Switches : Switches Cisco Catalyst de la serie 6500

Ejemplo de configuración de autenticación IEEE 802.1x con Catalyst 6500/6000 que ejecuta software CatOS

16 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (19 Marzo 2007) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Convenciones
Antecedentes
Configuración
      Diagrama de la red
      Configuración de un switch Catalyst para autenticación 802.1x
      Configuración del servidor RADIUS
      Configuración de clientes PC para utilizar autenticación 802.1x
Verificación
      Clientes PC
      Catalyst 6500
Resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento explica cómo configurar IEEE 802.1x en un Catalyst 6500/6000 que se ejecuta en modo híbrido (CatOS en el motor supervisor y software Cisco IOS® en MSFC) y un servidor de servicio de usuario de acceso telefónico de autenticación remota (RADIUS) para autenticación y asignación de VLAN.

Requisitos previos

Requerimientos

Quienes lean este documento deben tener conocimiento de los siguientes temas:

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • Catalyst 6500 que ejecuta el software CatOS versión 8.5(6) en el motor supervisor y software Cisco IOS versión 12.2(18)SXF en el MSFC.

    Nota: Necesita la versión 6.2 de CataOS u otra posterior para admitir la autenticación 802.1x basada en puertos.

    Nota: En versiones de software anteriores a la 7.2(2), una vez que el host 802.1x se ha autenticado, se une a una VLAN configurada en NVRAM. Con las versiones de software 7.2(2) y posteriores, tras la autenticación, un host 802.1x puede recibir su asignación VLAN desde el servidor RADIUS.

  • En este ejemplo se utiliza 4.1 de Cisco Secure Access Control Server (ACS) 4.1 como servidor RADIUS.

    Nota: Se debe especificar un servidor RADIUS antes de activar 802.1x en el switch.

  • Clientes PC que admiten autenticación 802.1x.

    Nota: En este ejemplo se utilizan clientes Microsoft Windows XP.

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Antecedentes

El estándar IEEE 802.1x define un control de acceso basado en cliente-servidor y un protocolo de autenticación que impide que los dispositivos no autorizados se conecten a una LAN a través de puertos de acceso público. 802.1x controla el acceso a la red mediante la creación de dos puntos de acceso virtuales diferentes en cada puerto. Un punto de acceso es un puerto no controlado, mientras que el otro es un puerto controlado. Todo el tráfico de un solo puerto está disponible para ambos puntos de acceso. 802.1x autentica cada uno de los dispositivos de usuario que se encuentra conectado a un puerto del switch y asigna dicho puerto a una VLAN antes de facilitar cualquiera de los servicios que ofrecen el switch o la LAN. Hasta que el dispositivo no está autenticado, el control de acceso 802.1x sólo permite tráfico de protocolo de autenticación extensible (EAP) sobre LAN (EAPOL) a través del puerto al que el dispositivo se encuentra conectado. Una vez que se ha llevado a cabo una autenticación correcta, el tráfico normal puede pasar a través del puerto.

Configuración

En esta sección encontrará la información para configurar la función 802.1x descrita en este documento.

Nota: Utilice la herramienta Command Lookup Tool (sólo para clientes registrados) para obtener más información acerca de los comandos utilizados en esta sección.

Esta configuración requiere los siguientes pasos:

Diagrama de la red

En este documento se utiliza la siguiente configuración de red:

8021xauth-cat65k1.gif

  • Servidor RADIUS: lleva a cabo la autenticación del cliente. El servidor RADIUS valida la identidad del cliente y notifica al switch si el cliente está o no autorizado a acceder a los servicios de la LAN y del switch. Aquí, el servidor RADIUS está configurado para autenticación y asignación de VLAN.

  • Switch: controla el acceso físico a la red mediante el estado de autenticación del cliente. El switch actúa como un intermediario (proxy) entre el cliente y el servidor RADIUS y, de este modo, solicita información sobre la identidad del cliente, verifica dicha información con el servidor RADIUS y envía una respuesta al cliente. Aquí, el switch Catalyst 6500 está configurado también como un servidor DHCP. El soporte de autenticación 802.1x para el protocolo de configuración de host dinámico (DHCP) permite al servidor DHCP asignar las direcciones IP a las diferentes clases de usuarios finales, agregando la identidad del usuario autenticado al proceso de detección DHCP.

  • Clientes: dispositivos (estaciones de trabajo) que solicitan acceso a los servicios de la LAN y del switch y que responden a solicitudes del switch. Aquí los PC del 1 al 4 son clientes que solicitan un acceso autenticado a una red. Los PC 1 y 2 utilizarán la misma credencial de inicio de sesión para VLAN 2. De manera similar, los PC 3 y 4 utilizarán una credencial de inicio de sesión para VLAN 3. Los clientes PC están configurados para alcanzar la dirección IP desde un servidor DHCP.

    Nota: En esta configuración, a los clientes que se conecten al switch mediante una autenticación incorrecta o aquellos que no puedan llevar cabo la autenticación 802.1x, se les negará el acceso a la red y se les trasladará a una VLAN que no este en uso (VLAN 4 o 5) mediante las funciones de fallo de autenticación y VLAN de invitado.

Configuración de un switch Catalyst para autenticación 802.1x

Este ejemplo de configuración de switch incluye:

  • Activación de autenticación 802.1x y funciones asociadas en puertos FastEthernet

  • Conexión del servidor RADIUS a VLAN 10 detrás del puerto FastEthernet 3/1

  • Configuración de un servidor DHCP para dos agrupaciones IP, una para clientes en VLAN 2 y otra para clientes en VLAN 3

  • Enrutamiento entre VLANs para tener conectividad entre clientes una vez efectuada la autenticación

Consulte Pautas de configuración de autenticación (en inglés) para obtener más información sobre cómo configurar la autenticación 802.1x.

Nota: Asegúrese de que el servidor RADIUS siempre se conecta detrás de un puerto autorizado.

Catalyst 6500

Console (enable) set system name Cat6K
System name set.

!--- Sets the hostname for the switch.

Cat6K> (enable) set localuser user admin password cisco
Added local user admin.
Cat6K> (enable) set localuser authentication enable
LocalUser authentication enabled

!--- Uses local user authentication to access the switch.

Cat6K> (enable) set vtp domain cisco
VTP domain cisco modified

!--- Domain name must be configured for VLAN configuration.

Cat6K> (enable) set vlan 2 name VLAN2
VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 2 configuration successful

!--- VLAN should be existing in the switch
!--- for a successsful authentication.

Cat6K> (enable) set vlan 3 name VLAN3
VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 3 configuration successful

!--- VLAN names will be used in RADIUS server for VLAN assignment.

Cat6K> (enable) set vlan 4 name AUTHFAIL_VLAN
VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 4 configuration successful

!--- A VLAN for non-802.1x capable hosts.

Cat6K> (enable) set vlan 5 name GUEST_VLAN
VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 4 configuration successful

!--- A VLAN for failed authentication hosts.

Cat6K> (enable) set vlan 10 name RADIUS_SERVER
VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 10 configuration successful

!--- This is a dedicated VLAN for the RADIUS Server.

Cat6K> (enable) set interface sc0 10 172.16.1.2 255.255.255.0
Interface sc0 vlan set, IP address and netmask set.

!--- Note: 802.1x authentication always uses the
!--- sc0 interface as the identifier for the authenticator
!--- when communicating with the RADIUS server.

Cat6K> (enable) set vlan 10 3/1
VLAN 10 modified.
VLAN 1 modified.
VLAN  Mod/Ports
---- -----------------------
10    3/1

!--- Assigns port connecting to RADIUS server to VLAN 10.

Cat6K> (enable) set radius server 172.16.1.1 primary
172.16.1.1 with auth-port 1812 acct-port 1813
added to radius server table as primary server.

!--- Sets the IP address of the RADIUS server.

Cat6K> (enable) set radius key cisco
Radius key set to cisco

!--- The key must match the key used on the RADIUS server.

Cat6K> (enable) set dot1x system-auth-control enable
dot1x system-auth-control enabled.
Configured RADIUS servers will be used for dot1x authentication.

!--- Globally enables 802.1x.
!--- You must specify at least one RADIUS server before
!--- you can enable 802.1x authentication on the switch.

Cat6K> (enable) set port dot1x 3/2-48 port-control auto
Port 3/2-48 dot1x port-control is set to auto.
Trunking disabled for port 3/2-48 due to Dot1x feature.
Spantree port fast start option enabled for port 3/2-48.

!--- Enables 802.1x on all FastEthernet ports.
!--- This disables trunking and enables portfast automatically.

Cat6K> (enable) set port dot1x 3/2-48 auth-fail-vlan 4
Port 3/2-48 Auth Fail Vlan is set to 4

!--- Ports will be put in VLAN 4 after three
!--- failed authentication attempts.

Cat6K> (enable) set port dot1x 3/2-48 guest-vlan 5
Ports 3/2-48 Guest Vlan is set to 5

!--- Any non-802.1x capable host connecting or 802.1x
!--- capable host failing to respond to the username and password
!--- authentication requests from the Authenticator is placed in the
!--- guest VLAN after 60 seconds.
!--- Note: An authentication failure VLAN is independent
!--- of the guest VLAN. However, the guest VLAN can be the same
!--- VLAN as the authentication failure VLAN. If you do not want to
!--- differentiate between the non-802.1x capable hosts and the
!--- authentication failed hosts, you can configure both hosts to
!--- the same VLAN (either a guest VLAN or an authentication failure VLAN).
!--- For more information, refer to
!--- Understanding How 802.1x Authentication for the Guest VLAN Works.

Cat6K> (enable) switch console
Trying Router-16...
Connected to Router-16.
Type ^C^C^C to switch back...

!--- Transfers control to the routing module (MSFC).

Router>enable
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#interface vlan 10
Router(config-if)#ip address 172.16.1.3 255.255.255.0

!--- This is used as the gateway address in RADIUS server.

Router(config-if)#no shut
Router(config-if)#interface vlan 2
Router(config-if)#ip address 172.16.2.1 255.255.255.0
Router(config-if)#no shut

!--- This is the gateway address for clients in VLAN 2.

Router(config-if)#interface vlan 3
Router(config-if)#ip address 172.16.3.1 255.255.255.0
Router(config-if)#no shut

!--- This is the gateway address for clients in VLAN 3.

Router(config-if)#exit
Router(config)#ip dhcp pool vlan2_clients
Router(dhcp-config)#network 172.16.2.0 255.255.255.0
Router(dhcp-config)#default-router 172.16.2.1

!--- This pool assigns ip address for clients in VLAN 2.

Router(dhcp-config)#ip dhcp pool vlan3_clients
Router(dhcp-config)#network 172.16.3.0 255.255.255.0
Router(dhcp-config)#default-router 172.16.3.1

!--- This pool assigns ip address for clients in VLAN 3.

Router(dhcp-config)#exit
Router(config)#ip dhcp excluded-address 172.16.2.1
Router(config)#ip dhcp excluded-address 172.16.3.1

!--- In order to go back to the Switching module,
!--- enter Ctrl-C three times.

Router#
Router#^C
Cat6K> (enable)
Cat6K> (enable) show vlan
VLAN Name               Status    IfIndex Mod/Ports, Vlans
---- ------------------ --------- ------- ------------------------


1    default                          active    6       2/1-2
                                                        3/2-48
2    VLAN2                            active    83
3    VLAN3                            active    84
4    AUTHFAIL_VLAN                    active    85
5    GUEST_VLAN                       active    86
10   RADIUS_SERVER                    active    87      3/1
1002 fddi-default                     active    78
1003 token-ring-default               active    81
1004 fddinet-default                  active    79
1005 trnet-default                    active    80

!--- Output suppressed.
!--- All active ports will be in VLAN 1 (except 3/1) before authentication.

Cat6K> (enable) show dot1x
PAE Capability             Authenticator Only
Protocol Version           1
system-auth-control        enabled
max-req                    2
quiet-period               60 seconds
re-authperiod              3600 seconds
server-timeout             30 seconds
shutdown-timeout           300 seconds
supp-timeout               30 seconds
tx-period                  30 seconds

!--- Verifies dot1x status before authentication.

Cat6K> (enable)

Configuración del servidor RADIUS

El servidor RADIUS está configurado con la dirección IP estática 172.16.1.1/24. Siga estos pasos para configurar el servidor RADIUS para un cliente AAA:

  1. Para configurar un cliente AAA, haga clic en Network Configuration (Configuración de red) en la ventana de administración de ACS.

  2. Haga clic en Add Entry (Agregar entrada) debajo de la sección de clientes AAA.

    8021xauth-cat65k2.gif

  3. Configure el nombre de host, la dirección IP, la clave secreta compartida y el tipo de autenticación del cliente AAA como se indica a continuación:

    • AAA client hostname (Nombre de host de cliente AA): nombre de host del switch (Cat6K).

