Ejemplo de Configuración de Autenticación por Cable 802.1x en un Switch Catalyst Serie 3550 y ACS Versión 4.2

Opciones de descarga

  • PDF     (476.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (198.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (194.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:30 de septiembre de 2013
ID del documento:116506

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento proporciona un ejemplo de configuración básica de IEEE 802.1x con Cisco Access Control Server (ACS) versión 4.2 y el protocolo de servicio de usuario de acceso telefónico de acceso remoto (RADIUS) para la autenticación por cable.

Prerequisites

Requirements

Cisco recomienda que:

  • Confirme la disponibilidad de IP entre ACS y el switch.
  • Asegúrese de que los puertos de protocolo de datagramas de usuario (UDP) 1645 y 1646 estén abiertos entre ACS y el switch.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Catalyst 3550 Series Switches
  • Cisco Secure ACS versión 4.2

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Configurar

Ejemplo de configuración del switch

  1. Para definir el servidor RADIUS y la clave previamente compartida, ingrese este comando:
    Switch(config)# radius-server host 192.168.1.3  key  cisco123


  2. Para habilitar la funcionalidad 802.1x, ingrese este comando:
    Switch(config)# dot1x system-auth-control


  3. Para habilitar globalmente la autenticación, autorización y administración de cuentas (AAA) y la autenticación y autorización RADIUS, ingrese estos comandos:

    Nota: Esto es necesario si necesita pasar atributos desde el servidor RADIUS; de lo contrario, puede omitirlo.



    Switch(config)# aaa new-model
    Switch(config)# aaa authentication dot1x default group radius
    awitch(Config)# aaa authorization network default group radius
    Switch(Config)# aaa accounting dot1x default start-stop group radius


    Switch(config-if)# switchport mode acces
    Switch(config-if)# switchport access vlan  
        
    Switch(config-if)# authentication port-control auto (12.2.50 SE and later)
    Switch(config-if)# dot1x port-control auto (12.2.50 SE and below)
    Switch(config-if)# dot1x pae authenticator (version 12.2(25)SEE and below)
    Switch(config-if)# dot1x timeout quiet-period  
        
    Switch(config-if)# dot1x timeout tx-period

Configuración de ACS

  1. Para agregar el switch como un cliente AAA en ACS, navegue hasta Configuración de red > Agregar cliente AAA de entrada, e ingrese esta información:
    • Dirección IP: <IP>
    • Secreto compartido: <clave>
    • Autenticar mediante: Radius (Cisco IOS®/PIX 6.0)




  2. Para configurar la configuración de autenticación, navegue hasta Configuración del sistema > Configuración de autenticación global, y verifique que la casilla de verificación Permitir autenticación MS-CHAP versión 2 esté marcada:



  3. Para configurar un usuario, haga clic en User Setup en el menú, y complete estos pasos:
    • Ingrese la información de usuario: Network-Admin <username>.
    • Haga clic en Agregar/Editar.
    • Ingrese el Nombre real: Network-Admin <nombre descriptivo>.
    • Añada una descripción: <su elección>.
    • Seleccione la Password Authentication: ACS Internal Database.
    • Introduzca la contraseña: ........ <contraseña>.
    • Confirme la contraseña: <password>.
    • Haga clic en Submit (Enviar).


Verificación

La herramienta de interpretación de información de salida (disponible para clientes registrados únicamente) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.

Ingrese estos comandos para confirmar que su configuración funciona correctamente:

  • show dot1x 
  • show dot1x summary 
  • show dot1x interface 
  • show authentication sessions interface <interface>
  • show authentication interface <interface>
Switch(config)# show dot1x
_________________________________________________
Sysauthcontrol              Enabled
Dot1x Protocol Version            3
_________________________________________________
Switch(config)# show dot1x summary
_________________________________________________
Interface       PAE     Client          Status
_________________________________________________
Fa0/4           AUTH
_________________________________________________
Switch(config)# show dot1x interface fa0/4 detail
_________________________________________________
Dot1x Info for FastEthernet0/4
_________________________________________________
PAE                       = AUTHENTICATOR
PortControl               = FORCE_AUTHORIZED
ControlDirection          = Both
HostMode                  = SINGLE_HOST
QuietPeriod               = 5
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 10

Troubleshoot

Esta sección proporciona los comandos debug que puede utilizar para resolver problemas de su configuración.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

  • debug dot1x all
  • debug authentication all
  • debug radius (proporciona la información de radius en el nivel de depuración)
  • debug aaa authentication (debug for authentication)
  • debug aaa authorization (debug for authorization)

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
09-Sep-2013
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Minakshi Kumar
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco