Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Creación y administración de perfiles RADIUS

El Servicio de usuario de marcado de autenticación remota (RADIUS) es un protocolo de red que proporciona administración centralizada de autenticación, autorización y contabilidad (AAA) para que los equipos se conecten y usen un servicio de red. De forma predeterminada, los servidores RADIUS se utilizan tanto para la contabilidad como para la autenticación. Desde Network Director, puede crear y administrar perfiles RADIUS que configuren las opciones del servidor RADIUS.

Propina:

Además del servidor RADIUS, también puede configurar un servidor LDAP para la autenticación del conmutador ELS de la serie EX; para obtener instrucciones, consulte Creación y administración de perfiles LDAP.

En este tema se describe:

Administración de perfiles RADIUS

Desde la página Administrar perfiles RADIUS, puede:

  • Cree un nuevo perfil haciendo clic en Agregar. Para obtener instrucciones, consulte Creación de perfiles RADIUS.

  • Para modificar un perfil existente, selecciónelo y haga clic en Editar.

  • Para ver información sobre un perfil, seleccione el grupo y haga clic en Detalles o haga clic en el nombre del perfil.

  • Para eliminar perfiles, seleccione el perfil y haga clic en Eliminar.

    Propina:

    No puede eliminar perfiles que estén en uso, es decir, asignados a objetos o utilizados por otros perfiles. Para ver las asignaciones actuales de un perfil, selecciónelo y haga clic en Detalles.

  • Para clonar un perfil, selecciónelo y haga clic en Clonar.

En la tabla 1 se describe la información proporcionada sobre los perfiles RADIUS en la página Administrar perfiles RADIUS. Esta página enumera todos los perfiles RADIUS definidos para su red, independientemente del alcance seleccionado actualmente en la vista de red.

Tabla 1: Información del perfil RADIUS

Campo

Descripción

Nombre del perfil RADIUS

Nombre asignado al perfil RADIUS cuando se creó.

Dirección del servidor

Dirección IP del servidor RADIUS.

Puerto del servidor

Puerto UDP utilizado por el servidor RADIUS.

Hora de creación

Fecha y hora en que se creó este perfil.

Hora de actualización

Fecha y hora de la última modificación de este perfil.

Nombre de usuario

El nombre de usuario del usuario que creó o modificó el perfil.

Propina:

Es posible que no se muestren todas las columnas actualmente. Para mostrar u ocultar campos en la tabla, haga clic en la flecha abajo del encabezado del campo, seleccione Columnas y active o desactive la casilla situada junto al campo que desea mostrar u ocultar.

Creación de perfiles RADIUS

Para crear un perfil RADIUS:

  1. Haga clic en el banner Network Director.

  2. En Seleccionar vista, seleccione Vista lógica, Vista de ubicación, Vista de dispositivo o Vista de grupo personalizada.

    Propina:

    No seleccione Vista de panel ni Vista de topología.

  3. En el panel Tareas, seleccione el tipo de red (cableada), el área funcional adecuada (Sistema o AAA) y seleccione el nombre del perfil que desea crear. Por ejemplo, para crear un perfil de puerto para un dispositivo cableado, haga clic en Perfiles de > cableados > PUERTO. Se abrirá la página Administrar perfil.

  4. Haga clic en Agregar en la página Administrar perfiles RADIUS.

    Aparecerá la página Crear perfil RADIUS.

  5. Introduzca la configuración del perfil RADIUS en la página Crear perfil RADIUS como se describe en Especificación de la configuración de un perfil RADIUS.

  6. Haga clic en Listo.

Especificación de la configuración de un perfil RADIUS

Utilice la página Crear perfil RADIUS para definir la configuración de autenticación, autorización y auditoría para un servidor RADIUS.

En la tabla 2 se describe la configuración del perfil RADIUS.

Tabla 2: Configuración del perfil RADIUS

Campo

Acción

Nombre del servidor

Escriba un nombre para el servidor, utilizando hasta 64 caracteres alfanuméricos y ningún carácter especial aparte del carácter de subrayado. El nombre debe ser único entre los servidores.

Dirección del servidor

Escriba la dirección IP del servidor RADIUS.

Puerto de autenticación (el valor predeterminado es 1812)

Con las flechas, ajuste el número del puerto UDP que se utilizará para los mensajes de autenticación RADIUS. El puerto UDP predeterminado es 1812 y el intervalo es de 0 a 65535.

Secreto

Proporcione una contraseña para el servidor RADIUS.

Configuración avanzada

Puede cambiar la configuración avanzada de un servidor RADIUS o puede utilizar la configuración predeterminada.

Puerto de contabilidad(el valor predeterminado es 1813)

Con las flechas, ajuste el número del puerto UDP que se usará para los mensajes de contabilidad RADIUS. El puerto UDP predeterminado es 1813 y el intervalo es de 0 a 65535.

Recuento de reintentos(el valor predeterminado es 3)

Con las flechas, ajuste el recuento de reintentos hasta que refleje el número de veces que Network Director reintenta conectarse al servidor RADIUS cuando el servidor RADIUS no está disponible.

