2

Configuración Switch Cisco Catalyst para conexiones cableadas a través del Servidor RADIUS

Hola a tod@s,

En estos posts vamos a ver cómo configurar un switch Cisco Catalyst 2960 para securizar las conexiones cableadas a través del servidor RADIUS-NPS.

  • Accedemos a nuestro Switch Cisco Catalyst 2960, e introducimos estos comandos sobre la configuración global para habilitar la autenticación 802.1x:

sw2960#configure terminal

sw2960(config)#aaa new-model

sw2960(config)#aaa group server radius RadiusAuth

sw2960(config-sg-radius)#server 192.168.14.3 auth-port 1812 acct-port 1813  

sw2960(config-sg-radius)#aaa authentication dot1x default group RadiusAuth

sw2960(config)#radius-server host 192.168.14.3 auth-port 1812 acct-port 1813 key SECRETOCOMPARTIDO       

sw2960(config)#dot1x system-auth-control

  • Una vez habilitada la configuración de RADIUS en el switch, vamos a habilitar los puertos en los que queremos utilizar el control de acceso a red 802.1x, para ello, accedemos al modo de configuración global y vamos a habilitar los puertos del 1 al 4:

sw2960#configure terminal

sw2960(config)#interface range fastEthernet0/1-4

sw2960(config-if-range)#switchport mode Access

sw2960(config-if-range)#authentication port-control auto

sw2960(config-if-range)#dot1x pae authenticator

sw2960(config-if-range)#dot1x port-control auto

sw2960(config-if-range)#dot1x violation-mode protect

sw2960(config-if-range)#dot1x reauthentication

  • Guardamos la configuración:

sw2960#write memory

  • Si hacemos un show running-config podemos ver la configuración:

  • Una vez terminada la configuración en el switch, vamos a probar a conectarnos desde un equipo con Windows 10 a cualquiera de los puertos que hemos configurados para autenticarnos por 802.1x, para ello, tenemos que hacer antes algunas configuraciones sobre el equipo, y lo primero que vamos a habilitar es el servicio Configuración automática de redes cableadas, lo iniciaremos y lo configuraremos en Automático:

  • Sobre las propiedades de la interface red a través de la cuál nos vamos a conectar al switch, nos vamos a la pestaña Autenticación marcamos el check para habilitar IEEE 802.1X, elegimos el método de autenticación Microsoft: EAP protegido (PEAP), sobre Configuración seleccionamos el método de autenticación Contraseña segura (EAP-MSCHAP v2) y en Configurar desmarcamos el check Usar automáticamente el nombre de inicio de sesión y la contraseña de Windows (y dominio, si existe alguno), Aceptamos todas las configuraciones, este último check, lo ideal es dejarlo marcado, pero en mi caso, lo voy a dejar así para mostrar como el sistema nos pide usuario y password para conectarnos:

  • Ahora conectamos el cable de red entre la NIC de mi equipo y uno de los puertos del switch que hemos configurados para autenticarnos por 802.1x, y pasado unos segundos vemos como el sistema nos pide las credenciales para poder autenticarnos, introducimos entonces nuestras credenciales del domino y Aceptamos:

  • Como podemos ver, ya estamos conectados a nuestra red y autenticándonos a través del servidor RADIUS-NPS:

 

Saludos y espero que os resulte de ayuda 😉

jramos

Técnico Superior STI

2 comentarios

  1. Genial este post me sirve mucho para un futuro proyecto a implementar.

    Solo una duda al configurar el radius server en los puertos del swtich y conectar el nodo de red al equipo y me pida autenticarme se supone que ya estoy dentro del dominio en directorio activo y esta clave es la clave del «secretocompartido» que haces mension ‘de la configuracion hablando analogicamente jeje.

    Quedo atento y saludos admiro mucho tu post y te sigo desde otro correo de otra cuenta que uso bro.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.