Configuração de propriedades 802.1x em switches empilháveis Sx500 Series

Objetivo

O IEEE 802.1x é um padrão que facilita o controle de acesso entre um cliente e um servidor. Antes que os serviços possam ser fornecidos a um cliente por uma LAN ou por um switch, o cliente conectado à porta do switch deve ser autenticado pelo servidor de autenticação que executa o RADIUS (Remote Authentication Dial-In User Service) neste caso. Para habilitar a autenticação baseada em porta 802.1x, 802.1x deve ser habilitado globalmente no switch.

Para configurar completamente o 802.1x, é necessário fazer as seguintes configurações:

1. Crie uma VLAN, clique aqui.
2. Atribuir porta à VLAN, continue o artigo mencionado acima. Para configurar na CLI, clique aqui. 
3. Configure Port Authentication (Configurar autenticação de porta), clique aqui. 

Este artigo explica como configurar propriedades 802.1x, que incluem propriedades de autenticação e VLAN de convidado. Consulte os artigos acima para outras configurações. A VLAN de convidado fornece acesso a serviços que não exigem que os dispositivos ou portas de assinatura sejam autenticados e autorizados através de autenticação 802.1x ou baseada em MAC.

Dispositivos aplicáveis

Switches Empilháveis Sx500 Series

Versão de software

•1.3.0.62

Ativar a autenticação baseada em porta e a VLAN de convidado nas propriedades 802.1x

Etapa 1. Faça login no utilitário de configuração da Web para escolher Security > 802.1X > Properties. A página Propriedades é aberta:

Etapa 2. Marque Enable no campo Port-Based Authentication para habilitar a autenticação 802.1x baseada em porta.

Etapa 3. Clique no botão de opção desejado no campo Authentication Method (Método de autenticação). O servidor RADIUS executa a autenticação do cliente. Este servidor valida se o usuário está autenticado ou não e notifica o switch se o cliente tem ou não permissão de acesso à LAN e a outros serviços de switch. O switch atua como um proxy e o servidor é transparente para o cliente.

RADIUS, None — Isso executa a autenticação de porta primeiro com a ajuda do servidor RADIUS. Se não houver resposta do servidor, como quando o servidor está inoperante, nenhuma autenticação será executada e a sessão será permitida. Se o servidor estiver disponível e as credenciais do usuário estiverem incorretas, o acesso será negado e a sessão será encerrada.

RADIUS — Executa a autenticação de porta com base no servidor RADIUS.  Se não houver autenticação executada, a sessão será encerrada.

Nenhum — Não autentica o usuário e permite a sessão.

Etapa 4. (Opcional) Marque Habilitar para habilitar o uso de uma VLAN de convidado para portas não autorizadas no campo VLAN de convidado. Se uma VLAN de convidado estiver habilitada, todas as portas não autorizadas se unirão automaticamente à VLAN escolhida no campo ID da VLAN de convidado. Se uma porta for autorizada posteriormente, ela será removida da VLAN de convidado.

Um modo de VLAN de convidado deve ser configurado para que você possa usar o modo de autenticação MAC. A estrutura 802.1x permite que um dispositivo (o requerente) solicite acesso à porta de um dispositivo remoto (autenticador) ao qual está conectado. Somente quando o requerente que solicita acesso à porta é autenticado e autorizado é permitido enviar dados à porta. Caso contrário, o autenticador descarta os dados do requerente, a menos que os dados sejam enviados para uma VLAN de convidado e/ou VLANs não autenticadas.

Note: A VLAN de convidado, se configurada, é uma VLAN estática com as seguintes características:

Deve ser definido manualmente a partir de uma VLAN estática existente.
É automaticamente disponível somente para dispositivos ou portas não autorizados de dispositivos conectados e habilitados para VLAN de convidado.
Se uma porta estiver habilitada para VLAN de convidado, o switch adicionará automaticamente a porta como um membro não marcado da VLAN de convidado quando a porta não estiver autorizada e removerá a porta da VLAN de convidado quando o primeiro suplicante da porta estiver autorizado.
A VLAN de convidado não pode ser usada como a VLAN de voz e uma VLAN não autenticada.

Timesaver: Se a VLAN de convidado estiver desativada, vá para a Etapa 7.

Etapa 5. Escolha o ID da VLAN de convidado na lista de VLANs na lista suspensa ID da VLAN de convidado.

Etapa 6. Clique no botão de opção desejado no campo Guest VLAN Timeout. As opções disponíveis são:

Imediato — A VLAN de convidado expira após um período de 10 segundos.

Definido pelo usuário — Insira o período de tempo manualmente no campo Definido pelo usuário.

Note: Após o linkup, se o software não detectar um suplicante 802.1x ou se a autenticação da porta falhou, a porta será adicionada à VLAN de convidado somente após o período de tempo limite da VLAN de convidado expirar. Se a porta mudar de Autorizada para Não Autorizada, a porta será adicionada à VLAN Convidada somente após o período de tempo limite da VLAN Convidada expirar. A Tabela de autenticação de VLAN exibe todas as VLANs e mostra se a autenticação está habilitada nelas ou não.

Passo 7. Clique em Apply para salvar as configurações.

Configuração de VLAN não autenticada

Quando o 802.1x é ativado, portas ou dispositivos não autorizados não podem acessar a VLAN a menos que façam parte da VLAN de convidado ou de uma VLAN não autenticada. As portas precisam ser adicionadas manualmente às VLANs com o uso da página Porta para VLAN.

Etapa 1. Faça login no utilitário de configuração da Web para escolher Security > 802.1X > Properties. A página Propriedades é aberta.

 

Etapa 2. Role para baixo até a Tabela de autenticação de VLAN, clique no botão de opção da VLAN na qual deseja desativar a autenticação e clique em Editar. A página Editar autenticação de VLAN é aberta.

Etapa 3. (Opcional) Escolha uma ID da VLAN na lista suspensa ID da VLAN.

Etapa 4. Desmarque Habilitar para desabilitar a autenticação e tornar a VLAN uma VLAN não autenticada.

Etapa 5. Clique em Apply para aplicar as configurações. As alterações são feitas na Tabela de autenticação de VLAN: