Configure las Credenciales de Suplicante 802.1x en un Switch a través de la CLI

Introducción

IEEE 802.1x es un estándar que facilita el control de acceso entre un cliente y un servidor. Antes de que una red de área local (LAN) o un switch puedan proporcionar servicios a un cliente, el servidor de autenticación que ejecuta el servicio de usuario de acceso telefónico de autenticación remota (RADIUS) debe autenticar al cliente conectado al puerto del switch.

La autenticación 802.1x impide que los clientes no autorizados se conecten a una LAN a través de puertos de acceso público. La autenticación 802.1x es un modelo cliente-servidor. En este modelo, los dispositivos de red tienen las siguientes funciones específicas:

• Cliente o suplicante: un cliente o suplicante es un dispositivo de red que solicita acceso a la LAN. El cliente está conectado a un autenticador.
• Authenticator: un autenticador es un dispositivo de red que proporciona servicios de red y a los que se conectan los puertos de suplicante. Se admiten los siguientes métodos de autenticación:

- Basado en 802.1x: soportado en todos los modos de autenticación. En la autenticación basada en 802.1x, el autenticador extrae los mensajes del protocolo de autenticación extensible (EAP) de los mensajes 802.1x o de los paquetes EAP sobre LAN (EAPoL) y los pasa al servidor de autenticación mediante el protocolo RADIUS.

- basado en MAC: compatible en todos los modos de autenticación. Con el control de acceso a medios (MAC) basado, el autenticador ejecuta la parte de cliente EAP del software en nombre de los clientes que buscan acceso a la red.

- Basado en Web: soportado sólo en modos de sesiones múltiples. Con la autenticación basada en web, el autenticador ejecuta la parte de cliente EAP del software en nombre de los clientes que buscan acceso a la red.

• Servidor de autenticación: un servidor de autenticación realiza la autenticación real del cliente. El servidor de autenticación para el dispositivo es un servidor de autenticación RADIUS con extensiones EAP.

Nota: Un dispositivo de red puede ser un cliente o suplicante, autenticador o ambos por puerto.

La siguiente imagen muestra una red que ha configurado los dispositivos según las funciones específicas. En este ejemplo, se utiliza un switch SG350X.

Sin embargo, también puede configurar algunos puertos en su switch como suplicantes. Una vez configuradas las credenciales del solicitante en un puerto específico del switch, puede conectar directamente los dispositivos que no son compatibles con 802.1x, de modo que los dispositivos puedan acceder a la red segura. La siguiente imagen muestra un escenario de una red que ha configurado un switch como suplicante.

Pautas para configurar 802.1x:

1. Configure el servidor RADIUS. Para saber cómo configurar los parámetros del servidor RADIUS en su switch, haga clic aquí.
2. Cree una red de área local virtual (VLAN). Para crear VLAN utilizando la utilidad basada en web de su switch, haga clic aquí. Para obtener instrucciones basadas en la interfaz de línea de comandos (CLI), haga clic aquí.
3. Configure los parámetros de puerto a VLAN en su switch. Para configurar mediante la utilidad basada en web, haga clic aquí. Para utilizar la CLI, haga clic aquí.
4. Configure las propiedades globales 802.1x en el switch. Para obtener instrucciones sobre cómo configurar las propiedades 802.1x globales a través de la utilidad basada en web del switch, haga clic aquí. Para obtener instrucciones basadas en CLI, haga clic aquí.
5. (Opcional) Configure el rango de tiempo en el switch. Para aprender a configurar los parámetros de rango de tiempo en su switch, haga clic aquí. Para utilizar la CLI, haga clic aquí.
6. Configure las credenciales del suplicante 802.1x en el switch. Para aprender a configurar a través de la utilidad basada en web, haga clic aquí.Las instrucciones basadas en CLI se proporcionan en este artículo.
7. Configure la autenticación de puerto 802.1x. Para utilizar la utilidad basada en web del switch, haga clic aquí. Para utilizar la CLI, haga clic aquí. 

Objetivo

Puede configurar el switch como un suplicante 802.1x (cliente) en la red con cables. Se puede configurar un nombre de usuario y una contraseña cifrados para permitir que el switch se autentique mediante 802.1x.

En las redes que utilizan el control de acceso a la red basado en puertos IEEE 802.1x, un suplicante no puede obtener acceso a la red hasta que el autenticador 802.1x conceda acceso. Si su red utiliza 802.1x, debe configurar la información de autenticación 802.1x en el switch para que pueda suministrar la información al autenticador.

En este artículo se proporcionan instrucciones sobre cómo configurar las credenciales del suplicante 802.1x en el switch a través de la CLI.

