La autenticación IEEE 802.1X permite al dispositivo WAP obtener acceso a una red con cables segura. Puede configurar el dispositivo WAP como suplicante 802.1X (cliente) en la red con cables. El WAP351 también se puede configurar como un autenticador. Se puede configurar un nombre de usuario y una contraseña cifrados para permitir que el dispositivo WAP se autentique mediante 802.1X.
En las redes que utilizan el control de acceso a la red basado en puertos IEEE 802.1X, un suplicante no puede obtener acceso a la red hasta que el autenticador 802.1X conceda acceso. Si la red utiliza 802.1X, debe configurar la información de autenticación 802.1X en el dispositivo WAP, para que pueda suministrarla al autenticador.
El objetivo de este documento es mostrarle cómo configurar la configuración del suplicante 802.1X en el WAP351.
· WAP351
•v1.0.1.3
Paso 1. Inicie sesión en la utilidad de configuración web y elija Seguridad del sistema > 802.1X. Se abre la página 802.1X.
Paso 2. La tabla de puertos muestra cinco interfaces LAN que se pueden configurar para la autenticación 802.1X. Marque las casillas de verificación correspondientes a los puertos que desea editar.
Paso 3. Haga clic en el botón Editar. Los puertos marcados estarán ahora disponibles para su edición.
Paso 4. En el campo Enable, active las casillas de verificación de los puertos en los que desea activar la configuración 802.1X.
Paso 5. En la lista desplegable Función, seleccione si el puerto correspondiente se configurará como Suplicante o como Autenticador. Si selecciona Suplicante, vaya a la sección Configuración de Suplicante. Si selecciona Authenticator, vaya a la sección Configuración de Configuraciones del Autenticador. Un autenticador se encuentra entre el cliente (solicitante) que desea obtener acceso a la red y el propio servidor RADIUS. Es responsable de manejar toda la comunicación entre los dos. Un Suplicante proporciona credenciales a un Autenticador para obtener acceso a la red. Una configuración típica en el WAP351 haría que el puerto WAN fuera un Suplicante (de modo que el WAP pueda acceder a la red) y que los puertos LAN fueran Autenticadores (de modo que el WAP pueda autorizar los dispositivos debajo de él).
Paso 1. Haga clic en Mostrar detalles para mostrar la información de configuración del solicitante.
Nota: Esta información puede abrirse automáticamente después de realizar una selección en el campo Mode.
Paso 2. En la lista desplegable Método EAP, elija el algoritmo que se utilizará para cifrar nombres de usuario y contraseñas. EAP significa protocolo de autenticación extensible y se utiliza como base para los algoritmos de cifrado.
Las opciones disponibles son:
· MD5: el algoritmo de resumen de mensajes MD5 utiliza una función hash para proporcionar seguridad básica. No se recomienda este algoritmo, ya que los otros dos tienen mayor seguridad.
· PEAP: PEAP significa protocolo de autenticación extensible protegido. Encapsula EAP y proporciona mayor seguridad que MD5 mediante el uso de un túnel TLS para transmitir datos.
· TLS: TLS significa seguridad de la capa de transporte y es un estándar abierto que proporciona una alta seguridad.
Paso 3. En el campo Username, ingrese el nombre de usuario que el dispositivo WAP utilizará cuando responda a las solicitudes de un autenticador 802.1X. El nombre de usuario debe tener entre 1 y 64 caracteres y puede incluir caracteres alfanuméricos y especiales.
Paso 4. En el campo Password, ingrese la contraseña que el dispositivo WAP utilizará cuando responda a las solicitudes de un autenticador 802.1X. El nombre de usuario debe tener entre 1 y 64 caracteres y puede incluir caracteres alfanuméricos y especiales.
Paso 5. El área Certificate File Status muestra si existe un archivo de certificado SSL HTTP en el dispositivo WAP. El campo Archivo de certificado presente mostrará "Sí" si hay un certificado; el valor predeterminado es "No". Si hay un certificado, la Fecha de vencimiento del certificado se mostrará cuando caduque; de lo contrario, el valor predeterminado es "No presente". Para mostrar la información más reciente, haga clic en el botón Refresh para obtener la información de certificado más actualizada.
Paso 6. Si no desea cargar un archivo de certificado HTTP SSL, vaya directamente al Paso 12. De lo contrario, seleccione los botones de radio HTTP o TFTP en el campo Método de transferencia para elegir el protocolo que desea utilizar para cargar el certificado.
