Configurar as credenciais suplicantes 802.1x em um switch

Introduction

O IEEE 802.1x é um padrão que facilita o controle de acesso entre um cliente e um servidor. Antes que os serviços possam ser fornecidos a um cliente por uma LAN (Local Area Network, rede local) ou switch, o cliente conectado à porta do switch deve ser autenticado pelo servidor de autenticação que executa o RADIUS (Remote Authentication Dial-In User Service, serviço de usuário de discagem de autenticação remota).

A autenticação 802.1x restringe a conexão de clientes não autorizados a uma LAN através de portas acessíveis publicamente. A autenticação 802.1x é um modelo cliente-servidor. Neste modelo, os dispositivos de rede têm as seguintes funções específicas:

• Cliente ou requerente — Um cliente ou requerente é um dispositivo de rede que solicita acesso à LAN. O cliente está conectado a um autenticador.
• Autenticador — Um autenticador é um dispositivo de rede que fornece serviços de rede e ao qual as portas suplicantes estão conectadas. Os seguintes métodos de autenticação são suportados:

- Baseado em 802.1x — Suportado em todos os modos de autenticação. Na autenticação baseada em 802.1x, o autenticador extrai as mensagens EAP (Extensible Authentication Protocol) das mensagens 802.1x ou dos pacotes EAP sobre LAN (EAPoL) e as passa para o servidor de autenticação, usando o protocolo RADIUS.

- Baseado em MAC — Suportado em todos os modos de autenticação. Com base no Media Access Control (MAC), o próprio autenticador executa a parte do cliente EAP do software em nome dos clientes que buscam acesso à rede.

- Baseado na Web — Suportado somente em modos multisessões. Com a autenticação baseada na Web, o próprio autenticador executa a parte do cliente EAP do software em nome dos clientes que procuram acesso à rede.

• Servidor de autenticação — Um servidor de autenticação executa a autenticação real do cliente. O servidor de autenticação do dispositivo é um servidor de autenticação RADIUS com extensões EAP.

Note: Um dispositivo de rede pode ser um cliente ou um suplicante, um autenticador ou ambos por porta.

A imagem abaixo exibe uma rede que configurou os dispositivos de acordo com as funções específicas. Neste exemplo, um switch SG350X é usado.

No entanto, você também pode configurar algumas portas em seu switch como suplicantes. Depois que as credenciais do requerente forem configuradas em uma porta específica do switch, você poderá conectar diretamente os dispositivos que não têm capacidade 802.1x para que os dispositivos possam acessar a rede segura. A imagem abaixo mostra um cenário de uma rede que configurou um switch como um suplicante.

Pré-requisitos na configuração do 802.1x:

• Configure o servidor RADIUS. Para saber como configurar as definições do servidor RADIUS no comutador, clique aqui.
• Crie uma rede local virtual (VLAN). Para criar VLANs usando o utilitário baseado na Web do switch, clique aqui. Para obter instruções baseadas na CLI, clique aqui.
• Defina as configurações de porta para VLAN no switch. Para configurar usando o utilitário baseado na Web, clique aqui. Para usar a CLI, clique aqui.
• Configure as propriedades globais do 802.1x no switch. Para obter instruções sobre como configurar as propriedades globais do 802.1x através do utilitário baseado na Web do switch, clique aqui. Para obter instruções baseadas na CLI, clique aqui.
• (Opcional) Configure o intervalo de tempo no switch. Para saber como configurar as definições de intervalo de tempo no comutador, clique aqui. Para usar a CLI, clique aqui.
• Configure as credenciais do suplicante 802.1x no switch. As instruções são fornecidas neste artigo. Para obter instruções baseadas na CLI, clique aqui. 
• Configurar a autenticação de porta 802.1x. Para usar o utilitário baseado na Web do switch, clique aqui. Para usar a CLI, clique aqui. 

