Configurazione dell'autenticazione della porta 802.1X sugli Smart Switch Cisco serie Sx220

Obiettivo

L'obiettivo di questo articolo è quello di mostrare come configurare l'autenticazione delle porte sugli smart switch serie Sx220.

L'autenticazione porta 802.1X consente la configurazione dei parametri 802.1X per ciascuna porta del dispositivo. Una porta che richiede l'autenticazione viene chiamata supplicant. L'autenticatore è uno switch o un punto di accesso che funge da protezione di rete per i supplicant. L'autenticatore inoltra i messaggi di autenticazione al server RADIUS in modo che una porta possa essere autenticata e possa inviare e ricevere informazioni.

Dispositivi interessati

• Serie Sx220

Versione del software

• 1.1.0.14

Configura autenticazione porta

Passaggio 1. Accedere all'utility basata sul Web dello switch e selezionare Security > 802.1X > Port Authentication (Sicurezza > 802.1X > Autenticazione porta).

Passaggio 2. Fare clic sul pulsante di opzione relativo alla porta che si desidera configurare, quindi fare clic su Modifica.

Nota: nell'esempio, è stata scelta la porta GE4.

Passaggio 3. Viene visualizzata la finestra Modifica autenticazione porta. Dall'elenco a discesa Interface (Interfaccia), verificare che la porta specificata sia quella scelta nel passaggio 2. In caso contrario, fare clic sulla freccia dell'elenco a discesa e scegliere la porta destra.

Passaggio 4. Scegliere un pulsante di opzione per il controllo della porta amministrativa. Questo determinerà lo stato di autorizzazione della porta. Le opzioni sono:

• Disabilitato: disabilita 802.1X. Si tratta dello stato predefinito.
• Force Unauthorized - Nega l'accesso all'interfaccia attivando lo stato non autorizzato sull'interfaccia stessa. Lo switch non fornisce servizi di autenticazione al client tramite l'interfaccia.
• Auto: attiva l'autenticazione e l'autorizzazione basate sulle porte sullo switch. L'interfaccia viene spostata tra uno stato autorizzato e uno non autorizzato in base allo scambio di autenticazione tra lo switch e il client.
• Force Authorized: autorizza l'interfaccia senza autenticazione.

Nota: in questo esempio, viene scelto Auto.

Passaggio 5. (Facoltativo) Scegliere un pulsante di opzione per l'assegnazione della VLAN RADIUS. L'assegnazione della VLAN dinamica verrà abilitata sulla porta specificata. Le opzioni sono:

• Disabled: ignora i risultati dell'autorizzazione VLAN e mantiene la VLAN originale dell'host. Questa è l'azione predefinita.
• Rifiuta: se la porta specificata riceve un'informazione di autorizzazione VLAN, utilizzerà tale informazione. Tuttavia, in assenza di informazioni autorizzate sulla VLAN, l'host viene rifiutato e reso non autorizzato.
• Statica: se la porta specificata riceve un'informazione autorizzata dalla VLAN, utilizzerà tale informazione. Tuttavia, se non sono presenti informazioni autorizzate sulla VLAN, rimarrà la VLAN originale dell'host.

Nota: se sono presenti informazioni autorizzate VLAN provenienti da RADIUS, ma la VLAN non è stata creata amministrativamente su Device Under Test (DUT), la VLAN verrà creata automaticamente. Nell'esempio, viene scelto Static.

Suggerimento rapido: affinché la funzione di assegnazione dinamica della VLAN funzioni, lo switch richiede l'invio da parte del server RADIUS dei seguenti attributi VLAN:

• [64] Tipo di tunnel = VLAN (tipo 13)
• [65] Tunnel-Medium-Type = 802 (tipo 6)
• [81] Tunnel-Private-Group-Id = ID VLAN

Passaggio 6. (Facoltativo) Selezionare la casella di controllo Abilita per fare in modo che la VLAN guest utilizzi una VLAN guest per le porte non autorizzate.

Passaggio 7. Selezionare la casella di controllo Attiva per la riautenticazione periodica. Verranno abilitati i tentativi di riautenticazione delle porte dopo il periodo di riautenticazione specificato.

Nota: questa funzione è attivata per default.

Passaggio 8. Immettere un valore nel campo Periodo di riautenticazione. Tempo di riautenticazione della porta espresso in secondi.

Nota: nell'esempio viene utilizzato il valore predefinito 3600.

Passaggio 9. (Facoltativo) Selezionare la casella di controllo Riautentica ora per abilitare la riautenticazione immediata delle porte.

Nota: nel campo Stato autenticatore viene visualizzato lo stato corrente dell'autenticazione.

Nota: se la porta non è in stato Force Authorized o Force Unauthorized, si trova in modalità automatica e l'autenticatore visualizza lo stato dell'autenticazione in corso. Dopo l'autenticazione della porta, lo stato viene visualizzato come Autenticato.

Passaggio 10. Nel campo Max Hosts, immettere il numero massimo di host autenticati consentiti sulla porta specifica. Questo valore ha effetto solo sulla modalità multisessione.

Nota: nell'esempio viene utilizzato il valore predefinito 256.

Passaggio 11. Nel campo Quiet Period (Periodo di inattività), immettere il numero di secondi durante i quali lo switch rimane in stato di inattività in seguito a uno scambio di autenticazione non riuscito. Quando lo switch è in modalità non interattiva, significa che non è in ascolto di nuove richieste di autenticazione da parte del client.

Nota: nell'esempio viene utilizzato il valore predefinito 60.

Passaggio 12. Nel campo Rinvio EAP, immettere il numero di secondi che lo switch attende per la risposta a una richiesta EAP (Extensible Authentication Protocol) o a un frame di identità dal supplicant (client) prima di inviare nuovamente la richiesta.

Nota: nell'esempio viene utilizzato il valore predefinito 30.

Passaggio 13. Nel campo Numero massimo di richieste EAP, immettere il numero massimo di richieste EAP che possono essere inviate. Se non si riceve una risposta dopo il periodo definito (timeout del supplicant), il processo di autenticazione viene riavviato.

Nota: nell'esempio viene utilizzato il valore predefinito 2.

Passaggio 14. Nel campo Timeout supplicant, immettere il numero di secondi che devono trascorrere prima che le richieste EAP vengano inviate al supplicant.

Nota: nell'esempio viene utilizzato il valore predefinito 30.

Passaggio 15. Nel campo Server Timeout (Timeout server), immettere il numero di secondi che devono trascorrere prima che lo switch invii nuovamente una richiesta al server di autenticazione.

Nota: nell'esempio viene utilizzato il valore predefinito 30.

Passaggio 16. Fare clic su Apply (Applica).

A questo punto, la configurazione dell'autenticazione della porta sullo switch è riuscita.