Hola a tod@s,
En estos posts vamos a ver cómo configurar un switch Cisco Catalyst 2960 para securizar las conexiones cableadas a través del servidor RADIUS-NPS.
- Accedemos a nuestro Switch Cisco Catalyst 2960, e introducimos estos comandos sobre la configuración global para habilitar la autenticación 802.1x:
sw2960#configure terminal
sw2960(config)#aaa new-model
sw2960(config)#aaa group server radius RadiusAuth
sw2960(config-sg-radius)#server 192.168.14.3 auth-port 1812 acct-port 1813
sw2960(config-sg-radius)#aaa authentication dot1x default group RadiusAuth
sw2960(config)#radius-server host 192.168.14.3 auth-port 1812 acct-port 1813 key SECRETOCOMPARTIDO
sw2960(config)#dot1x system-auth-control
- Una vez habilitada la configuración de RADIUS en el switch, vamos a habilitar los puertos en los que queremos utilizar el control de acceso a red 802.1x, para ello, accedemos al modo de configuración global y vamos a habilitar los puertos del 1 al 4:
sw2960#configure terminal
sw2960(config)#interface range fastEthernet0/1-4
sw2960(config-if-range)#switchport mode Access
sw2960(config-if-range)#authentication port-control auto
sw2960(config-if-range)#dot1x pae authenticator
sw2960(config-if-range)#dot1x port-control auto
sw2960(config-if-range)#dot1x violation-mode protect
sw2960(config-if-range)#dot1x reauthentication
- Guardamos la configuración:
sw2960#write memory
- Si hacemos un show running-config podemos ver la configuración:
- Una vez terminada la configuración en el switch, vamos a probar a conectarnos desde un equipo con Windows 10 a cualquiera de los puertos que hemos configurados para autenticarnos por 802.1x, para ello, tenemos que hacer antes algunas configuraciones sobre el equipo, y lo primero que vamos a habilitar es el servicio Configuración automática de redes cableadas, lo iniciaremos y lo configuraremos en Automático:
- Sobre las propiedades de la interface red a través de la cuál nos vamos a conectar al switch, nos vamos a la pestaña Autenticación marcamos el check para habilitar IEEE 802.1X, elegimos el método de autenticación Microsoft: EAP protegido (PEAP), sobre Configuración seleccionamos el método de autenticación Contraseña segura (EAP-MSCHAP v2) y en Configurar desmarcamos el check Usar automáticamente el nombre de inicio de sesión y la contraseña de Windows (y dominio, si existe alguno), Aceptamos todas las configuraciones, este último check, lo ideal es dejarlo marcado, pero en mi caso, lo voy a dejar así para mostrar como el sistema nos pide usuario y password para conectarnos:
- Ahora conectamos el cable de red entre la NIC de mi equipo y uno de los puertos del switch que hemos configurados para autenticarnos por 802.1x, y pasado unos segundos vemos como el sistema nos pide las credenciales para poder autenticarnos, introducimos entonces nuestras credenciales del domino y Aceptamos:
- Como podemos ver, ya estamos conectados a nuestra red y autenticándonos a través del servidor RADIUS-NPS:
Saludos y espero que os resulte de ayuda 😉
Genial este post me sirve mucho para un futuro proyecto a implementar.
Solo una duda al configurar el radius server en los puertos del swtich y conectar el nodo de red al equipo y me pida autenticarme se supone que ya estoy dentro del dominio en directorio activo y esta clave es la clave del «secretocompartido» que haces mension ‘de la configuracion hablando analogicamente jeje.
Quedo atento y saludos admiro mucho tu post y te sigo desde otro correo de otra cuenta que uso bro.
Hello
¿can somebody help me please?
I need to provide a guest access to Out-of-domain computer, ¿do i need to create a group on NPS? ¿do i need antoher configuration on switch?
Hola
¿Podrían apoyarme por favor? esta solución ya me funciona con equipos dentro del dominio, pero ahora tambien me solicitan las configuraciones necesarias para darle acceso a la red de invitados a un equipo fuera de dominio, ¿se necesita alguna configuración adicional en el switch? ¿necesito crear un grupo de tipo invitados en NPS?
Espero que me puedan apoyar, de antemano muchas gracias.