Configuración avanzada 802.1x en Catalyst Switches

La configuración 802.1x en switches es una de las más confusas, sobre todo debido a la gran cantidad de nuevos features que aparecen año tras año.

Después de muchas implementaciones he llegado a la siguiente plantilla que estoy seguro ayudará a orientarse a quienes desean desplegar los últimos features de seguridad 802.1x y control de acceso.

Configuración básica : Activar AAA, 802.1x y definir los servidores RADIUS

aaa new-model

!

aaa group server radius RADIUS-SERVERS

  server x.x.x.x

  server y.y.y.y

  deadtime 1


aaa authentication dot1x default group RADIUS-SERVERS

aaa authorization network default group RADIUS-SERVERS

aaa accounting dot1x default start-stop group RADIUS-SERVERS

dot1x system-auth-control

dot1x critical eapol

errdisable detect cause security-violation shutdown vlan

errdisable recovery cause security-violation

radius-server host x.x.x.x

radius-server host y.y.y.y

radius-server timeout 10

radius-server retransmit 3

radius-server key SECRET

radius-server attribute 6 on-for-login-auth

radius-server attribute 8 include-in-access-req

radius-server attribute 25 access-request include

radius-server dead-criteria time 5 tries 3

radius-server vsa send authentication

radius-server vsa send accounting

ip radius source-interface <INTERFAZ DE MGMT>

Configuración CoA (change of authorization): Generalmente los servidores RADIUS CoA son los mismos servidores RADIUS

aaa server radius dynamic-author

  client x.x.x.x server-key SECRET

  client y.y.y.y server-key SECRET

Configuración REDIRECCION : Esta config se usa cuando queremos desplegar un portal cautivo, por ejemplo para el portal de invitados o para el portal de postura cuando usamos a Cisco ISE como servidor RADIUS.

ip http server

ip http secure-server

ip http secure-active-session-modules none

ip http active-session-modules none


ip device tracking probe use-svi

ip device tracking

epm logging

ip access-list extended REDIRECT_ACL

  deny udp any eq bootpc any eq bootps

  deny udp any any eq domain

  remark DENEGAR LAS IPS DE LOS SERVIDORES RADIUS

  deny ip any host x.x.x.x

  deny ip any host y.y.y.y

  permit tcp any any eq www

  permit tcp any any eq 443

  deny ip any any

Configuración DEVICE SENSOR Y RADIUS PROFILING : Esta config sólo se usa tenemos Cisco ISE como servidor Radius y usamos la función de profiling

access-session template monitor

device-sensor accounting

device-sensor notify all-changes

 

cdp run

lldp run

no macro auto monitor

Configuración SYSLOG HACIA SERVIDOR RADIUS ISE : Esta config sólo se usa cuando tenemos Cisco ISE como servidor Radius

logging monitor informational

logging esm config

logging origin-id ip

logging source-interface <INTERFAZ DE MGMT>

logging host x.x.x.x transport udp port 20514

logging host y.y.y.y transport udp port 20514

Configuración MAC MOVE

authentication mac-move permit

mac address-table notification change

mac address-table notification mac-move

Las configs anteriores se aplican a nivel global y tienen un riesgo muy bajo de afectación de servicio. En cambio la configuración en cada switchport tiene un riesgo muy alto de afectación de servicio. Existen cuatro casos de configuración de switchport "single-host" , "multi-host", "multi-domain" y "multi-auth". Sin embargo la opción recomendada es "multi-domain" y en segundo lugar "multi-auth".

Configuración SWITCHPORT MULTI-DOMAIN : Esta config es cuando tenemos sólo una dirección MAC en la vlan de datos y sólo una dirección MAC en la vlan de voz. Por ej el caso de una PC conectado a un teléfono IP que a su vez está conectado al switchport.

En esta config activamos "authentication open" para minimizar la  afectación del servicio. Además también usamos la VLAN crítica con los siguientes comandos: "authentication event server dead action authorize vlan <Vlan-de-datos>" y "authentication event server dead action authorize voice" Estos comandos permiten pasar todo el tráfico en  caso todos los servidores RADIUS fallen.

interface <NOMBRE DE INTERFAZ>

  switchport   mode access

  switchport access vlan <VLAN-DE-DATOS>

  switchport voice vlan <VLAN-DE-VOZ->

  authentication   event fail action next-method

  authentication   event server dead action authorize vlan <VLAN-DE-DATOS>

  authentication   event server dead action authorize voice

  authentication   host-mode multi-domain

  authentication   open

  authentication   order dot1x mab

  authentication   priority dot1x mab

  authentication   port-control auto

  authentication   violation restrict

  mab

  dot1x pae authenticator

  dot1x timeout quiet-period 15

  dot1x   timeout tx-period 15

  spanning-tree portfast

  spanning-tree bpduguard enable

Configuración SWITCHPORT MULTI-AUTH : Esta config es cuando tenemos múltiples dirección MAC en la vlan de datos (por ej

cuando hay un hub, o cuando hay un access point autónomo, o por ej el caso de una laptop con múltiples máquinas virtuales). En este modo no hay vlan de voz. Si un teléfono IP se conecta a este switchport quedará en la vlan de datos.

En esta config activamos "authentication open" para minimizar la afectación del servicio. Además también usamos la VLAN crítica con el comando "authentication event server dead action reinitialize vlan <Vlan-de-datos>". Este comando permite pasar todo el tráfico en caso todos los servidores RADIUS fallen. Notar que este comando es ligeramente diferente al usado en el modo "multi-domain"

interface <NOMBRE DE INTERFAZ>

  switchport   mode access

  switchport access vlan <VLAN-DE-DATOS>

  authentication   event fail action next-method

  authentication   event server dead action reinitialize vlan <VLAN-DE-DATOS>

  authentication   host-mode multi-auth

  authentication   open

  authentication   order dot1x mab

  authentication   priority dot1x mab

  authentication   port-control auto

  authentication   violation restrict

  mab

  dot1x pae authenticator

  dot1x timeout quiet-period 15

  dot1x   timeout tx-period 15

  spanning-tree portfast

  spanning-tree bpduguard enable

Historial de versiones
Revisión n.º
1 de 1
Última actualización:
‎07-11-2013 12:22 AM
Actualizado por:
 
Etiquetas (1)
Comentarios
New Member

Eduardo,

Gracias por la información de 802.1X.