Foro en Español

Reply
Highlighted
New Contributor

Tutorial - 802.1X ClearPass + Brocade

ClearPass se diferencia por ser un producto que permite integrar múltiples tecnologías utilizando el estándar de 802.1X para hacer autenticación por medio de una fuente que contenga usuarios, estas fuentes pueden ser:

 

  • MS AD
  • LDAP
  • RADIUS
  • ETC...

La intención de esta guía es dar los pasos básicos para hacer la integración de equipos Switch Brocade (ICX) con ClearPass:

 

Configuración Equipo Brocade

Esta configuración se realiza por medio de CLI en el equipo Brocade, una vez que estemos dentro del equipo debemos de ejecutar el comando "configure terminal" para entrar a modo configuración, el promt deberá de cambiar a ICX7250-1(config) #.

 

Una vez que estemos en moco configuración debemos hacer la configuración de nuestro servidor de RADIUS utilizando los siguientes comandos.

     radius-server hos <IP CLEARPASS>

     radius-server key <shared secret>

 

Ya que se tiene dado de alta el servidor de RADIUS en el equipo se debe de hacer la configuración de AAA utilizando los siguientes comandos:

     aaa authen dot1x default radius -> Esto define por defecto que 802.1X será el mecanismo de autenticación

 

Ya establecido el mecanismo de autenticación por defecto debemos realizar la configuración de Autenticación utilizando los siguientes comandos:

     authentication - Esto cambiará el promt a ICX7250-1(config-authen) #. lo cual indica que vamos a modificar las propiedad de autenticación.

     auth-default-vlan-10 -> Esta vlan debe de existir yes la vlan por defecto que será asignada y requerida por la configuración, en caso de hacer perfiles en ClearPass de VLAN Enforcement la VLAN de igual forma debe de existir y después ClearPass realizará el cambio de VLAN, tipicamente esta vlan será la nativa.

     dot1x enable -> Esto habilita 802.1X para autenticación en el equipo Switch.

 

Finalmente definimos que puertos son aquellos en los que queremos hacer autenticación 802.1X, en este caso podemos ejecutar cualquiera de los siguientes comandos:

     dot1x enable all - Esto habilita la autenticación en todos los puertos

     dot1x enable ethernet 1/1/1 - Esto habilita la autenticación en 1 solo puerto definido por la nomenclatura del mismo.

     

Configuración ClearPass

Del lado de ClearPass la configuración es muy sencilla y se resume en x pasos.

  • Habilitar RADIUS del NAD
  • Alta de Equipo NAD
  • Alta de SERVICIO de Autenticación

Habilitar RADIUS del NAD

Antes que nada debemos de verificar que el diccionario de RADIUS para brocade este habilitado, esto lo hacemos en la siguiente ruta:

 

Administration -> Dictionaries -> RADIUS

 

Aquí lo que debemos hacer es buscar Brocade y habilitarlo

RADIUS 1.png

 

RADIUS 2.png

 

RADIUS 1.png

 

Alta de Equipo NAD

Una vez que tenemos listo el diccionario de radius lo que tenemos que hacer es dar de alta el dispositivo NAD (Network Access Device) para que se permita hacer la autenticación por 802.1X, para realizar esto debemos ir a la siguiente ruta:

 

Configuration -> Network -> Devices -> Add

 

En este apartado debemos de dar de alta la información del equipo SW con el que queremos hacer autenticación por 802.1X tomando en cuenta que el Shared Secret deberá de ser el mismo que definimos para el "KEY" en la alta del servidor de RAIDUS en la configuración del equipo Switch Brocade.

 

RADIUS 4.png

 

Alta de SERVICIO de Autenticación

Finalmente, lo que debemos de hacer es crear el servicio de autenticación que permita conexiones de tipo Wired para comenzar a autenticar, para este ejemplo dejaré la configuración BASE del servicio a a cual se le pueden agregar políticas de Enforcement y Mapeo de Roles.

 

Para esta configuración se debe de realizar en la siguiente ruta:

 

Configuration -> Services -> Add

 

Serv1.png

 

Serv2.png

 

Serv3.png

 

Serv4.png

 

Serv5.png

 

Dejen sus KUDOS y si tienen dudas con gusto las responderé en los comentarios.

 

 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: