Configuración de las propiedades 802.1x en los switches apilables de la serie Sx500

Opciones de descarga

PDF (682.2 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (646.2 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (264.1 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:11 de diciembre de 2018

ID del documento:SMB2652

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Configuración de las propiedades 802.1x en los switches apilables de la serie Sx500

Objetivo

IEEE 802.1x es un estándar que facilita el control de acceso entre un cliente y un servidor. Antes de que una LAN o un switch puedan proporcionar servicios a un cliente, el cliente conectado al puerto del switch debe ser autenticado por el servidor de autenticación que ejecuta el servicio de usuario de acceso telefónico de autenticación remota (RADIUS) en este caso. Para habilitar la autenticación basada en puertos 802.1x, 802.1x debe habilitarse globalmente en el switch.

Para configurar 802.1x por completo, deben realizarse las siguientes configuraciones:

1. Cree una VLAN, haga clic aquí.
2. Asignar puerto a VLAN, continúe con el artículo mencionado anteriormente. Para configurar en la CLI, haga clic aquí.
3. Configure Port Authentication, haga clic aquí.

En este artículo se explica cómo configurar las propiedades 802.1x, que incluyen las propiedades de autenticación y VLAN de invitado. Consulte los artículos anteriores para ver otras configuraciones. La VLAN de invitado proporciona acceso a servicios que no requieren que los dispositivos o puertos de suscripción sean autenticados y autorizados a través de la autenticación 802.1x o basada en MAC.

Dispositivos aplicables

Switches apilables · Sx500 Series

Versión del software

•1.3.0.62

Habilitar autenticación basada en puerto y VLAN de invitado en propiedades 802.1x

Paso 1. Inicie sesión en la utilidad de configuración web para elegir Security > 802.1X > Properties. Se abre la página Propiedades:

Paso 2. Marque Enable en el campo Port-Based Authentication para habilitar la autenticación 802.1x basada en puerto.

Paso 3. Haga clic en el botón de opción deseado en el campo Authentication Method (Método de autenticación). El servidor RADIUS realiza la autenticación del cliente. Este servidor valida si el usuario está autenticado o no y notifica al switch si se le permite o no el acceso al cliente a la LAN y otros servicios del switch. El switch actúa como proxy y el servidor es transparente para el cliente.

· RADIUS, Ninguno: realiza primero la autenticación de puerto con la ayuda del servidor RADIUS. Si no hay respuesta del servidor como cuando el servidor está inactivo, no se realiza ninguna autenticación y se permite la sesión. Si el servidor está disponible y las credenciales del usuario son incorrectas, se deniega el acceso y la sesión finaliza.

· RADIUS: realiza la autenticación de puerto basada en el servidor RADIUS. Si no se realiza ninguna autenticación, la sesión finaliza.

· Ninguno: no autentica al usuario y permite la sesión.

Paso 4. (Opcional) Marque Enable para habilitar el uso de una VLAN de invitado para los puertos no autorizados en el campo Guest VLAN. Si se habilita una VLAN de invitado, todos los puertos no autorizados se unen automáticamente a la VLAN elegida en el campo ID de VLAN de invitado. Si un puerto se autoriza posteriormente, se elimina de la VLAN de invitado.

Se debe configurar un modo de VLAN de invitado para poder utilizar el modo de autenticación MAC. El marco de trabajo 802.1x permite a un dispositivo (el suplicante) solicitar acceso a puerto desde un dispositivo remoto (autenticador) al que está conectado. Sólo cuando se autentica y autoriza al solicitante que solicita acceso a puerto se le permite enviar datos al puerto. De lo contrario, el autenticador descarta los datos del solicitante a menos que los datos se envíen a una VLAN de invitado y/o VLAN no autenticadas.

Nota: La VLAN de invitado, si está configurada, es una VLAN estática con las siguientes características:

· debe definirse manualmente a partir de una VLAN estática existente.
· está disponible automáticamente sólo para dispositivos no autorizados o puertos de dispositivos conectados y habilitados para VLAN de invitado.
· Si un puerto está habilitado para VLAN de invitado, el switch agrega automáticamente el puerto como miembro no etiquetado de la VLAN de invitado cuando el puerto no está autorizado, y quita el puerto de la VLAN de invitado cuando se autoriza el primer solicitante del puerto.
· La VLAN de invitado no se puede utilizar como VLAN de voz y como VLAN no autenticada.

Timesaver: Si la VLAN de invitado está inhabilitada, vaya directamente al paso 7.

Paso 5. Elija el ID de VLAN de invitado de la lista de VLAN en la lista desplegable ID de VLAN de invitado.

Paso 6. Haga clic en el botón de opción deseado en el campo Tiempo de espera de VLAN de invitado. Las opciones disponibles son:

· Inmediato: la VLAN de invitado caduca después de un período de tiempo de 10 segundos.

· definido por el usuario: introduzca el período de tiempo manualmente en el campo Definido por el usuario.

Nota: Después del link, si el software no detecta un suplicante 802.1x o si la autenticación de puerto falló, entonces el puerto se agrega a la VLAN de invitado solamente después de que venza el período de tiempo de espera de VLAN de invitado. Si el puerto cambia de Autorizado a No Autorizado, el puerto se agrega a la VLAN de invitado solamente después de que venza el período de tiempo de espera de la VLAN de invitado. La tabla de autenticación de VLAN muestra todas las VLAN y muestra si la autenticación está habilitada en ellas o no.

Paso 7. Haga clic en Aplicar para guardar los parámetros.

Configuración de VLAN no autenticada

Cuando se habilita 802.1x, no se permite el acceso a la VLAN a los puertos o dispositivos no autorizados a menos que formen parte de la VLAN de invitado o de una VLAN no autenticada. Los puertos deben agregarse manualmente a las VLAN con el uso de la página Port to VLAN.

Paso 1. Inicie sesión en la utilidad de configuración web para elegir Security > 802.1X > Properties . Se abre la página Propiedades.

Paso 2. Desplácese por la página hasta la Tabla de Autenticación de VLAN, haga clic en el botón de opción de la VLAN en la que desea inhabilitar la autenticación y haga clic en Editar. Se abre la página Editar autenticación VLAN.

Paso 3. (Opcional) Elija un ID de VLAN de la lista desplegable ID de VLAN.

Paso 4. Desmarque Enable para inhabilitar la autenticación y hacer que la VLAN sea una VLAN no autenticada.

Paso 5. Haga clic en Aplicar para aplicar la configuración. Los cambios se realizan en la tabla de autenticación de VLAN:

¿Resultó útil este documento?

Comentarios

Contacte a Cisco

Abrir un caso de soporte
(Requiere un Cisco Service Contract)