Paso 7. Si ha seleccionado TFTP, continúe con el Paso 8. Si ha seleccionado HTTP, haga clic en el botón Examinar... para buscar el archivo de certificado en su PC. Saltar al Paso 10.
Paso 8. Si ha seleccionado TFTP en el campo Transfer Method, introduzca el nombre de archivo del certificado en el campo Filename.
Nota: El archivo debe finalizar en .pem.
Paso 9. Ingrese la dirección IP del servidor TFTP en el campo TFTP Server IPv4 Address .
Paso 10. Haga clic en Cargar.
Paso 11. Aparecerá una ventana de confirmación. Haga clic en Aceptar para comenzar la carga.
Paso 12. Repita esta sección para cada puerto que desee configurar como supplicante 802.1X. A continuación, haga clic en Guardar.
Paso 1. Haga clic en Mostrar detalles para mostrar la información de configuración de Authenticator.
Nota: Esta información puede abrirse automáticamente después de realizar una selección en el campo Mode.
Paso 2. Marque la casilla de verificación Usar configuración global del servidor RADIUS si desea que el puerto utilice la configuración global RADIUS durante la autenticación. Si desea que el puerto utilice otro servidor RADIUS (o servidores), desmarque esta casilla de verificación; Caso contrario, siga con el paso 8.
Nota: Para obtener más información, vea el artículo Configuración de la Configuración Global del Servidor RADIUS en WAP131 y WAP351.
Paso 3. En el campo Server IP Address Type , seleccione el botón de opción para la versión IP que utiliza el servidor RADIUS. Las opciones disponibles son IPv4 e IPv6.
Nota: Puede alternar entre los tipos de dirección para configurar los parámetros de dirección IPv4 e IPv6 RADIUS, pero el dispositivo WAP sólo se pone en contacto con el servidor RADIUS o los servidores con el tipo de dirección que seleccione en este campo. No es posible que varios servidores utilicen diferentes tipos de direcciones en una configuración.
Paso 4. En el campo Server IP Address 1 o Server IPv6 Address 1, introduzca una dirección IPv4 o IPv6 para el servidor RADIUS en función del tipo de dirección que haya elegido en el paso 3.
Nota: La dirección introducida en este campo designará el servidor RADIUS principal del puerto. Las direcciones introducidas en los campos siguientes (Server IP Address 2 to 4) designarán los servidores RADIUS de respaldo que se probarán secuencialmente si la autenticación falla con el servidor primario.
Paso 5. En el campo Key, ingrese la clave secreta compartida correspondiente al servidor RADIUS primario que el dispositivo WAP utiliza para autenticar al servidor RADIUS. Puede utilizar de 1 a 64 caracteres alfanuméricos estándar y caracteres especiales. Repita este paso para cada servidor RADIUS posterior que haya configurado para el puerto en los campos Key 2 to 4.
Nota: Las claves distinguen entre mayúsculas y minúsculas y deben coincidir con la clave configurada en el servidor RADIUS.
Paso 6. En el campo Authentication Port, ingrese el puerto que el WAP utilizará para conectarse al servidor RADIUS. Repita este paso para cada servidor RADIUS de respaldo que haya configurado en los campos Authentication Port 2 to 4. El valor predeterminado es 1812.
Paso 7. Marque la casilla Enable RADIUS Accounting para habilitar el seguimiento y la medición de los recursos que ha consumido un usuario (tiempo del sistema, cantidad de datos transmitidos, etc.). Si marca esta casilla de verificación, se habilitará la contabilización RADIUS para los servidores primario y de respaldo.
Paso 8. En la lista desplegable Servidor activo, elija uno de los servidores RADIUS configurados para ser configurado como el servidor activo. Esta configuración permite que el WAP intente inmediatamente ponerse en contacto con el servidor activo, en lugar de intentar contactar con cada servidor en secuencia y elegir el primero disponible.
Paso 9. En el campo Peridic Reauthentication, marque la casilla Enable para activar la reautenticación EAP. Si no desea habilitar la reautenticación EAP, vaya al Paso 11.
Paso 10. Si marca la casilla de verificación Enable en el campo Peridic Reauthentication, ingrese el período de reautenticación EAP en segundos en el campo Reauthentication Period. El valor predeterminado es 3600. El rango válido es de 300 - 4294967295 segundos.
Paso 11. Repita esta sección para cada puerto que desee configurar como un autenticador 802.1X. A continuación, haga clic en Guardar.