Configuración de la autenticación de puertos 802.1X en los Cisco Sx220 Series Smart Switches

Objetivo

El objetivo de este artículo es mostrarle cómo configurar la autenticación de puertos en los switches inteligentes de la serie Sx220.

La autenticación de puertos 802.1X permite configurar los parámetros 802.1X para cada puerto del dispositivo. Un puerto que solicita autenticación se denomina suplicante. El autenticador es un switch o un punto de acceso que actúa como un protector de red para los suplicantes. El autenticador reenvía los mensajes de autenticación al servidor RADIUS para que un puerto pueda ser autenticado y pueda enviar y recibir información.

Dispositivos aplicables

• Serie Sx220

Versión del software

• 1.1.0.14

Configurar autenticación de puerto

Paso 1. Inicie sesión en la utilidad basada en web del switch y elija Security > 802.1X > Port Authentication.

Paso 2. Haga clic en el botón de opción del puerto que desea configurar y, a continuación, haga clic en Edit.

Nota: En este ejemplo, se elige el puerto GE4.

Paso 3. Aparecerá la ventana Editar autenticación de puerto. En la lista desplegable Interface (Interfaz), asegúrese de que el puerto especificado es el elegido en el paso 2. De lo contrario, haga clic en la flecha desplegable y elija el puerto correcto.

Paso 4. Elija un botón de opción para el Control de puerto administrativo. Esto determinará el estado de autorización del puerto. Las opciones son:

• Desactivado: Desactiva 802.1X. Este es el estado predeterminado.
• Forzar no autorizado: deniega el acceso a la interfaz al moverla al estado no autorizado. El switch no proporciona servicios de autenticación al cliente a través de la interfaz.
• Automático: habilita la autenticación y autorización basadas en puertos en el switch. La interfaz se mueve entre un estado autorizado o no autorizado basado en el intercambio de autenticación entre el switch y el cliente.
• Forzar autorización: autoriza la interfaz sin autenticación.

Nota: En este ejemplo, se elige Automático.

Paso 5. (Opcional) Elija un botón de opción para la asignación de VLAN RADIUS. Esto habilitará la asignación de VLAN dinámica en el puerto especificado. Las opciones son:

• Deshabilitado: ignora el resultado de la autorización de VLAN y mantiene la VLAN original del host. Ésta es la acción predeterminada.
• Rechazar: si el puerto especificado recibe una información autorizada de VLAN, usará la información. Sin embargo, si no hay información autorizada de VLAN, rechazará el host y lo hará no autorizado.
• Estático: si el puerto especificado recibe una información autorizada de VLAN, usará la información. Sin embargo, si no hay información autorizada de VLAN, mantendrá la VLAN original del host.

Nota: Si hay una información autorizada de VLAN de RADIUS, pero la VLAN no se crea administrativamente en Device Under Test (DUT), la VLAN se creará automáticamente. En este ejemplo, se elige Static.

Quick Tip: Para que la función Dynamic VLAN Assignment funcione, el switch requiere que el servidor RADIUS envíe los siguientes atributos de VLAN:

• [64] Tipo de túnel = VLAN (tipo 13)
• [65] Tipo de túnel medio = 802 (tipo 6)
• [81] Tunnel-Private-Group-Id = ID de VLAN

Paso 6. (Opcional) Marque la casilla de verificación Enable para que la VLAN de invitado utilice una VLAN de invitado para puertos no autorizados.

Paso 7. Marque la casilla de verificación Enable para la reautenticación periódica. Esto habilitará los intentos de reautenticación de puertos después del Período de reautenticación especificado.

Nota: Esta función está activada de forma predeterminada.

Paso 8. Introduzca un valor en el campo Reauthentication Period. Este es el tiempo en segundos para reautenticar el puerto.

Nota: En este ejemplo, se utiliza el valor predeterminado 3600.

Paso 9. (Opcional) Marque la casilla de verificación Reauthenticate Now para habilitar la reautenticación inmediata de puertos.

Nota: El campo Estado del autenticador muestra el estado actual de la autenticación.

Nota: Si el puerto no está en estado Forzar Autorizado o Forzar No Autorizado, está en Modo Automático y el autenticador muestra el estado de la autenticación en curso. Después de autenticar el puerto, el estado se muestra como Autenticado.

Paso 10. En el campo Max Hosts, ingrese el número máximo de hosts autenticados permitidos en el puerto específico. Este valor sólo tiene efecto en el modo multisesión.

Nota: En este ejemplo, se utiliza el valor predeterminado 256.

Paso 11. En el campo Quiet Period, ingrese el número de segundos que el switch permanece en el estado de silencio luego de un intercambio de autenticación fallido. Cuando el switch está en estado silencioso, significa que el switch no está escuchando nuevas solicitudes de autenticación del cliente.

Nota: En este ejemplo, se utiliza el valor predeterminado 60.

Paso 12. En el campo Reenviando EAP, ingrese el número de segundos que el switch espera una respuesta a una solicitud de protocolo de autenticación extensible (EAP) o trama de identidad del solicitante (cliente) antes de reenviar la solicitud.

Nota: En este ejemplo, se utiliza el valor predeterminado 30.

Paso 13. En el campo Max EAP Requests, ingrese el número máximo de solicitudes EAP que se pueden enviar. Si no se recibe una respuesta después del período definido (tiempo de espera del solicitante), se reinicia el proceso de autenticación.

Nota: En este ejemplo, se utiliza el valor predeterminado 2.

Paso 14. En el campo Supplicant Timeout, ingrese el número de segundos que transcurren antes de que las solicitudes EAP se reenvíen al solicitante.

Nota: En este ejemplo, se utiliza el valor predeterminado 30.

Paso 15. En el campo Server Timeout, ingrese el número de segundos que transcurren antes de que el switch reenvíe una solicitud al servidor de autenticación.

Nota: En este ejemplo, se utiliza el valor predeterminado 30.

Paso 16. Haga clic en Apply (Aplicar).

Ahora debería haber configurado correctamente la autenticación de puerto en su switch.