Configuração de 802.1x no S25N

Servidores, Storage & Networking

Servidores, Storage & Networking
Procurando por soluções de negócio mais eficientes? Encontre aqui dicas, tutoriais e respostas para suas dúvidas sobre Servidores, Storage e Redes.

Configuração de 802.1x no S25N

Esta pergunta foi respondida Dell-Ananda S

Prezados,


Gostaria de uma ajuda para configurar 802.1x no meu ambiente composto de swtches Dell S25N. Meu cenário é da seguinte forma:

Possuo 2 stacks, uma é o core e outra de acesso.

A core é composta de 3 switches S25N e a de acesso são 4 switches S50N.

Minha principal duvida é se devo aplicas as configurações do Radius Server em ambas as stacks ou apenas na core?

Resposta verificada
  • Olá Carloshsilva,

     

    Ficamos contentes com seu questionamento, isso indica uma clara preocupação com a segurança da rede.

     

    Neste sentido, o Dot1x em conjunto com um servidor RADIUS vai garantir que somente usuários ou dispositivos devidamente autenticados e autorizados possam se conectar e trafegar na sua rede.

     

    Portando você deve configurar o 802.1X onde quer que haja uma porta de acesso (edge-port) que conecte um dispositivo final (host).

     

    De um modo geral, este é o caso dos switches de camada de acesso. Portanto você deve configurar a stack de acesso com 802.1X no seu caso.

     

    Quando você for implementar as configurações de RADIUS, caso venha a ter dúvidas com alguma sintaxe dos comandos, você pode baixar os manuais indo em dell.com/suporte e inserindo a service tag do switch. Então o site devolve tudo que há disponível daquele equipamento. Isto é válido para qualquer equipamento que possua service tag. Logo abaixo da foto do switch, vai ter o link “Manuals” onde você vai baixar o documento para a sua versão de firmware.

      Ananda S
     Fórum Moderator
     Client ProSupport e Enterprise

    Chat | Twitter | Facebook | 0800 970 3355

    Verifique as instruções de atendimento para linha de servidores fora de garantia através da página www.dell.com.br/garantia  na sessão Fale Conosco. 

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

  • Oi, carloshsilva.

     

    Um comando para se confirmar a configuração de Dot1x na porta dois da stack unit member 1 é :

     

    # show dot1x interface gigabitethernet 1/2

     

    E se você quiser ir mais a fundo pode usar o :

     

    # debug radius

     

    Ambos comandos no modo exec privilegiado.

      Ananda S
     Fórum Moderator
     Client ProSupport e Enterprise

    Chat | Twitter | Facebook | 0800 970 3355

    Verifique as instruções de atendimento para linha de servidores fora de garantia através da página www.dell.com.br/garantia  na sessão Fale Conosco. 

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

Todas as respostas
  • Olá Carloshsilva,

     

    Ficamos contentes com seu questionamento, isso indica uma clara preocupação com a segurança da rede.

     

    Neste sentido, o Dot1x em conjunto com um servidor RADIUS vai garantir que somente usuários ou dispositivos devidamente autenticados e autorizados possam se conectar e trafegar na sua rede.

     

    Portando você deve configurar o 802.1X onde quer que haja uma porta de acesso (edge-port) que conecte um dispositivo final (host).

     

    De um modo geral, este é o caso dos switches de camada de acesso. Portanto você deve configurar a stack de acesso com 802.1X no seu caso.

     

    Quando você for implementar as configurações de RADIUS, caso venha a ter dúvidas com alguma sintaxe dos comandos, você pode baixar os manuais indo em dell.com/suporte e inserindo a service tag do switch. Então o site devolve tudo que há disponível daquele equipamento. Isto é válido para qualquer equipamento que possua service tag. Logo abaixo da foto do switch, vai ter o link “Manuals” onde você vai baixar o documento para a sua versão de firmware.

      Ananda S
     Fórum Moderator
     Client ProSupport e Enterprise

    Chat | Twitter | Facebook | 0800 970 3355

    Verifique as instruções de atendimento para linha de servidores fora de garantia através da página www.dell.com.br/garantia  na sessão Fale Conosco. 

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

  • Ananda, bom dia!


    Saberia me informar uma forma de testar a conexão da stack com o radius server?

    Existe algum comando para validar?

  • Oi, carloshsilva.

