Configuração de propriedades do 802.1x em switch empilhável do Sx500 Series

Objetivo

O IEEE 802.1X é um padrão que facilite o controle de acesso entre um cliente e um server. Antes que os serviços possam ser proporcionados a um cliente por um LAN ou comutar o cliente conectado à porta de switch tem que ser autenticado pelo Authentication Server que executa o Remote Authentication Dial-In User Service (RADIUS) neste caso. Para permitir a autenticação com base na porta do 802.1x, o 802.1x deve ser permitido globalmente no interruptor.

Para configurar inteiramente o 802.1x, as seguintes configurações têm que ser feitas:

1. Crie um VLAN, clique-o aqui.
2. Atribua a porta ao VLAN, continue o artigo provido acima. Para configurar no CLI, clique aqui. 
3. Configurar a autenticação da porta, clique-a aqui. 

Este artigo explica como configurar as propriedades do 802.1x, que incluem propriedades da autenticação e do convidado VLAN. Refira por favor os artigos acima para outras configurações. O convidado VLAN fornece o acesso aos serviços que não exigem os dispositivos ou as portas de subscrição a ser autenticados e autorizado através do 802.1x ou da autenticação com base em MAC.

Dispositivos aplicáveis

• Switch empilhável do Sx500 Series

Versão de software

• 1.3.0.62

Permita a autenticação baseada porta e o convidado VLAN em propriedades do 802.1x

Etapa 1. Entre ao utilitário de configuração da Web para escolher a Segurança > o 802.1X > as propriedades. A página das propriedades abre:

Etapa 2. A verificação permite no campo com base na porta da autenticação de permitir a autenticação com base na porta do 802.1x.

Etapa 3. Clique o botão de rádio desejado do campo do método de autenticação. O servidor Radius executa a autenticação do cliente. Este server valida se o usuário está autenticado ou não e notifica o interruptor mesmo se o acesso está permitido ao cliente ao LAN e a outros serviços do interruptor. O interruptor atua como um proxy e o server é transparente ao cliente.

• RAIO, nenhum — Isto executa a autenticação da porta primeiramente com a ajuda do servidor Radius. Se não há nenhuma resposta do server como quando o server está para baixo, a seguir nenhuma autenticação está executada e a sessão é permitida. Se o server está disponível e as credenciais do usuário estão incorretas alcançam então estão negadas e a sessão é terminada.

• RAIO — Isto executa a autenticação da porta baseada no servidor Radius.  Se há nenhuma autenticação executou a sessão está terminada então.

• Nenhum — Não autentica o usuário e permite a sessão.

A verificação (opcional) de etapa 4. permite de permitir o uso de um convidado VLAN para portas desautorizadas no campo do convidado VLAN. Se um convidado VLAN é permitido, todas as portas desautorizadas se juntam automaticamente ao VLAN escolhido no campo do ID de VLAN do convidado. Se uma porta é autorizada mais tarde, está removida do convidado VLAN.

Um modo do convidado VLAN deve ser configurado antes que você possa usar o modo da autenticação de MAC. A estrutura do 802.1x permite um dispositivo (o suplicante) de pedir o acesso da porta de um dispositivo remoto (autenticador) a que é conectado. Somente quando o suplicante que pede o acesso da porta é autenticado e autorizado é permitiu para enviar dados à porta. Se não, o autenticador rejeita os dados do suplicante a menos que os dados forem enviados a um convidado VLAN e/ou VLAN não-autenticados.

Nota: O convidado VLAN, se configurado, é um VLAN estático com as seguintes características:

• Deve manualmente ser definido de uma estática existente VLAN.
• Está automaticamente disponível somente aos dispositivos ou às portas desautorizadas dos dispositivos que são conectados e Convidado-VLAN-permitidos.
• Se uma porta Convidado-VLAN-é permitida, o interruptor adiciona automaticamente a porta como um membro do sem etiqueta do convidado VLAN quando a porta não é autorizada, e remove a porta do convidado VLAN quando o primeiro suplicante da porta é autorizado.
• O convidado VLAN não pode ser usado como a Voz VLAN e um VLAN não-autenticado.

Timesaver: Se o convidado VLAN é desabilitado, a seguir faixa clara a pisar 7.

Etapa 5. Escolha o ID de VLAN do convidado da lista de VLAN na lista de drop-down do ID de VLAN do convidado.

Etapa 6. Clique o botão de rádio desejado no campo do intervalo do convidado VLAN. As opções disponíveis são:

• Imediato — O convidado VLAN expira após um período de tempo dos segundos 10.

• Definido pelo utilizador — Incorpore o período de tempo manualmente ao campo definido pelo utilizador.

Nota: Após a associação, se o software não detecta um suplicante do 802.1x ou se a autenticação da porta falhou, a seguir a porta está adicionada ao convidado VLAN somente depois que o período de timeout do convidado VLAN expira. Se a porta muda do autorizado ao não autorizado, a porta está adicionada ao convidado VLAN somente depois que o período de timeout do convidado VLAN expira. A tabela da autenticação VLAN indica todos os VLAN e mostra se a autenticação está permitida neles ou não.

Etapa 7. O clique aplica-se para salvar os ajustes.

Configuração de VLAN não-autenticado

Quando o 802.1x é permitido, as portas ou os dispositivos desautorizados não está permitido o acesso ao VLAN a menos que forem parte do convidado VLAN ou um VLAN não-autenticado. As portas precisam de ser adicionadas manualmente aos VLAN com o uso da porta à página VLAN.

Etapa 1. Entre ao utilitário de configuração da Web para escolher a Segurança > o 802.1X > as propriedades. A página das propriedades abre.

Etapa 2. Enrole para baixo a página a tabela da autenticação VLAN, clique o botão de rádio do VLAN em que você quer desabilitar a autenticação, e o clique edita. A página da autenticação da edição VLAN abre.

Etapa 3. (opcional) escolhe um ID de VLAN da lista de drop-down do ID de VLAN.

Etapa 4. Desmarcar permitem de desabilitar a autenticação e fazer ao VLAN um VLAN não-autenticado.

Etapa 5. O clique aplica-se para aplicar os ajustes. As mudanças são feitas à tabela da autenticação VLAN: