Configurar a autenticação de porta 802.1X nos switches inteligentes Cisco Sx220 Series

Objetivo

O objetivo deste artigo é mostrar como configurar a autenticação de porta nos switches inteligentes Sx220 Series.

A Autenticação de Porta 802.1X permite a configuração de parâmetros 802.1X para cada porta do dispositivo. Uma porta que solicita autenticação é chamada de solicitante. O autenticador é um switch ou um ponto de acesso que atua como um protetor de rede para os solicitantes. O autenticador encaminha mensagens de autenticação ao servidor RADIUS para que uma porta possa ser autenticada e possa enviar e receber informações.

Dispositivos aplicáveis

• Série Sx220

Versão de software

• 1.1.0.14

Configurar a autenticação de porta

Etapa 1. Inicie a sessão no utilitário baseado na Web do switch e selecione Security > 802.1X > Port Authentication.

Etapa 2. Clique no botão de opção da porta que deseja configurar e, em seguida, clique em Editar.

Observação: neste exemplo, a Porta GE4 é escolhida.

Etapa 3. A janela Edit Port Authentication será exibida. Na lista suspensa Interface, certifique-se de que a porta especificada seja a escolhida na Etapa 2. Caso contrário, clique na seta suspensa e escolha a porta direita.

Etapa 4. Escolha um botão de opção para o Controle de porta administrativo. Isso determinará o estado de autorização da porta. As opções são:

• Desativado — Desativa 802.1X. Este é o estado padrão.
• Force Unauthorized — nega o acesso à interface movendo a interface para o estado não autorizado. O switch não fornece serviços de autenticação ao cliente através da interface.
• Auto — Ativa a autenticação e autorização baseadas em portas no switch. A interface se move entre um estado autorizado ou não autorizado com base na troca de autenticação entre o switch e o cliente.
• Force Authorized — Autoriza a interface sem autenticação.

Observação: neste exemplo, Auto (Automático) é escolhido.

Etapa 5. (Opcional) Escolha um botão de opção para a Atribuição de VLAN RADIUS. Isso habilitará a atribuição de VLAN dinâmica na porta especificada. As opções são:

• Desativado — Ignora o resultado de autorização da VLAN e mantém a VLAN original do host. Esta é a ação padrão.
• Rejeitar — Se a porta especificada receber uma informação autorizada de VLAN, ela usará a informação. No entanto, se não houver informações autorizadas de VLAN, ele rejeitará o host e o tornará não autorizado.
• Estática — Se a porta especificada receber uma informação autorizada de VLAN, ela usará a informação. No entanto, se não houver informações autorizadas de VLAN, ele manterá a VLAN original do host.

Observação: se houver uma VLAN com informações autorizadas do RADIUS, mas a VLAN não tiver sido criada administrativamente no DUT (Device Under Test), a VLAN será criada automaticamente. Neste exemplo, Static é escolhido.

Dica Rápida: Para que o recurso de Atribuição de VLAN Dinâmica funcione, o switch exige que os seguintes atributos de VLAN sejam enviados pelo servidor RADIUS:

• [64] Tipo de túnel = VLAN (tipo 13).
• [65] Tipo de túnel médio = 802 (tipo 6).
• [81] Tunnel-Private-Group-Id = VLAN ID

Etapa 6. (Opcional) Marque a caixa de seleção Habilitar para que a VLAN de convidado use uma VLAN de convidado para portas não autorizadas.

Passo 7. Marque a caixa de seleção Habilitar para Reautenticação periódica. Isso ativará as tentativas de reautenticação de porta após o período de reautenticação especificado.

Observação: esse recurso está habilitado por padrão.

Etapa 8. Insira um valor no campo Período de reautenticação. Este é o tempo em segundos para reautenticar a porta.

Observação: neste exemplo, o valor padrão 3600 é usado.

Etapa 9. (Opcional) Marque a caixa de seleção Reautenticar agora para ativar a reautenticação imediata de porta.

Observação: o campo Authenticator State exibe o estado atual da autenticação.

Observação: se a porta não estiver no estado Force Authorized (Forçar autorização) ou Force Unauthorized (Forçar não autorização), ela estará no modo automático e o autenticador exibirá o estado da autenticação em andamento. Após a porta ser autenticada, o estado é mostrado como Authenticated.

Etapa 10. No campo Max Hosts, insira o número máximo de hosts autenticados permitidos na porta específica. Esse valor só tem efeito no modo de várias sessões.

Observação: neste exemplo, o valor padrão 256 é usado.

Etapa 11. No campo Quiet Period, insira o número de segundos em que o switch permanece no estado silencioso após uma troca de autenticação com falha. Quando o switch está no estado silencioso, isso significa que ele não está ouvindo novas solicitações de autenticação do cliente.

Observação: neste exemplo, o valor padrão 60 é usado.

Etapa 12. No campo Resending EAP, insira o número de segundos que o switch espera por uma resposta a uma solicitação EAP (Extensible Authentication Protocol) ou a um quadro de identidade do solicitante (cliente) antes de reenviar a solicitação.

Observação: neste exemplo, o valor padrão 30 é usado.

Etapa 13. No campo Max EAP Requests, insira o número máximo de solicitações EAP que podem ser enviadas. Se uma resposta não for recebida após o período definido (timeout do solicitante), o processo de autenticação será reiniciado.

Observação: neste exemplo, o valor padrão 2 é usado.

Etapa 14. No campo Supplicant Timeout, insira o número de segundos que decorrem antes que as solicitações EAP sejam reenviadas ao suplicante.

Observação: neste exemplo, o valor padrão 30 é usado.

Etapa 15. No campo Server Timeout, insira o número de segundos que devem transcorrer antes que o switch reenvie uma solicitação ao servidor de autenticação.

Observação: neste exemplo, o valor padrão 30 é usado.

Etapa 16. Clique em Apply.

Agora você deve ter configurado com êxito a Autenticação de porta em seu switch.

Histórico de revisões