     

    Um comando para se confirmar a configuração de Dot1x na porta dois da stack unit member 1 é :

     

    # show dot1x interface gigabitethernet 1/2

     

    E se você quiser ir mais a fundo pode usar o :

     

    # debug radius

     

    Ambos comandos no modo exec privilegiado.

      Ananda S
     Fórum Moderator
     Client ProSupport e Enterprise

    Chat | Twitter | Facebook | 0800 970 3355

    Verifique as instruções de atendimento para linha de servidores fora de garantia através da página www.dell.com.br/garantia  na sessão Fale Conosco. 

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

  • Olá, tenho mais uma duvida com relação a configuração de autenticação nas interfaces via 802.1x.


    Só é possível realizar a autenticação usando uma conta (usuário e senha) ou através do MAB?

    Gostaria de fazer autenticação por hostname de equipamento, uma vez que os mesmos estão registrados em meu AD. Isso facilitaria a primeira autenticação de um usuário em um equipamento, tendo em vista que a atribuição da rede é somente feita após o "logon" do usuário.

  • Olá, carloshsilva!

     

    Sim, você pode autenticar o dispositivo conectado a uma interface através da conta de computador no AD. Como eu costumo brincar: “Computador também é gente!” ;) Veja: no AD tudo são objetos de rede que são gerenciados pelo domínio. Um dos tipos de objeto é a conta de computador (computer account). Toda vez que você adiciona uma máquina ao domínio, o Windows da máquina cria uma conta de computador muito semelhante a conta de usuário, pois também possui nome de logon (no caso, o hostname) e senha (que ninguém fica sabendo mas o AD sincroniza). Prova disso é que se a máquina passar muito tempo sem entrar no domínio ela não consegue mais entrar, sendo necessário remover e adicionar no domínio de novo (reset computer account). Isso ocorre por que a máquina sincroniza a sua senha com o AD periodicamente. Caso isso não aconteça, o AD a considera não confiável e a mensagem de que não há relação de confiança para validar o logon é exibida.

     

    Portanto, meu caro, se você quiser verificar a conta de computador isso é transparente do ponto de vista dos switches. Para o switch 802.1X o que quer que se conecte na interface deverá saber responder ao pedido de autenticação de acordo com as regras do servidor RADIUS. Isso significa que você precisa configurar o servidor RADIUS e os computadores adequadamente pois o switch é um “mero intermediário” entre a estação na interface e o servidor de autenticação (RADIUS Server).

     

    Para o caso de a máquina conectada na interface não rodar Windows, como uma impressora IP, por exemplo, você pode autenticar este host usando como “nome de usuário” o MAC address do dispositivo e a “senha” é igual ao nome de usuário. Na realidade é um bypass (MAB = Mac Authentication Bypass).

     

    Na documentação do switch “FTOS Configuration Guide” (veja o arquivo com a sua versão de firmware), nas páginas 128 e 129 (do FTOS 8.4.2.7) você encontra os detalhes de como o servidor RADIUS deve fazer o tratamento dos atributos RADIUS. Uma opção interessante é usar o comando “dot1x auth-type mab-only” nas interfaces que você sabe que receberão um dispositivo não Windows.

     

    Um exemplo de como o servidor RADIUS (usando NPS da Microsoft) deve tratar a regra de autenticação pode ser encontrada nesta documentação da Microsoft: https://technet.microsoft.com/en-us/library/dd197535%28v=ws.10%29.aspx

     

    Espero ter ajudado.

      Ananda S
     Fórum Moderator
     Client ProSupport e Enterprise

    Chat | Twitter | Facebook | 0800 970 3355

    Verifique as instruções de atendimento para linha de servidores fora de garantia através da página www.dell.com.br/garantia  na sessão Fale Conosco. 

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

  • Tenho mais um questionamento.


    Tenho aparelhos IP Phones, e configurei a autenticação deles via MAB. Além disso, alterei as configurações do Dot1x para MULTI_AUTH, pois os nesse aparelho existem mais uma porta LAN que permite a conexão de outros equipamento, no meu caso eu conecto um notebook.

    Só que ao verificar os logs do Radius Server, vejo que esse notebook tenta se autenticar via MAB, porem desejo que ele se autentique via 802.1x.

    Porque isso acontece, como posso forçar esse segundo equipamento usar o EAP como método de autenticação?