{"id":4695,"date":"2019-06-15T06:57:55","date_gmt":"2019-06-15T09:57:55","guid":{"rendered":"https:\/\/blog.clusterweb.com.br\/?p=4695"},"modified":"2019-06-15T06:57:55","modified_gmt":"2019-06-15T09:57:55","slug":"comware-configurando-o-802-1x-dot1x","status":"publish","type":"post","link":"https:\/\/blog.clusterweb.com.br\/?p=4695","title":{"rendered":"Comware \u2013 Configurando o 802.1x – DOT1X"},"content":{"rendered":"

O IEEE 802.1X (tamb\u00e9m chamado de dot1x) \u00e9 um padr\u00e3o IEEE RFC 3748 para controle de acesso \u00e0 rede. Ele prove um mecanismo de autentica\u00e7\u00e3o para hosts que desejam conectar-se a um Switch ou Access Point, por exemplo. A funcionalidade \u00e9 tamb\u00e9m bastante poderosa para vinculo de VLANs, VLANs Guest e ACL\u2019s din\u00e2micas. Essas informa\u00e7\u00f5es s\u00e3o enviadas durante o processo de autentica\u00e7\u00e3o utilizando o \u00a0RADIUS como servidor. As funcionalidades do 802.1x permitem por exemplo, que caso um computador n\u00e3o autentique na rede, a m\u00e1quina seja redirecionada para uma rede de visitantes, etc.<\/p>\n

O padr\u00e3o 802.1x descreve como as mensagens EAP s\u00e3o encaminhadas entre um\u00a0suplicante<\/strong>\u00a0(dispositivo final, como uma m\u00e1quina de um usu\u00e1rio) e o\u00a0autenticador<\/strong>(Switch ou Access Point), e \u00a0entre o\u00a0autenticador<\/strong>\u00a0e o\u00a0servidor de autentica\u00e7\u00e3o<\/strong>. O\u00a0autenticador<\/strong>\u00a0encaminha as informa\u00e7\u00f5es EAP para o\u00a0servidor de autentica\u00e7\u00e3o<\/strong>\u00a0pelo protocolo RADIUS.<\/p>\n

Uma das vantagens da arquitetura EAP \u00e9 a sua flexibilidade. O protocolo EAP \u00e9 utilizado para selecionar o mecanismo de autentica\u00e7\u00e3o. O protocolo 802.1x \u00e9 chamado de encapsulamento EAP over LAN (EAPOL). Atualmente ele \u00e9 definido para redes Ethernet, incluindo o padr\u00e3o 802.11 para LANs sem fios.<\/p>\n

<\/p>\n

Os dispositivos que comp\u00f5em a topologia para o funcionamento do padr\u00e3o 802.1x s\u00e3o:<\/p>\n

Suplicante\u00a0<\/strong>(Supplicant<\/em>): um suplicante pode ser um host com suporte a 802.1x com software cliente para autentica\u00e7\u00e3o, um telefone IP com software com suporte a 802.1x etc.<\/p>\n

Autenticador\u00a0<\/strong>(Authenticator<\/em>): Dispositivo (geralmente o Switch, AP, etc) no meio do caminho que efetua a interface entre o Autenticador e o Suplicante. O autenticador funciona como um proxy para fazer o relay da informa\u00e7\u00e3o entre o suplicante e o servidor de autentica\u00e7\u00e3o. O Switch recebe a informa\u00e7\u00e3o de identidade do suplicante via frame EAPoL (EAP over LAN) que \u00e9 ent\u00e3o verificado e encapsulado pelo protocolo RADIUS e encaminhado para o servidor de autentica\u00e7\u00e3o. Os frames EAP n\u00e3o s\u00e3o modificados ou examinados durante o encapsulamento. J\u00e1 quando o Switch recebe a mensagem do RADIUS do Servidor de autentica\u00e7\u00e3o, o cabe\u00e7alho RADIUS \u00e9 removido, e o frame EAP \u00e9 encapsulado no formato 802.1x e encaminhado de volta ao cliente.<\/p>\n

Servidor de Autentica\u00e7\u00e3o<\/strong>\u00a0(Authentication Server<\/em>): O Servidor RADIUS \u00e9 respons\u00e1vel pelas mensagens de permiss\u00e3o ou nega\u00e7\u00e3o ap\u00f3s valida\u00e7\u00e3o do usu\u00e1rio. Durante o processo de autentica\u00e7\u00e3o o\u00a0Authentication Server<\/em>\u00a0continua transparente para o cliente pois o suplicante comunica-se apenas com o\u00a0authenticator<\/em>. O protocolo RADIUS com as extens\u00f5es EAP s\u00e3o somente suportados pelo servidor de autentica\u00e7\u00e3o.<\/p>\n

