Hola a tod@s,
En estos posts vamos a ver cómo configurar un switch Cisco Catalyst 2960 para securizar las conexiones cableadas a través del servidor RADIUS-NPS.
- Accedemos a nuestro Switch Cisco Catalyst 2960, e introducimos estos comandos sobre la configuración global para habilitar la autenticación 802.1x:
sw2960#configure terminal
sw2960(config)#aaa new-model
sw2960(config)#aaa group server radius RadiusAuth
sw2960(config-sg-radius)#server 192.168.14.3 auth-port 1812 acct-port 1813
sw2960(config-sg-radius)#aaa authentication dot1x default group RadiusAuth
sw2960(config)#radius-server host 192.168.14.3 auth-port 1812 acct-port 1813 key SECRETOCOMPARTIDO
sw2960(config)#dot1x system-auth-control
- Una vez habilitada la configuración de RADIUS en el switch, vamos a habilitar los puertos en los que queremos utilizar el control de acceso a red 802.1x, para ello, accedemos al modo de configuración global y vamos a habilitar los puertos del 1 al 4:
sw2960#configure terminal
sw2960(config)#interface range fastEthernet0/1-4
sw2960(config-if-range)#switchport mode Access
sw2960(config-if-range)#authentication port-control auto
sw2960(config-if-range)#dot1x pae authenticator
sw2960(config-if-range)#dot1x port-control auto
sw2960(config-if-range)#dot1x violation-mode protect
sw2960(config-if-range)#dot1x reauthentication
- Guardamos la configuración:
sw2960#write memory
- Si hacemos un show running-config podemos ver la configuración:
- Una vez terminada la configuración en el switch, vamos a probar a conectarnos desde un equipo con Windows 10 a cualquiera de los puertos que hemos configurados para autenticarnos por 802.1x, para ello, tenemos que hacer antes algunas configuraciones sobre el equipo, y lo primero que vamos a habilitar es el servicio Configuración automática de redes cableadas, lo iniciaremos y lo configuraremos en Automático:
- Sobre las propiedades de la interface red a través de la cuál nos vamos a conectar al switch, nos vamos a la pestaña Autenticación marcamos el check para habilitar IEEE 802.1X, elegimos el método de autenticación Microsoft: EAP protegido (PEAP), sobre Configuración seleccionamos el método de autenticación Contraseña segura (EAP-MSCHAP v2) y en Configurar desmarcamos el check Usar automáticamente el nombre de inicio de sesión y la contraseña de Windows (y dominio, si existe alguno), Aceptamos todas las configuraciones, este último check, lo ideal es dejarlo marcado, pero en mi caso, lo voy a dejar así para mostrar como el sistema nos pide usuario y password para conectarnos:
- Ahora conectamos el cable de red entre la NIC de mi equipo y uno de los puertos del switch que hemos configurados para autenticarnos por 802.1x, y pasado unos segundos vemos como el sistema nos pide las credenciales para poder autenticarnos, introducimos entonces nuestras credenciales del domino y Aceptamos:
- Como podemos ver, ya estamos conectados a nuestra red y autenticándonos a través del servidor RADIUS-NPS:
Saludos y espero que os resulte de ayuda 😉