Objetivo

Você pode configurar o switch como um suplicante 802.1x (cliente) na rede com fio. Um nome de usuário e uma senha criptografados podem ser configurados para permitir que o switch autentique usando 802.1x.

Nas redes que usam o controle de acesso à rede baseado em porta IEEE 802.1x, um requerente não pode obter acesso à rede até que o autenticador 802.1x conceda acesso. Se sua rede usa 802.1x, você deve configurar as informações de autenticação 802.1x no switch para que ele possa fornecer as informações ao autenticador.

Este artigo fornece instruções sobre como configurar as credenciais do suplicante 802.1x em seu switch.

Dispositivos aplicáveis

• Série Sx350X
• SG350X Series
• Série SG550X

Versão de software

• 2.3.0.130

Configurar as credenciais suplicantes 802.1x

Criar credenciais suplicantes 802.1x

Etapa 1. Efetue login no utilitário baseado na Web do seu switch e escolha Avançado na lista suspensa Modo de exibição.

Note: As opções de menu disponíveis podem variar dependendo do modelo do dispositivo. Neste exemplo, o SG350X-48MP é usado.

Etapa 2. Escolha Security > 802.1X Authentication > Supplicant Credentials.

Etapa 3. Clique no botão Adicionar para adicionar novas credenciais de usuário para o requerente.

Etapa 4. Insira o nome da credencial no campo Nome da Credencial.

Note: Neste exemplo, a cisco é inserida.

Etapa 5. No campo Nome de usuário, insira o nome de usuário a ser associado ao nome da credencial.

Note: Neste exemplo, switchuser é usado.

Etapa 6. (Opcional) Insira a descrição da credencial no campo Descrição.

Note: Neste exemplo, o SG350X Supplicant é usado.

Passo 7. Clique no botão de opção que corresponde ao tipo de senha que você deseja usar e digite a senha no campo alocado.

Note: Neste exemplo, texto simples é escolhido e a senha usada é C!$C0123456.

Etapa 8. Clique em Aplicar e, em seguida, clique em Fechar.

Etapa 9. (Opcional) Clique no botão Salvar para salvar as configurações no arquivo de configuração de inicialização.

Editar uma credencial suplicante 802.1x

Etapa 1. Clique na caixa de seleção do nome da credencial correspondente que deseja editar.

Note: Neste exemplo, cisco é escolhida.

Etapa 2. Clique no botão Editar.

Etapa 3. (Opcional) Para exibir a senha criptografada como texto simples, clique no botão Exibir dados confidenciais como texto simples.

Etapa 4. (Opcional) Clique em OK para exibir a senha criptografada como texto não criptografado.

Etapa 5. Atualize os detalhes da credencial adequadamente.

Note: Neste exemplo, a senha é atualizada para C!$C012345678.

Etapa 6. Clique em Aplicar e, em seguida, clique em Fechar.

Agora você deve ter editado com êxito os detalhes da credencial do suplicante em seu switch.

Exibir senha criptografada como texto não criptografado

Etapa 1. Para exibir a senha criptografada como texto simples, clique no botão Exibir dados confidenciais como texto simples.

Etapa 2. (Opcional) A senha será exibida em formato de texto simples. Clique no botão Exibir dados confidenciais como criptografados para exibir a forma criptografada da senha.

Agora você deve ter exibido com êxito a senha sensível como texto simples.

Excluir uma credencial suplicante 802.1x

Etapa 1. Clique na caixa de seleção do nome da credencial correspondente que deseja excluir.

Etapa 2. Clique no botão Excluir.

Agora, você deve ter excluído com êxito uma entrada da Tabela de credenciais do requerente de seu switch.

Configurar uma interface suplicante 802.1x

Para aplicar as credenciais suplicantes 802.1x configuradas, você deve configurar as informações de autenticação 802.1x no switch para que ele possa fornecer as informações ao autenticador. Consulte os pré-requisitos acima para configurar a autenticação de porta 802.1x em seu switch.