Configuración básica dot1x
Transcript of Configuración básica dot1x
-
7/26/2019 Configuracin bsica dot1x
1/4
Configuracin bsica: Activar AAA, 802.1x y definir los servidores RADIUS
aaa new-model
!
aaa group server radius RADIUS-SERVERS
server x.x.x.x
server y.y.y.y
deadtime 1
aaa autentiation dot1x de"ault group RADIUS-SERVERS
aaa autori#ation networ$ de"ault group RADIUS-SERVERS
aaa aounting dot1x de"ault start-stop group RADIUS-SERVERS
dot1x system-aut-ontrol
dot1x ritial eapol
errdisa%le detet ause seurity-violation sutdown vlan
errdisa%le reovery ause seurity-violation
radius-server ost x.x.x.x
radius-server ost y.y.y.y
radius-server timeout 1&
radius-server retransmit '
radius-server $ey SE(RE)
radius-server attri%ute * on-"or-login-aut
radius-server attri%ute + inlude-in-aess-re,
radius-server attri%ute aess-re,uest inlude
radius-server dead-riteria time tries '
radius-server vsa send autentiation
radius-server vsa send aounting
ip radius soure-inter"ae /I0)ERA2 DE 343)5
Configuracin CoA (change of authorization): Generalmente los servidoresRADIUS oA son los mismos servidores RADIUS
aaa server radius dynami-autor
lient x.x.x.x server-$ey SE(RE)
lient y.y.y.y server-$ey SE(RE)
Configuracin REDIRECCION : !sta confi" se #sa c#ando $#eremos des%le"ar #n
%ortal ca#tivo, %or e&em%lo %ara el %ortal de invitados o %ara el %ortal de %ost#rac#ando #samos a isco IS! como servidor RADIUS.
-
7/26/2019 Configuracin bsica dot1x
2/4
ip ttp server
ip ttp seure-server
ip ttp seure-ative-session-modules none
ip ttp ative-session-modules none
ip devie tra$ing pro%e use-svi
ip devie tra$ing
epm logging
ip aess-list extended REDIRE()6A(7
deny udp any e, %ootp any e, %ootps
deny udp any any e, domain
remar$ DE0E4AR 7AS I8S DE 79S SERVID9RES RADIUS
deny ip any ost x.x.x.x
deny ip any ost y.y.y.y
permit tp any any e, www
permit tp any any e, ::'
deny ip any any
Configuracin DEVICE SENSOR Y RADIS !RO"I#IN$ : !sta confi" s'lo se #sa
tenemos isco IS! como servidor Radi#s y #samos la f#nci'n de %rofilin"
access(session tem%late monitor
devie-sensor aounting
devie-sensor noti"y all-anges
dp run
lldp run
no maro auto monitor
Configuracin SYS#O$ %ACIA SERVIDOR RADIS ISE : !sta confi" s'lo se #sac#ando tenemos isco IS! como servidor Radi#s
logging monitor in"ormational
logging esm on"ig
logging origin-id ip
logging soure-inter"ae /I0)ERA2 DE 343)5
logging ost x.x.x.x transport udp port &1:
logging ost y.y.y.y transport udp port &1:
-
7/26/2019 Configuracin bsica dot1x
3/4
Configuracin &AC &OVE
a#t)entication mac(move %ermit
ma address-ta%le noti"iation ange
ma address-ta%le noti"iation ma-move
Las configs anteriores se aplican a nivel global y tienen un riesgo muy bajo deafectacin de servicio. En cambio la configuracin en cada switchport tiene un riesgomuy alto de afectacin de servicio. Existen cuatro casos de configuracin deswitchport "single-host" , "multi-host", "multi-domain" y "multi-auth". in embargo laopcin recomendada es "multi-domain" y en segundo lugar "multi-auth".
Configuracin S'IC%!OR IDO&AIN *!sta confi" es c#ando tenemos s'lo#na direcci'n *A en la vlan de datos y s'lo #na direcci'n *A en la vlan de vo+. ore& el caso de #na conectado a #n tel-fono I $#e a s# ve+ est conectado als/itc)%ort.
!n esta confi" activamos authentication open %ara minimi+ar la afectaci'n del
servicio. Adems tami-n #samos la 3A4 cr5tica con los si"#ientes comandos:authentication event server dead action authori!e vlan #lan-de-datos$ yauthentication event server dead action authori!e voice !stos comandos %ermiten%asar todo el trfico en caso todos los servidores RADIUS fallen.
inter"ae /093;RE DE I0)ERA25
switport mode aess
switport aess vlan /V7A0-DE-DA)9S5
switport voie vlan /V7A0-DE-V92-5
autentiation event "ail ation next-metod
autentiation event server dead ation autori#e vlan /V7A0-DE-DA)9S5
autentiation event server dead ation autori#e voie
autentiation ost-mode multi-domain
autentiation open
autentiation order dot1x ma%
autentiation priority dot1x ma%
autentiation port-ontrol auto
autentiation violation restrit
ma%
dot1x pae autentiator
dot1x timeout ,uiet-period 1
dot1x timeout tx-period 1
spanning-tree port"ast
spanning-tree %pduguard ena%le
Configuracin S'IC%!OR IA% * !sta confi" es c#ando tenemosm6lti%les direcci'n *A en la vlan de datos 7%or e&
-
7/26/2019 Configuracin bsica dot1x
4/4
c#ando )ay #n )#, o c#ando )ay #n access %oint a#t'nomo, o %or e& el caso de #nala%to% con m6lti%les m$#inas virt#ales. !n este modo no )ay vlan de vo+. Si #ntel-fono I se conecta a este s/itc)%ort $#edar en la vlan de datos.
!n esta confi" activamos authentication open %ara minimi+ar la afectaci'n delservicio. Adems tami-n #samos la 3A4 cr5tica con el comando authentication
event server dead action reinitiali!e vlan #lan-de-datos$. !ste comando %ermite%asar todo el trfico en caso todos los servidores RADIUS fallen. 4otar $#e estecomando es li"eramente diferente al #sado en el modo m#lti(domain
inter"ae /093;RE DE I0)ERA25
switport mode aess
switport aess vlan /V7A0-DE-DA)9S5
autentiation event "ail ation next-metod
autentiation event server dead ation reinitiali#e vlan /V7A0-DE-DA)9S5
autentiation ost-mode multi-aut
autentiation open
autentiation order dot1x ma%
autentiation priority dot1x ma%
autentiation port-ontrol auto
autentiation violation restrit
ma%
dot1x pae autentiator
dot1x timeout ,uiet-period 1
dot1x timeout tx-period 1
spanning-tree port"ast
spanning-tree %pduguard ena%le