Scribd Logo
Importer

Bienvenue sur Scribd !

  • Configuración Básica Dot1x

    Transféré par

    hilbert69
    182 vues4 pages
    802.1X

    Titre original

    Configuración básica dot1x

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    802.1X

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    182 vues4 pages

    Configuración Básica Dot1x

    Transféré par

    hilbert69
    802.1X

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 4

    Configuracin bsica: Activar AAA, 802.

    1x y definir los servidores RADIUS


    aaa new-model
    !
    aaa group server radius RADIUS-SERVERS
    server x.x.x.x
    server y.y.y.y
    deadtime 1

    aaa authentication dot1x default group RADIUS-SERVERS


    aaa authorization network default group RADIUS-SERVERS
    aaa accounting dot1x default start-stop group RADIUS-SERVERS
    dot1x system-auth-control
    dot1x critical eapol
    errdisable detect cause security-violation shutdown vlan
    errdisable recovery cause security-violation
    radius-server host x.x.x.x
    radius-server host y.y.y.y
    radius-server timeout 10
    radius-server retransmit 3
    radius-server key SECRET
    radius-server attribute 6 on-for-login-auth
    radius-server attribute 8 include-in-access-req
    radius-server attribute 25 access-request include
    radius-server dead-criteria time 5 tries 3
    radius-server vsa send authentication
    radius-server vsa send accounting
    ip radius source-interface <INTERFAZ DE MGMT>
    Configuracin CoA (change of authorization): Generalmente los servidores
    RADIUS CoA son los mismos servidores RADIUS
    aaa server radius dynamic-author
    client x.x.x.x server-key SECRET
    client y.y.y.y server-key SECRET
    Configuracin REDIRECCION : Esta config se usa cuando queremos desplegar un
    portal cautivo, por ejemplo para el portal de invitados o para el portal de postura
    cuando usamos a Cisco ISE como servidor RADIUS.

    ip http server
    ip http secure-server
    ip http secure-active-session-modules none
    ip http active-session-modules none

    ip device tracking probe use-svi


    ip device tracking
    epm logging
    ip access-list extended REDIRECT_ACL
    deny udp any eq bootpc any eq bootps
    deny udp any any eq domain
    remark DENEGAR LAS IPS DE LOS SERVIDORES RADIUS
    deny ip any host x.x.x.x
    deny ip any host y.y.y.y
    permit tcp any any eq www
    permit tcp any any eq 443
    deny ip any any
    Configuracin DEVICE SENSOR Y RADIUS PROFILING : Esta config slo se usa
    tenemos Cisco ISE como servidor Radius y usamos la funcin de profiling
    access-session template monitor
    device-sensor accounting
    device-sensor notify all-changes

    cdp run
    lldp run
    no macro auto monitor
    Configuracin SYSLOG HACIA SERVIDOR RADIUS ISE : Esta config slo se usa
    cuando tenemos Cisco ISE como servidor Radius
    logging monitor informational
    logging esm config
    logging origin-id ip
    logging source-interface <INTERFAZ DE MGMT>
    logging host x.x.x.x transport udp port 20514
    logging host y.y.y.y transport udp port 20514

    Configuracin MAC MOVE


    authentication mac-move permit
    mac address-table notification change
    mac address-table notification mac-move
    Las configs anteriores se aplican a nivel global y tienen un riesgo muy bajo de
    afectacin de servicio. En cambio la configuracin en cada switchport tiene un riesgo
    muy alto de afectacin de servicio. Existen cuatro casos de configuracin de
    switchport "single-host" , "multi-host", "multi-domain" y "multi-auth". Sin embargo la
    opcin recomendada es "multi-domain" y en segundo lugar "multi-auth".
    Configuracin SWITCHPORT MULTI-DOMAIN : Esta config es cuando tenemos slo
    una direccin MAC en la vlan de datos y slo una direccin MAC en la vlan de voz. Por
    ej el caso de una PC conectado a un telfono IP que a su vez est conectado al
    switchport.
    En esta config activamos "authentication open" para minimizar la afectacin del
    servicio. Adems tambin usamos la VLAN crtica con los siguientes comandos:
    "authentication event server dead action authorize vlan <Vlan-de-datos>" y
    "authentication event server dead action authorize voice" Estos comandos permiten
    pasar todo el trfico en caso todos los servidores RADIUS fallen.
    interface <NOMBRE DE INTERFAZ>
    switchport mode access
    switchport access vlan <VLAN-DE-DATOS>
    switchport voice vlan <VLAN-DE-VOZ->
    authentication event fail action next-method
    authentication event server dead action authorize vlan <VLAN-DE-DATOS>
    authentication event server dead action authorize voice
    authentication host-mode multi-domain
    authentication open
    authentication order dot1x mab
    authentication priority dot1x mab
    authentication port-control auto
    authentication violation restrict
    mab
    dot1x pae authenticator
    dot1x timeout quiet-period 15
    dot1x timeout tx-period 15
    spanning-tree portfast
    spanning-tree bpduguard enable
    Configuracin SWITCHPORT MULTI-AUTH : Esta config es cuando tenemos
    mltiples direccin MAC en la vlan de datos (por ej

    cuando hay un hub, o cuando hay un access point autnomo, o por ej el caso de una
    laptop con mltiples mquinas virtuales). En este modo no hay vlan de voz. Si un
    telfono IP se conecta a este switchport quedar en la vlan de datos.
    En esta config activamos "authentication open" para minimizar la afectacin del
    servicio. Adems tambin usamos la VLAN crtica con el comando "authentication
    event server dead action reinitialize vlan <Vlan-de-datos>". Este comando permite
    pasar todo el trfico en caso todos los servidores RADIUS fallen. Notar que este
    comando es ligeramente diferente al usado en el modo "multi-domain"
    interface <NOMBRE DE INTERFAZ>
    switchport mode access
    switchport access vlan <VLAN-DE-DATOS>
    authentication event fail action next-method
    authentication event server dead action reinitialize vlan <VLAN-DE-DATOS>
    authentication host-mode multi-auth
    authentication open
    authentication order dot1x mab
    authentication priority dot1x mab
    authentication port-control auto
    authentication violation restrict
    mab
    dot1x pae authenticator
    dot1x timeout quiet-period 15
    dot1x timeout tx-period 15
    spanning-tree portfast
    spanning-tree bpduguard enable

    Vous aimerez peut-être aussi