Dispositivos aplicables

• Serie Sx350X
• Serie SG350X
• Serie SG550X

Versión del software

• 2.3.0.130

Configuración de las credenciales del solicitante 802.1x

Crear credenciales de suplicante 802.1x

Paso 1. Inicie sesión en la consola del switch. El nombre de usuario y la contraseña predeterminados son cisco/cisco. Si ha configurado un nuevo nombre de usuario o contraseña, introduzca las credenciales en su lugar.

Nota: Para saber cómo acceder a una CLI de switch SMB a través de SSH o Telnet, haga clic aquí.

Nota: Los comandos pueden variar dependiendo del modelo exacto de su switch. En este ejemplo, se accede al switch SG350X a través de Telnet.

Paso 2. Desde el modo EXEC privilegiado del switch, ingrese el modo de configuración global ingresando lo siguiente:

Paso 3. Para definir el nombre de una estructura de credenciales 802.1x e ingresar en el modo de configuración de credenciales dot1x, introduzca lo siguiente:

• name: el nombre de la estructura de credenciales tiene hasta 32 caracteres.

Nota: El switch admite hasta 24 credenciales. En este ejemplo, se utiliza cisco.

Paso 4. (Opcional) Para quitar la estructura de credenciales, introduzca lo siguiente:

Nota: No se puede eliminar una credencial usada.

Paso 5. Para especificar un nombre de usuario para una estructura de credenciales 802.1x, introduzca lo siguiente:

• nombre de usuario: el nombre de usuario tiene hasta 32 caracteres.

Nota: En este ejemplo, switchuser es el nombre de usuario especificado.

Paso 6. (Opcional) Para quitar el nombre de usuario, introduzca lo siguiente:

Paso 7. Para especificar una contraseña para una estructura de credenciales 802.1x, introduzca cualquiera de las siguientes opciones:

• contraseña cifrada: la contraseña está en formato cifrado.
• password: puede introducir una contraseña de texto sin formato de hasta 64 caracteres.

Nota: En este ejemplo, se ingresa la contraseña de texto sin formato C!$C0123456.

Paso 8. (Opcional) Para quitar la contraseña, introduzca lo siguiente:

Paso 9. (Opcional) Para agregar una descripción para la estructura de credenciales 802.1x, introduzca lo siguiente:

Nota: En este ejemplo, la descripción utilizada es sg350x-supplicant.

Paso 10. (Opcional) Para quitar la descripción, introduzca lo siguiente:

Paso 11. Ingrese el comando end para volver al modo EXEC privilegiado:

Paso 12. (Opcional) Para mostrar las credenciales 802.1x configuradas, introduzca lo siguiente:

Paso 13. (Opcional) En el modo EXEC privilegiado del switch, guarde los parámetros configurados en el archivo de configuración de inicio introduciendo lo siguiente:

Paso 14. (Opcional) Presione Y para Sí o N para No en su teclado una vez que aparezca el mensaje Sobrescribir archivo [startup-config]...

Ahora debería haber configurado correctamente una credencial 802.1x en su switch a través de la CLI.

Configuración de una interfaz de suplicante 802.1x

Para aplicar las credenciales de suplicante 802.1x configuradas, debe configurar la información de autenticación 802.1x en el switch para que pueda suministrar la información al autenticador. Siga estos pasos para configurar una interfaz de suplicante 802.1x:

Paso 1. Desde el modo EXEC privilegiado del switch, ingrese el modo de configuración global ingresando lo siguiente:

Paso 2. En el modo Configuración global, ingrese el contexto de Configuración de la Interfaz ingresando lo siguiente:

• interface-id: especifica un ID de interfaz que se debe configurar.

Nota: Cuando el solicitante está habilitado en una interfaz, la interfaz se convierte en un no autorizado. En este ejemplo, se está configurando la interfaz ge1/0/19.

Paso 3. Para habilitar la función de suplicante dot1x para la interfaz, introduzca lo siguiente:

• name: nombre de la estructura de credenciales aplicada en la interfaz.

Nota: En este ejemplo, se utiliza el nombre de credencial creado anteriormente que es cisco.

Paso 4. Ingrese el comando end para volver al modo EXEC privilegiado:

Paso 5. Para mostrar el estado 802.1x para la interfaz configurada, utilice el comando show dot1x en el modo EXEC privilegiado:

• interface-id: especifica el puerto Ethernet.

Nota: En este ejemplo, se muestra la información 802.1x para la interfaz ge1/0/19.

Ahora debería haber configurado correctamente un suplicante 802.1x en una interfaz de su switch a través de la CLI.