\"802.1x\"<\/a><\/p>\n

    \n
  1. O suplicante envia uma mensagem start para o autenticador.<\/li>\n
  2. O autenticador envia uma mensagem solicitando um login ao suplicante.<\/li>\n
  3. O suplicante responde com o login com as credenciais do usu\u00e1rio ou do equipamento.<\/li>\n
  4. O autenticador verifica o quadro EAPoL e encapsula-o no formato RADIUS, encaminhando posteriormente o quadro para o servidor RADIUS.<\/li>\n
  5. O servidor verifica as credenciais do cliente e envia uma resposta ao autenticador com a aplica\u00e7\u00e3o das pol\u00edticas.<\/li>\n
  6. Baseado ne mensagem da resposta, o autenticador permite ou nega o acesso \u00e0 rede para a porta do cliente.<\/li>\n<\/ol>\n

    Exemplo de Configura\u00e7\u00e3o em Switches HP baseados no Comware<\/strong><\/p>\n

    Neste, post forneceremos apenas a configura\u00e7\u00e3o de um Switch HP com o Comware 5. As configura\u00e7\u00f5es do suplicante e do Servidor de autentica\u00e7\u00e3o devem ser verificadas na documenta\u00e7\u00e3o dos seus respectivos SO.<\/p>\n

    Passo 1: Configure o servidor RADIUS<\/strong> \r\n radius scheme <nome do radius scheme>\r\n  primary authentication <ip do servidor> key <chave> \r\n  ! Configure o IP do servidor RADIUS e a chave \r\n  user-name-format without-domain\r\n  ! o formato do nome de usu\u00e1rio sem o envio do @dominio \r\n  nas-ip <endere\u00e7o IP do Switch> \r\n  ! O NAS-IP permite for\u00e7ar o IP para as mensagens trocadas entre o Switch e RADIUS\r\n quit\r\n\r\nPasso 2: Configure o Dom\u00ednio\r\n<\/strong>domain <nome do domain>\r\n  authentication lan-access radius-scheme <nome do radius scheme>\r\n  authorization lan-access radius-scheme  <nome do radius scheme>\r\n  ! Configurando a autentica\u00e7\u00e3o e a autoriza\u00e7\u00e3o do acesso a LAN \r\n quit \r\n\r\nPasso 3: Configure o 802.1x globalmente no Switch<\/strong>\r\ndot1x \r\ndot1x authentication-method eap\r\n\r\nPasso 4: Configure o dot1x nas portas do switch<\/strong>\r\ninterface GigabitEthernet 1\/0\/x\r\n   dot1x\r\n   ! A porta utiliza o modo auto do 802.1x e solicita autentica\u00e7\u00e3o\r\n<\/pre>\n
    \"cen\u00e1rio<\/a><\/p>\n
    Refer\u00eancias<\/strong><\/p>\n
    CCNP Security SISAS 300-208 Official Cert Guide, Cisco Press 2015, Aaron Woland and Kevin Redmon
    \n    https:\/\/blog.ccna.com.br\/2009\/02\/25\/pr-o-que-e-8021x\/
    \n<\/a>    https:\/\/tools.ietf.org\/html\/rfc3748
    \n<\/a>    https:\/\/certifiedgeek.weebly.com\/blog\/hp-comware-and-wired-8021x<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
    O IEEE 802.1X (tamb\u00e9m chamado de dot1x) \u00e9 um padr\u00e3o IEEE RFC 3748 para controle de acesso \u00e0 rede. Ele prove um mecanismo de autentica\u00e7\u00e3o para hosts que desejam conectar-se a um Switch ou Access Point, por exemplo. A funcionalidade \u00e9 tamb\u00e9m bastante poderosa para vinculo de VLANs, VLANs Guest e ACL\u2019s din\u00e2micas. Essas informa\u00e7\u00f5es […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[730,1,79,42,495,68,271,541],"tags":[1340,1339,718,1341,698],"class_list":["post-4695","post","type-post","status-publish","format-standard","hentry","category-clusterweb","category-viazap","category-firewall","category-leitura-recomendada","category-profissional-de-ti","category-redes-2","category-seguranca-2","category-vlans","tag-802-1x","tag-comware","tag-configurando","tag-dot1x","tag-o"],"_links":{"self":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/4695","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4695"}],"version-history":[{"count":1,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/4695\/revisions"}],"predecessor-version":[{"id":4696,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/4695\/revisions\/4696"}],"wp:attachment":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4695"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4695"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4695"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}