Switching de LAN : 802.1x

el 802.1x ató con alambre la autenticación en un Catalyst 3550 Series Switch y un ejemplo de configuración del ACS versión 4.2

18 Junio 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (19 Diciembre 2015) | Comentarios

Introducción

Este documento proporciona un ejemplo de configuración básico del IEEE 802.1X con la versión 4.2 del Access Control Server de Cisco (ACS) y el dial del Acceso Remoto en el protocolo del servicio de usuario (RADIUS) para la autenticación atada con alambre.

Contribuido por Minakshi Kumar, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que usted:

  • Confirme el alcance IP entre el ACS y el Switch.
  • Asegúrese de que los puertos 1645 y 1646 del User Datagram Protocol (UDP) estén abiertos entre el ACS y el Switch.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Catalyst 3550 Series Switches
  • Versión 4.2 del Cisco Secure ACS

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configurar

Configuración del switch del ejemplo

  1. Para definir el servidor de RADIUS y la clave previamente compartida, ingrese este comando:
    Switch(config)# radius-server host 192.168.1.3  key  cisco123


  2. Para habilitar las funciones del 802.1x, ingrese este comando:
    Switch(config)# dot1x system-auth-control


  3. Para el Authentication, Authorization, and Accounting (AAA) del global-permiso y la autenticación de RADIUS y la autorización, ingresan estos comandos:

    Nota: Esto es necesario si usted necesita pasar los atributos del servidor de RADIUS; si no, usted puede saltarlo.



    Switch(config)# aaa new-model
    Switch(config)# aaa authentication dot1x default group radius
    awitch(Config)# aaa authorization network default group radius
    Switch(Config)# aaa accounting dot1x default start-stop group radius


    Switch(config-if)# switchport mode acces
    Switch(config-if)# switchport access vlan <vlan>
    Switch(config-if)# authentication port-control auto (12.2.50 SE and later)
    Switch(config-if)# dot1x port-control auto (12.2.50 SE and below)
    Switch(config-if)# dot1x pae authenticator (version 12.2(25)SEE and below)
    Switch(config-if)# dot1x timeout quiet-period <seconds to wait after failed attempt>
    Switch(config-if)# dot1x timeout tx-period <time to resubmit request>

Configuración de ACS

  1. Para agregar el Switch como cliente AAA en el ACS, navegue a la Configuración de la red agregan al cliente AAA de la entrada, y ingresan esta información:
    • Dirección IP: <IP>
    • Secreto compartido: <key>
    • Autentique usando: Radio (Cisco IOS ®/PIX 6.0)




  2. Para configurar la configuración de la autenticación, navegue a la configuración del sistema > a la configuración de la autenticación global, y verifique que la casilla de verificación de la autenticación de la versión MS-CHAP 2 de la permit está marcada:



  3. Para configurar a un usuario, haga clic la configuración de usuario en el menú, y complete estos pasos:
    • Ingrese la información del usuario: <username> Red-Admin.
    • El tecleo agrega/edita.
    • Ingrese el Nombre real: Name> <descriptive Red-Admin.
    • Agregue una descripción: choice> del <your.
    • Seleccione la autenticación de contraseña: Base de datos interna ACS.
    • Ingrese la contraseña: ........ <password>.
    • Confirme la contraseña: <password>.
    • Haga clic en Submit (Enviar).


Verificación

La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

Ingrese estos comandos para confirmar que su configuración trabaja correctamente:

  • muestre el dot1x 
  • muestre el resumen del dot1x 
  • muestre la interfaz del dot1x 
  • muestre el <interface> de la interfaz de las sesiones de la autenticación
  • muestre el <interface> de la interfaz de la autenticación
Switch(config)# show dot1x
_________________________________________________
Sysauthcontrol Enabled
Dot1x Protocol Version 3
_________________________________________________
Switch(config)# show dot1x summary
_________________________________________________
Interface PAE Client Status
_________________________________________________
Fa0/4 AUTH
_________________________________________________
Switch(config)# show dot1x interface fa0/4 detail
_________________________________________________
Dot1x Info for FastEthernet0/4
_________________________________________________
PAE = AUTHENTICATOR
PortControl = FORCE_AUTHORIZED
ControlDirection = Both
HostMode = SINGLE_HOST
QuietPeriod = 5
ServerTimeout = 0
SuppTimeout = 30
ReAuthMax = 2
MaxReq = 2
TxPeriod = 10

Troubleshooting

Esta sección proporciona los comandos debug que usted puede utilizar para resolver problemas su configuración.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

  • haga el debug del dot1x todo
  • debug authentication todo
  • radio del debug (proporciona la información del radio en el nivel de debug)
  • autenticación aaa del debug (debug para la autenticación)
  • debug aaa authorization (debug para la autorización)

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 116506