Configurando o 802.1X no Switches do SG300 Series

Objetivo

o 802.1X é um padrão de IEEE essa autenticação com base na porta dos implementares. Se um 802.1X dos USOS de porta, então qualquer cliente que usar essa porta (referida como o suplicante) deve apresentar credenciais corretas antes de ser concedida o acesso à rede. Um dispositivo que execute o 802.1X (referido como o autenticador) deve poder comunicar-se com um server dos radius (serviço de usuário de discagem de autenticação remota) que esteja em outra parte na rede. Este server contém uma lista de usuários válidos o acesso é permitido que à rede; todas as credenciais enviadas pelo autenticador (dado a ele pelo suplicante) devem combinar esses guardados pelo servidor Radius. Em caso afirmativo, o server diz o autenticador para conceder o acesso ao usuário; se não, o autenticador negará o acesso.

O padrão do 802.1X é uma boa medida de Segurança em impedir que os usuários indesejáveis acedam à rede obstruindo dentro a uma porta física. Note por favor isso para que o 802.1X trabalhe, um servidor Radius deve já ser configurado em outra parte na rede, e o autenticador deve poder comunicar-se com ele.

O objetivo deste documento é mostrar-lhe como estabelecer o 802.1X no Switches do SG300 Series.

Dispositivos aplicáveis

• Switches do SG300 Series

Versão de software

• v1.4.1.3

Estabelecendo a autenticação do 802.1X

Adicionando um servidor Radius

Etapa 1. Entre ao utilitário de configuração da Web e escolha a Segurança > o RAIO. A página do RAIO abre.

Etapa 2. No campo da contabilidade do RAIO, escolha um botão de rádio selecionar que tipo de informação de contabilidade o servidor Radius será dado. Um servidor Radius pode ser dado a informação de contabilidade que se mantém a par do tempo de sessão de um usuário, que recursos usam, e outras coisas. A opção selecionada aqui não impactará o desempenho do 802.1X.

As opções são:

• A porta baseou o controle de acesso – Esta opção envia a informação de contabilidade sobre sessões autenticadas com base na porta ao servidor Radius.

• Acesso de gerenciamento – Esta opção envia a informação de contabilidade sobre as sessões de gerenciamento do interruptor ao servidor Radius.

• A porta baseou o controle de acesso e o acesso de gerenciamento – Esta opção envia ambos os tipos de informação de contabilidade ao servidor Radius.

• Nenhum – Não envie a informação de contabilidade ao servidor Radius.

Etapa 3. Na área de parâmetros padrão do uso, configurar os ajustes que estarão usados à revelia a menos que um servidor Radius adicionado for configurado com seus próprios ajustes específicos; cada entrada que do servidor individual você adiciona ao interruptor pode usar os padrões ou separar ajustes originais. Para este artigo, nós usaremos as configurações padrão definidas nesta seção.

Configurar os seguintes ajustes:

• Retries – Entre no número de vezes que o interruptor tentará contactar um servidor Radius antes de se mover para o server seguinte. O padrão é 3.

• Intervalo para a resposta – Incorpore o número de segundos onde o interruptor esperará uma resposta do servidor Radius antes de tomar uma ação mais adicional (que tenta outra vez ou que dá acima). O padrão é 3.

• Período inoperante – Incorpore o número de minutos que decorre antes que um servidor Radius NON-responsivo esteja passado sobre para pedidos do serviço. O padrão é 0; este valor significa que o server não está contorneado.

• Corda chave – Incorpore a chave secreta usada autenticando entre o interruptor e o servidor Radius. Se você tem uma chave cifrada, incorpore-a com o botão de rádio cifrado; se não, incorpore a chave do texto simples com o botão de rádio do texto simples.

• Relação da fonte IPv4/IPv6 – Use estas listas de drop-down para escolher que a interface de origem IPv4/IPv6 será usada ao se comunicar com o servidor Radius. O padrão é auto, que usará o endereço IP de origem do padrão definido na interface enviada.

Etapa 4. O clique aplica-se. As configurações padrão serão aplicadas.

Etapa 5. A tabela do RAIO mostrará as entradas do servidor Radius configuradas atualmente no interruptor. Para adicionar uma entrada nova, clique o botão adicionar…. O indicador do servidor Radius adicionar abrirá.

Etapa 6. No campo de definição do server, escolha se contactar o servidor Radius pelo endereço IP de Um ou Mais Servidores Cisco ICM NT ou por nome (hostname). Se você selecionou pelo endereço IP de Um ou Mais Servidores Cisco ICM NT, selecione para usar o IPv6 (versão 6) ou o IPv4 (versão 4). Se você selecionou a versão 6, use a interface local do tipo de endereço e do link do IPv6 para especificar o endereço do IPv6 que será usado.

Passo 7. No endereço IP do servidor/campo de nome, entre no endereço IP de Um ou Mais Servidores Cisco ICM NT ou no hostname do servidor Radius.

Etapa 8. No campo de prioridade, incorpore a prioridade que você quer atribuir a este server; o interruptor tentará contactar o server com a prioridade mais alta e continuar abaixo da lista até que encontre um server responsivo. A escala é 0 – 65535, com o 0 que são a prioridade mais alta.

Etapa 9. Selecione o botão de rádio do padrão do uso na corda chave, intervalo para que os campos da resposta, do Retries, e do período inoperante usem os ajustes configurados previamente na página do RAIO. Você pode igualmente selecionar os botões de rádio definidos pelo utilizador para configurar os ajustes que são diferentes dos padrões; se você faz este, estes ajustes estarão usados somente para este servidor Radius específico.

Etapa 10. No campo de porta de autenticação, especifique a porta que será usada para uma comunicação da autenticação com o servidor Radius. Recomenda-se que este esteja deixado na porta padrão, 1812.

Etapa 11. No campo de porta de relatório, especifique a porta que será usada para uma comunicação explicando com o servidor Radius. Recomenda-se que este esteja deixado na porta padrão, 1813.

Etapa 12. No uso datilografe o campo, selecionam o que o servidor Radius será usado para. Ao configurar o 802.1X, selecione o 802.1x ou todos os botões de rádio para usar o servidor Radius para a autenticação da porta do 802.1X.

Etapa 13. Clique em Apply. O server será adicionado à tabela do RAIO. Para permitir a autenticação com base na porta do 802.1X, continue por favor à próxima seção.

Permitindo a autenticação com base na porta

Etapa1. No utilitário de configuração da Web, vá à Segurança > à autenticação 802.1X/MAC/Web > às propriedades. A página das propriedades abre.

Etapa 2. No campo com base na porta da autenticação, verifique a caixa de seleção da possibilidade para permitir a autenticação com base na porta. Iss está habilitado por padrão.

Etapa 3. No campo do método de autenticação, escolha um botão de rádio determinar como a autenticação com base na porta trabalhará.

As opções são:

• RAIO, nenhum – O interruptor tentará contactar os server do RAIO definido na página do RAIO. Se nenhuma resposta é recebida dos server, a seguir nenhuma autenticação está executada e a sessão é permitida. Se o server é responsivo, e as credenciais estão incorretas, a seguir a sessão está negada.

• RAIO – O interruptor tentará contactar os server do RAIO definido na página do RAIO. Se nenhuma resposta é recebida dos server, a sessão está negada. Para a aplicação a mais segura do 802.1X, esta opção é recomendada.

• Nenhum – Nenhuma autenticação é executada. Todas as sessões serão permitidas. Esta opção não executará o 802.1X.

Etapa 4. O clique aplica-se.

Etapa 5. Navegue à Segurança > à autenticação 802.1X/MAC/Web > à autenticação da porta. A página da autenticação da porta abre.

Etapa 6. Selecione a porta que você quer configurar selecionando seu botão de rádio na tabela da autenticação da porta e clicando o botão da edição…. A janela de autenticação da porta da edição abre.

Passo 7. No campo de controle administrativo da porta, escolha um botão de rádio determinar como a porta autorizará sessões. O campo de controle atual da porta indica o estado atual da autorização da porta selecionada.

As opções são:

• Força desautorizada – Move a relação em um estado desautorizado. O dispositivo não fornece a autenticação a nenhuns clientes conectada a esta porta, e nega o acesso.

• Auto – Permite a autenticação com base na porta para a porta selecionada. Move a relação entre autorizado e desautorizado segundo o resultado do procedimento de autenticação. Escolha esta opção executar o 802.1X.

• Força autorizada – Move a relação em um estado autorizado. O dispositivo fornecerá o acesso a todo o cliente que conectar a esta porta sem a autenticação.

Etapa 8. Verifique a caixa de seleção da possibilidade no campo baseado 802.1X da autenticação para permitir a autenticação do 802.1X para a porta selecionada.

Etapa 9. O clique aplica-se. A porta deve agora inteiramente ser configurada para a autenticação com base na porta do 802.1X, e está pronta para começar autenticar todos os clientes que lhe conectarem. Use o campo da relação para selecionar uma porta diferente configurar sem ir para trás à página da autenticação da porta.

Etapa 10. Se você quer copiar rapidamente os ajustes de uma porta a uma outra porta ou faixa de porta, clique o botão de rádio da porta que você quer copiar na tabela da autenticação da porta e clicar o botão dos ajustes da cópia…. A janela de configuração da cópia abre.

Etapa 11. No campo de texto, entre na porta ou as portas (separadas por vírgulas) que você quer copiar os ajustes a. Você pode igualmente especificar uma faixa de porta. Então, o clique aplica-se para copiar os ajustes.