Timeout (el valor predeterminado es de 5 segundos)

Con las flechas, ajuste el valor del tiempo de espera. El tiempo de espera indica cuántos segundos Network Director permite la conexión al servidor RADIUS antes de dar un error inalcanzable.

Tiempo muerto(el valor predeterminado es de 5 segundos)

Con las flechas, ajuste el número de segundos antes de que Network Director compruebe un servidor RADIUS que anteriormente no respondía. El valor predeterminado es 5 segundos.

Usar MAC como contraseña

Active esta opción si desea que cada dispositivo cliente utilice su dirección MAC como contraseña para el servidor RADIUS. Si habilita Usar MAC como contraseña, el campo Contraseña de autorización deja de estar disponible.

Contraseña de autorización

Si no utiliza direcciones MAC como contraseñas para el servidor RADIUS, proporcione aquí una contraseña común.

Formato de dirección MAC

Seleccione Ninguno, Guiones, Dos puntos, Un guión o Sin formato para determinar el formato de dirección MAC utilizado con el servidor RADIUS. Por ejemplo:

  • Ninguno: para IPv4 de unidifusión, una dirección MAC de ejemplo es 0123456789ab. Para la unidifusión IPv6, un ejemplo de dirección MAC es 20010db800000000000ff00000428329.

  • Guiones: para IPv4 de unidifusión, un ejemplo de dirección MAC con guiones es 01-23-45-67-89-ab. Para IPv6 de unidifusión, un ejemplo de dirección MAC con guiones es 2001-0db8-0000-0000-0000-ff00-0042-8329.

  • Dos puntos: para IPv4 de unidifusión, un ejemplo de dirección MAC que usa dos puntos es 01:23:45:67:89:ab. Para unidifusión IPv6, un ejemplo de dirección MAC con dos puntos es 2001:0db8:0000:0000:0000:ff00:0042:8329.

  • Un guión: las direcciones de unidifusión IPv6 distintas de las que comienzan con binario 000 se dividen lógicamente en dos partes: un prefijo de (sub)red de 64 bits y un identificador de interfaz de 64 bits que se utiliza para identificar la interfaz de red de un host. El guión se coloca entre las dos partes.

  • Sin formato: La dirección IPv6 está representada por todos los números; no se omiten secciones que contengan todos los ceros y luego se representan con dos puntos dobles. Por ejemplo, esta es una dirección IPv6 sin procesar: 2001:0000:0234:C1AB:0000:00A0:AABC:003F.

Protocolo de autenticación(El valor predeterminado es PAP)

Seleccione PAP, CHAP, MSCHAP-V2 o Ninguno para determinar un protocolo de autenticación para el servidor RADIUS. Estos protocolos de autenticación funcionan de la siguiente manera:

  • PAP: significa Protocolo de autenticación de contraseña y es utilizado por los protocolos punto a punto para validar a los usuarios antes de permitirles el acceso a los recursos del servidor. Casi todos los servidores remotos de sistemas operativos de red admiten PAP. Sin embargo, PAP transmite contraseñas ASCII sin cifrar a través de la red y, por lo tanto, no es seguro. Utilícelo como último recurso cuando el servidor remoto no admita la autenticación más segura.

  • CHAP: significa Protocolo de autenticación por desafío mutuo y autentica a un usuario o host de red en una entidad autenticadora. CHAP proporciona protección contra ataques de reproducción por parte del par mediante el uso de un identificador que cambia incrementalmente y de un valor de desafío variable. CHAP requiere que tanto el cliente como el servidor conozcan el texto sin formato de la contraseña secreta; nunca se envía a través de la red. CHAP proporciona una mejor seguridad que PAP.

  • MSCHAP-V2: significa la implementación de Microsoft del Protocolo de autenticación de desafío mutuo versión 2 en el enrutador para soporte de cambio de contraseña. Esta función ofrece a los usuarios que acceden a un enrutador la opción de cambiar la contraseña cuando la contraseña caduca, se restablece o está configurada para cambiarse en el próximo inicio de sesión. La variante MS-CHAP no requiere que ninguno de los pares conozca el texto sin formato de la contraseña secreta. MSCHAP-V2 se utiliza como opción de autenticación con servidores RADIUS utilizados para la seguridad Wi-Fi mediante el protocolo WPA-Enterprise.

Prioridad del servidor(el valor predeterminado es 1)

Introduzca una prioridad de servidor para indicar el orden en que se accede a los servidores RADIUS. Ingresar uno significa que este servidor se verifica primero.

Haga clic en Aceptar para agregar el servidor RADIUS al perfil de acceso de conmutación EX. Puede agregar más servidores RADIUS si es necesario.

Si tiene varios servidores RADIUS, puede priorizarlos en la sección Orden del servidor de autenticación, utilizando las flechas.

Haga clic en Listo para crear el perfil de servidor RADIUS.

El nombre del servidor RADIUS aparece en la lista de servidores RADIUS de la página Administrar perfiles RADIUS.

Qué hacer a continuación

Vincule el servidor RADIUS a un perfil de acceso. Para obtener instrucciones, consulte Creación y administración de perfiles de acceso.