure las VLAN permitidas por las interfaces para que los paquetes puedan reenviarse. Este ejemplo utiliza SwitchC para describir la configuración. La configuración en SwitchD es la misma que en SwitchC.

# Crear VLAN 200.

<HUAWEI> system-view 
[HUAWEI] sysname SwitchC 
[SwitchC] vlan batch 200

# Configure la interfaz conectada a los usuarios como una interfaz de acceso y agregue la interfaz a VLAN 200.

[SwitchC] interface gigabitethernet 0/0/1 
[SwitchC-GigabitEthernet0/0/1] port link-type access 
[SwitchC-GigabitEthernet0/0/1] port default vlan 200  
[SwitchC-GigabitEthernet0/0/1] quit 
[SwitchC] interface gigabitethernet 0/0/2 
[SwitchC-GigabitEthernet0/0/2] port link-type access 
[SwitchC-GigabitEthernet0/0/2] port default vlan 200 
[SwitchC-GigabitEthernet0/0/2] quit

# Configure la interfaz conectada a la red ascendente como una interfaz troncal y configure la para permitir VLAN 200.

[SwitchC] interface gigabitethernet 0/0/3 
[SwitchC-GigabitEthernet0/0/3] port link-type trunk 
[SwitchC-GigabitEthernet0/0/3] port trunk allow-pass vlan 200 
[SwitchC-GigabitEthernet0/0/3] quit

2. Configure el dispositivo para transmitir transparentemente paquetes 802.1x. Este ejemplo utiliza SwitchC para describir la configuración. La configuración en SwitchD es la misma que en SwitchC.

Nota

En este ejemplo, SwitchC y SwitchD se implementan entre el switch de autenticación SwitchA y los usuarios. La transmisión transparente de paquetes EAP debe configurarse en SwitchC y SwitchD para que SwitchA pueda realizar la autenticación 802.1x para los usuarios.

- Método 1: el S5720EI, S5720HI y S6720EI no son compatibles con este método.

[SwitchC] l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 
[SwitchC] interface gigabitethernet 0/0/1 
[SwitchC-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol 802.1X enable 
[SwitchC-GigabitEthernet0/0/1] bpdu enable 
[SwitchC-GigabitEthernet0/0/1] quit 
[SwitchC] interface gigabitethernet 0/0/2 
[SwitchC-GigabitEthernet0/0/2] l2protocol-tunnel user-defined-protocol 802.1X enable 
[SwitchC-GigabitEthernet0/0/2] bpdu enable 
[SwitchC-GigabitEthernet0/0/2] quit 
[SwitchC] interface gigabitethernet 0/0/3 
[SwitchC-GigabitEthernet0/0/3] l2protocol-tunnel user-defined-protocol 802.1X enable 
[SwitchC-GigabitEthernet0/0/3] bpdu enable 
[SwitchC-GigabitEthernet0/0/3] quit

-          Método 2: solo el S5720EI, S5720HI y S6720EI son compatibles con este método.

[SwitchC] undo bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFF0 
[SwitchC] bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE 
[SwitchC] bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF 
[SwitchC] bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC 
[SwitchC] bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8

Paso 3 Configurar el ISE.

1. Inicie sesión en el ISE.

a. Abra Internet Explorer, ingrese la dirección ISE en el cuadro de dirección y presione Entrar.

La siguiente tabla describe las direcciones para acceder al ISE.

Formato    de dirección

Descripción

https://ISE-IP

En la   dirección, ISE-IP indica la dirección ISE.

b. Ingrese el nombre de usuario y la contraseña configurados para iniciar sesión en Cisco ISE.

2. Crear un departamento y una cuenta.

a. Seleccione Administration > Identity Management> Groups. En el área de navegación de la izquierda, elija User Identity Groups. Haga clic en la pestaña Add  en el área de operación a la derecha y agregue el departamento RD.

061223hgn66rogwz1ikijj.png?image.png

061232osznxoy4gbgyyemq.png?image.png

b. Seleccione Administration  > Identity Management > Identities. En el área de navegación de la izquierda, seleccione Users. Haga clic en la pestaña Add  en el área de operación a la derecha, cree una cuenta A-123 con la contraseña Huawei123 y agregue el usuario A al departamento de RD.

061241ypbiqpi52qi82k3b.png?image.png

061249nrnuhhrrh4s9hho9.png?image.png

3. Agregue un switch al ISE y configure los parámetros relacionados para asegurar una comunicación normal entre el ISE y el switch.

a. En el área de navegación superior, elija Administration  > Network Resources > Network Device Profiles, haga clic en la pestaña Add . Cree el perfil de dispositivo de acceso HUAWEI, configure el Vendor a Other y seleccione RADIUS en Supported Protocols.

061258qce889sbs8u3triz.png?image.png

b. Configure Authentication/Authorization y Permisssions  de acuerdo con las siguientes figuras. Después de completar la configuración, haga clic en Submit.

061307g7kwlfbixfnyuwq2.png?image.png

c. Seleccione Administration > Network Resources > Network Devices. Haga clic en Add  en el área de operación a la derecha, agregue el dispositivo de acceso SwitchA y configure los parámetros de SwitchA de acuerdo con la siguiente tabla. Después de completar la configuración, haga clic en Submit.

061315rs3d68de4jd8jszs.png?image.png

Parametro

Valor

Descripción

Nombre

SwitchA

-

Dirección IP

192.168.10.10

La interfaz en el switch debe comunicarse con el ISE.

Contraseña Compartida RADIUS

Huawei@2014

Debe ser la misma que la clave de autenticación RADIUS y la clave de   contabilidad RADIUS configurada en el switch.

061325iv07e70eohbshbuu.png?image.png

4. Configure el protocolo de autenticación de contraseña.

- En el área de navegación superior, elija Policy > Policy Elements > Results. En el área de navegación de la izquierda, elija  Authentication > Allowed Protocols. Haga clic en Add en el área de operación a la derecha.

Nota

El ISE proporciona el perfil de protocolo de autenticación predeterminado Acceso de red predeterminado. Si el perfil cumple con los requisitos reales, no es necesario crear un perfil.

061333b9kwczbgfbs6sksb.png?image.png

- Crear la autenticación del perfil de protocolo para la autenticación del usuario. Seleccione los protocolos de autenticación adecuados en función de los requisitos reales. Después de completar la configuración, haga clic en Submit.

061342ccmgoki9kijhaj9c.png?image.png

5. Configure la política de autenticación.

a. Seleccione  Policy > Authentication. Las políticas de autenticación se clasifican en políticas de autenticación simples y basadas en reglas. En este ejemplo se usa una política de autenticación simple.

b. Haga clic en el cuadro de lista desplegable Servicio de acceso a la red. Se muestra el cuadro de diálogo Servicios de acceso a la red. Haga clic en Allowed Protocols y elija Authentication.

061351meaz9uxweu491e3a.png?image.png

6. Añadir una regla de autorización.

a. En el área de navegación superior, elija Policy > Authorization. Haga clic en el triángulo junto a la primera política de autenticación y elija Insert New Rule Above.

061402ycylfm0y40ie6yff.png?image.png

b. Agregue un resultado de autorización y vincule una regla de autorización al resultado de autorización.

061417b318bb4b4a3zzzgv.png?image.png

c. Haga clic en la pestaña Save a la derecha. Haga clic en Done.

061425srmasgzwzlg4wbfa.png?image.png

Paso 4 Verificar la configuración.

·         Un empleado solo puede acceder al ISE antes de pasar la autenticación.

·         Después de pasar la autenticación, el empleado puede acceder a los recursos en el dominio posterior a la autenticación.

·         Una vez que el empleado haya pasado la autenticación, ejecute el comando de acceso a la pantalla en el switch. El resultado del comando muestra información sobre el empleado en línea.

----Fin

Archivos de configuración

·         Archivo de configuración del SwitchA


sysname SwitchA 

vlan batch 100 200 

domain isp 

radius-server template rd1 
 radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%# 
 radius-server authentication 192.168.100.100 1812 weight 80 
 radius-server accounting 192.168.100.100 1813 weight 80 

acl number 3002 
 description 3002.in 
 rule 1 permit ip destination 192.168.102.100 0 
 rule 2 deny ip 

aaa 
 authentication-scheme abc 
  authentication-mode radius 
 accounting-scheme acco1 
  accounting-mode radius 
  accounting realtime 15 
 domain isp 
  authentication-scheme abc 
  accounting-scheme acco1 
  radius-server rd1 

interface Vlanif100 
 ip address 192.168.10.10 255.255.255.0 

interface Vlanif200 
 ip address 192.168.200.1 255.255.255.0 

interface GigabitEthernet0/0/1 
 port link-type trunk 
 port trunk allow-pass vlan 200 
 authentication dot1x 

interface GigabitEthernet0/0/2 
 port link-type trunk 
 port trunk allow-pass vlan 200 
 authentication dot1x 

interface GigabitEthernet0/0/6 
 port link-type trunk 
 port trunk allow-pass vlan 100 

ip route-static 192.168.100.0 255.255.255.0 192.168.10.11 
ip route-static 192.168.102.0 255.255.255.0 192.168.10.11 

return

·         Archivo de configuración del SwitchC


sysname SwitchC 

vlan batch 200 

l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 

interface GigabitEthernet0/0/1 
 port link-type access 
 port default vlan 200 
 l2protocol-tunnel user-defined-protocol 802.1x enable 

interface GigabitEthernet0/0/2 
 port link-type access 
 port default vlan 200 
 l2protocol-tunnel user-defined-protocol 802.1x enable 

interface GigabitEthernet0/0/3 
 port link-type trunk 
 port trunk allow-pass vlan 200 
 l2protocol-tunnel user-defined-protocol 802.1x enable 

return


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba