Blog Archives

Links interessantes para Configuração do 802.1x em Switches HPN, H3C e 3Com

IEEE 802.1X é um padrão IEEE para controle de acesso à rede que provê um mecanismo de autenticação para dispositivos que desejam juntar-se à uma porta na LAN, prevenindo acesso para esta porta se a autenticação falhar. A feature é também bastante poderosa para vinculo de VLANs, VLANs Guest e ACL’s dinâmicas.

Segue abaixo alguns links com modelos e soluções bem interessantes. Infelizmente nunca participei diretamente em projetos envolvendo esse modelo de autenticação, mas os documentos possuem detalhes importantes e vale a pena a leitura caso haja interesse em implementar a solução.

IEEE 802.1x Authentication -
http://h20195.www2.hp.com/v2/GetPDF.aspx/4AA3-7309ENW.pdf
! Esse arquivo PDF foi muito bem escrito e possui alguns modelos de autenticação de 802.1x com Software Livre, infelizmente o documento está em inglês.

Estudo de caso: Autenticação IEEE 802.1x baseada no Protocolo RADIUS e Serviço de Diretório LDAP aplicado a rede GIGAUFOPNET
http://www.decom.ufop.br/menotti/monoII102/files/BCC391-102-vf-04.1.4174…
! Documento muito bem escrito pelo Tiago Rodrigues Chaves como trabalho de conclusão de curso, utilizando Switches 3Com modelo 5500 e 4500

801.1x Configuration – H3C
http://www.h3c.com/portal/Technical_Support___Documents/Technical_Documents/Switches/H3C_…
! Material bem técnico elaborado pela H3C, infelizmente o documento está em inglês.

Se algum link estiver quebrado, mande email ou deixe um comentário

Boa leitura

Switches 3Com 4800G – Autenticação de MAC via RADIUS

Publicado originamente em 13 DE ABRIL DE 2011

A autenticação de endereços MAC permite a autenticação da máquina do usuário baseada no endereço de Hardware. O cenário é bastante útil quando não há a possibilidade de utilização de 802.1x devido a diversos fatores, como software client, autenticação manual de usuários e etc.

O servidor RADIUS deverá possui a base de endereços MAC para validação da interface de rede do Switch para o usuário conectar-se a rede.

Configuração

#
mac-authentication
! Habilitando a autenticação por endereço MAC
#
radius scheme comutadores
! Criando o esquema para o RADIUS com o nome comutadores
server-type extended
primary authentication 192.168.99.6 
! Atribuindo endereço IP do Servidor RADIUS para autenticação
primary accounting 192.168.99.6 
key authentication s3nharadius
! Atribuindo a chave s3nharadius para autenticação com o RADIUS
key accounting s3nharadius
user-name-format without-domain
#
domain comutadores 
! Criando o domínio comutadores
authentication login local
! Autenticação para administração do Switch com a base de usuários locais
authorization login local
authentication default radius-scheme comutadores
! Autenticação do Switch com a base no esquema de RADIUS comutadores
authorization default radius-scheme comutadores
#
interface GigabitEthernet1/0/1
mac-authentication
!Habilitando a autenticação de MAC na interface Giga1/0/1
#

Obs: Por default o Switch encaminhará o endereço MAC como usuário e senha para validação no RADIUS

Um agradecimento especial pela equipe de Redes da UNESP Botucatu e o mestre Camilo Quitério que encaminharam o script!

Switches 3Com 5500 – Guia rápido de Configuração!!! Parte 2

Publicado originalmente em 30 DE DEZEMBRO DE 2010

Olá amigos, para comemorar um ótimo ano profissional e para fechar 2010 com “chave de ouro”, hoje eu escrevo a continuação do Post mais popular desse ano. “Switches 3Com 5500 – Guia rápido de Configuração!!!”

Desejo a todos um Feliz 2011!!

Syslog
[Switch]info-center loghost 10.1.1.1
Encaminhando mensagens os Logs para o Servidor de Syslog 10.1.1.1

NTP
[Switch]ntp-service unicast-server 10.1.1.2
Configurando o sincronismo do relógio com o servidor 10.1.1.2

BANNER
header motd %
=================================================================

“This system resource are restricted to Corporate official business and subject to being monitored at any time. Anyone using this network device or system resource expressly consents to such monitoring and to any evidence of unauthorized access, use or modification being used for criminal prosecution.”

=================================================================
%
Mensagem exibida para os usuários que farão acesso ao Switch. O inicio e fim da mensagem é delimitado por um caractere especial, no nosso exemplo, utilizamos o %

Atualizando o Switch via Servidor TFTP
<Switch> tftp 10.1.1.10 get s4e04_02.btm
<Switch> tftp 10.1.1.10 get s4m03_03_02s168ep05.app
Copiando os arquivos .btm e .app do Servidor de TFTP para o SWitch
<Switch>boot bootrom s4e04_02.btm
Forçando o Bootrom com o arquivo s4e04_02.btm 
<Switch> boot boot-loader s4m03_03_02s168ep05.app
Forçando o .app (Sistema Operacional) com o arquivo s4m03_03_02s168ep05.app
<Reboot>

Atribuindo as portas como Edged(portfast)
[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] stp edged-port enable
A porta configurada como edged-port entrará automaticamente em estado encaminhamento (pulando os estados iniciais do STP ou RSTP) e não gerará mensagens de notificação à topologia em caso de UP ou DOWN

STP Root Protection
[Switch]interface Ethernet1/0/3
[Switch-Ethernet1/0/3]stp root-protection
Se a porta configurada com Root-protection receber um BPDU Superior ao Root (querendo tornar-se Root no STP), a mesma não trafegará dados até cessar o recebimento dos BPDUs superiores naquela porta

Configurando SSH
[Switch] rsa local-key-pair create
Gerando as chaves RSA
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] protocol inbound ssh
Configurando modo de autenticação SOMENTE para SSH
[Switch-ui-vty0-4] quit
[Switch] local-user clientex
[Switch-luser-clientex] password simple 3com
[Switch-luser-clientex] service-type ssh level 3
Permitindo o usuário clientex conectar via SSH com permissão de administrador (3)
[Switch-luser-client2] quit
[Switch] ssh authentication-type default all

Configurando autenticação no Switch via RADIUS
radius scheme empresax
Criando o Scheme para o RADIUS chamado empresax
primary authentication 10.110.91.164 1645
Configurando o servidor de autenticação com o IP 10.110.91.164 com a porta 1645
primary accounting 10.110.91.164 1646
Configurando o servidor de contabiilidade com o IP 10.110.91.164 com a porta 1646
key authentication Swsec2011
Configurando a chave Swsec2011 compartilhada entre o RADIUS e o Switch
key accounting Swsec2011
Configurando a chave para contabilidade Swsec2011 compartilhada entre o RADIUS e o Switch
user-name-format without-domain
Configurando a autenticação para encaminhamento do usuário sem o formato nome@dominio (nome@empresax)
#
domain empresax
Criando o domínio empresax
authentication radius-scheme empresax
Efetuando o vinculo do radius empresax com o domínio empresax
#
domain default enable empresax
Na utilização de mais de um domínio, o domínio default será o domínio empresax
#
user-interface vty 0 4
authentication-mode scheme
Habilitando a utilização na interface vty 0 4 de Telnet ou SSH para utilização do RADIUS para
autenticação ao Switch

Configurando uma porta conectada a um Telefone IP e um Host (na mesma porta).
[Switch] interface ethernet 1/0/6
[Switch-Ethernet1/0/6] port link-type trunk
[Switch-Ethernet1/0/6] port trunk permit vlan 2 4
Configurando a porta para permitir a VLAN 2 ( telefonia) e VLAN 4 (Host)
[Switch-Ethernet1/0/6] port trunk pvid vlan 4
Configurando a porta para enviar e receber frames não-tagueados na VLAN 4

Port Security
[Switch] port-security enable
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] port-security max-mac-count 1
Configurando o Port Security para permitir o aprendizado de somente um endereço MAC
[Switch-Ethernet1/0/1] port-security port-mode autolearn
Configurando o Port Security para aprender dinamicamente o endereço MAC “amarrado a porta”. Se outro endereço MAC for aprendido após o primeiro aprendizado a porta entra´ra em estado de violação e não trafegará dados! 

DHCP-Relay 
[Switch] dhcp enable
Ativando o serviço DHCP
[Switch] dhcp –server 1 ip 10.1.1.1
Adicionando o servidor DHCP 10.1.1.1 dentro do grupo 1.
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.1 255.255.255.0
[Switch-Vlan-interface2] dhcp-server 1
Correlacionando a VLAN-interface 2 para o grupo DHCP 1

Saúde e Sucesso a todos!!!!

 

 

Controladora HP A-WX5002 – Configurando Autenticação do Portal via RADIUS

O Script abaixo foi encaminhado pelo Luiz Santos para autenticação do Web Portal via RADIUS. Após habilitarmos o Web Portal, poderemos utilizar as linhas abaixo:

#
radius scheme Comutadores
!Criando o esquema RADIUS com o nome Comutadores 
primary authentication 192.168.2.1 
! IP do Servidor RADIUS primário para autenticação
key authentication rad1us
! Chave rad1us para autenticação do RADIUS com o suplicante (controladora WX5002)
 user-name-format without-domain 
! Encaminhamento do usuário sem o formato @dominio
#
 domain default enable comutadores.com.br
! Configurando o domínio comutadores.com.br como padrão
#
domain comutadores.com.br
!Criando o domínio comutadores.com.br
 authentication portal radius-scheme wx5002 
! Esquema Comutadores para autenticação do portal
 authorization portal radius-scheme wx5002 
 accounting portal radius-scheme wx5002 
 access-limit disable 
 state active 
 idle-cut disable 
 self-service-url disable 
 accounting optional 

Até a próxima! :)