    • AAA client IP address (Dirección IP de cliente AAA): dirección IP (sc0) de la interfaz de administración del switch (172.16.1.2).

    • Shared Secret (Secreto compartido): clave de Radius configurada en el switch (cisco).

    • Authenticate Using (Tipo de autenticación): RADIUS IETF.

    Nota: Para un correcto funcionamiento, la clave secreta compartida debe ser idéntica en el cliente AAA y en el ACS. Las claves distinguen entre mayúsculas y minúsculas.

  4. Haga clic en Submit + Apply (Enviar+Aplicar) para hacer efectivos dichos cambios, tal y como muestra el ejemplo:

    8021xauth-cat65k3.gif

Siga estos pasos para configurar el servidor RADIUS para autenticación, VLAN y asignación de dirección IP:

Debe crear dos nombres de usuario diferentes para clientes que se conectan a VLAN 2 y a VLAN 3. Aquí, para tal efecto, se crea un usuario user_vlan2 para clientes que se conectan a VLAN 2 y un usuario user_vlan3 para clientes que se conectan a VLAN 3.

Nota: Aquí, la configuración de usuario se muestra para clientes que se conectan únicamente a VLAN 2. Para usuarios que se conectan a VLAN 3, siga el mismo proceso.

  1. Para agregar y configurar usuarios, haga clic en User Setup (Configuración de usuario) y especifique el nombre de usuario y la contraseña.

    8021xauth-cat65k4.gif

    8021xauth-cat65k5.gif

  2. Defina la asignación de dirección IP de cliente como Assigned by AAA client pool (Asignada por una agrupación de cliente AAA). Introduzca el nombre de la agrupación de direcciones IP configurada en el switch para clientes VLAN 2.

    8021xauth-cat65k6.gif

    Nota: Seleccione esta opción e introduzca en la casilla el nombre de agrupación de IP de cliente AAA, sólo si el usuario debe tener la dirección IP asignada por una agrupación de direcciones IP configurada en el cliente AAA.

  3. Defina los atributos 64 y 65 del Grupo de trabajo en ingeniería de Internet (IETF).

    Asegúrese de que las casillas Tag (Etiqueta) de los valores están configuradas en 1 tal y como muestra el ejemplo. Catalyst ignora cualquier otra etiqueta que no sea 1. Para asignar un usuario a una VLAN específica, debe definir también el atributo 8 con el nombre de la VLAN que corresponda.

    Nota: El nombre de la VLAN deberá ser exactamente el mismo que el que se configuró en el switch.

    Nota: CatOS no admite la asignación de VLAN que se basa en el número de VLAN.

    8021xauth-cat65k7.gif

    Consulte RFC 2868: Atributos de RADIUS para soporte a protocolo de túnel leavingcisco.com para obtener más información acerca de estos atributos IETF.

    Nota: En la configuración inicial del servidor ACS, puede que los atributos IETF de RADIUS no aparezcan en User Setup (Configuración de usuario). Elija Interface configuration > RADIUS (IETF) (Configuración de la interfaz > RADIUS (IETF)) para activar los atributos IETF en la pantalla de configuración del usuario. A continuación, active los atributos 64, 65, y 81 en las columnas de usuario y grupo.

Configuración de clientes PC para utilizar autenticación 802.1x

Este ejemplo es exclusivamente para el protocolo de autenticación extensible (EAP) sobre cliente LAN (EAPOL) de Microsoft Windows XP. Complete estos pasos:

  1. Seleccione Start > Control Panel > Network Connections, (Inicio > Panel de control > Conexiones de red) y a continuación haga clic en Local Area Connection (Conexión de área local) y seleccione Properties (Propiedades).

  2. Active Show icon in notification area when connected (Mostrar icono en el área de notificación al conectarse) en la ficha General.

  3. En la ficha Authentication (Autenticación), active Enable IEEE 802.1x authentication for this network (Habilitar la autenticación IEEE 802.1x en esta red).

  4. Establezca el tipo de EAP en MD5-Challenge (Desafío-MD5) tal como se muestra en el ejemplo:

    8021xauth-cat65k8.gif

Siga estos pasos para configurar los clientes y obtener una dirección IP de un servidor DHCP:

  1. Seleccione Start > Control Panel > Network Connections, (Inicio > Panel de control > Conexiones de red) y a continuación haga clic en Local Area Connection (Conexión de área local) y seleccione Properties (Propiedades).

  2. En la ficha General, haga clic en Internet Protocol (TCP/IP) (Protocolo de Internet (TCP/IP)) y a continuación en Properties (Propiedades).

  3. Seleccione Obtain an IP address automatically (Obtener una dirección IP automáticamente).

    8021xauth-cat65k9.gif

Verificación

Utilice esta sección para confirmar que la configuración funciona correctamente.

La herramienta Output Interpreter (Intérprete de resultados) (OIT) (sólo para clientes registrados) admite determinados comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Clientes PC

Si ha completado la configuración correctamente, aparecerá un mensaje en los clientes PC para la introducción de un nombre de usuario y contraseña.

  1. Haga clic en el mensaje, que se muestra en este ejemplo:

    8021xauth-cat65k10.gif

    Aparecerá una ventana para introducir el nombre de usuario y contraseña.

  2. Introduzca el nombre de usuario y contraseña.

    8021xauth-cat65k11.gif

    Nota: En PC 1 y 2, introduzca los credenciales de usuario VLAN 2. En PC 3 y 4, introduzca los credenciales de usuario VLAN 3.

  3. Si no aparece ningún mensaje de error, verifique la conectividad mediante los métodos usuales, como el acceso a los recursos de la red y el comando ping. Éste es un resultado de PC 1, que muestra un ping correcto a PC 4:

    8021xauth-cat65k12.gif

    Si aparece este mensaje de error, verifique que el nombre de usuario y la contraseña son correctos:

    8021xauth-cat65k13.gif

Catalyst 6500

Si el nombre de usuario y la contraseña son correctos, verifique el estado del puerto 802.1x en el switch.

  1. Busque un estado de puerto que indique authorized(autorizado).

    Cat6K> (enable) show port dot1x 3/1-5
    
    Port  Auth-State          BEnd-State Port-Control        Port-Status
    ----- ------------------- ---------- ------------------- -------------
     3/1  force-authorized   idle       force-authorized    authorized
     
    !--- This is the port to which RADIUS server is connected.
    
     3/2  authenticated       idle       auto                authorized
     3/3  authenticated       idle       auto                authorized
     3/4  authenticated       idle       auto                authorized
     3/5  authenticated       idle       auto                authorized
    
    Port  Port-Mode     Re-authentication    Shutdown-timeout
    ----- ------------- -----------------    ----------------
     3/1  SingleAuth    disabled             disabled
     3/2  SingleAuth    disabled             disabled
     3/3  SingleAuth    disabled             disabled
     3/4  SingleAuth    disabled             disabled
     3/5  SingleAuth    disabled             disabled

    Verifique el estado de la VLAN una vez que se haya completado correctamente la autenticación.

    Cat6K> (enable) show vlan
    VLAN Name                             Status    IfIndex Mod/Ports, Vlans
    ---- -------------------------------- --------- ------- ------------------------
    
    1    default                          active    6       2/1-2
                                                            3/6-48
    2    VLAN2                            active    83      3/2-3
    3    VLAN3                            active    84      3/4-5
    4    AUTHFAIL_VLAN                    active    85
    5    GUEST_VLAN                       active    86
    10   RADIUS_SERVER                    active    87      3/1
    1002 fddi-default                     active    78
    1003 token-ring-default               active    81
    1004 fddinet-default                  active    79
    1005 trnet-default                    active    80
    
    !--- Output suppressed.
    
    
  2. Verifique el estado de vinculación de DHCP desde el módulo de enrutamiento (MSFC) una vez que se haya completado correctamente la autenticación.

    Router#show ip dhcp binding
    IP address       Hardware address        Lease expiration        Type
    172.16.2.2       0100.1636.3333.9c       Feb 14 2007 03:00 AM    Automatic
    172.16.2.3       0100.166F.3CA3.42       Feb 14 2007 03:03 AM    Automatic
    172.16.3.2       0100.145e.945f.99       Feb 14 2007 03:05 AM    Automatic
    172.16.3.3       0100.1185.8D9A.F9       Feb 14 2007 03:07 AM    Automatic

Resolución de problemas

Actualmente, no hay información específica disponible sobre resolución de problemas para esta configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 81871