Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Tiempo estimado: 90 minutos Objetivo: El laboratorio N 8 tiene la finalidad de familiarizar al alumno con el concepto de LACP, Link Aggregation Protocol, Equipo: 2 computadores con sistema operativo instalado y consola activa. 2 Switch layer 2 2 cables de consola
Los laboratorios que se efectuarn a continuacin tienen la finalidad de presentar caractersticas avanzadas de los switches DLink utilizando diferentes funciones, protocolos y estndares de comunicacin. Para los diferentes laboratorios se utiliza el mismo esquema global de conexiones, destacando en cada uno de los laboratorios la funcionalidad a probar. Los equipos utilizados en los laboratorios pertenecen a la familia DGS-36xx y DGS-34xx . Las configuraciones a efectuar permiten probar lo siguiente: Uso de protocolos de redundancia: LACP Seguridad: IP-MAC-Port Binding Control de acceso: 802.1x Guest VLan
Configurar los equipos con la topologa descrita en el diagrama, efectuando las configuraciones necesarias y verificar que se cumple el manejo de las caractersticas de los protocolos involucrados en la conectividad. Efectuar configuraciones de LACP verificando la activacin del protocolo.
1-4
5-8 9 - 12
VIOP
DGS-34xx ( L2-1-1 )
1-4
9 - 12 5-8
VIOP
# VLAN create vlan EdgePC tag 11 create vlan EdgeIPTV tag 12 create vlan EdgeVOIP tag 13
# Mgmt IP config ipif System ipaddress 10.90.90.13/24
# VLAN Port connection config vlan EdgePC add tagged 21-22 config vlan EdgeIPTV add tagged 21-22 config vlan EdgeVOIP add tagged 21-22 config vlan default delete 1-12 config vlan EdgePC add untagged 1-4 config vlan EdgeIPTV add untagged 5-8 config vlan EdgeVOIP add untagged 9-12
Configurar los equipos con la topologa descrita en el diagrama y verificar que se cumple el manejo de las caractersticas seguridad involucradas en la conectividad. Verificar que los equipos conectados puedan tener acceso a la red cuando este en una conexin valida y que no lo pueda hacer cuando cambie.
Puerto 1
Puerto 10
Puerto 25
Servidor
IP:192.168.0.20 MAC: 00-1F-3B-76-6D-09
1. Crear una entrada IP/MAC de PC1 2. Configurar Puertos 1-10 para habilitar IP-MAC Port Binding
delete address_binding blocked vlan <vlan_name> Borra registros de puertos bloquedos por nombre de VLAN
DGS-34XX:4#show address_binding blocked Command: show address_binding blocked VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------1 default 00-C0-9F-86-C2-5C 1 BlockByAddrBind Total entries : 1 DGS-34XX:4#show log Command: show log Index Time Log Text ----- ------------------- ---------------------------------------------------3 00000 days 00:09:31 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.10, MAC: 00C0-9F-86-C2-5C, port: 1) 2 00000 days 00:09:27 Port 1 link up, 100Mbps FULL duplex 1 00000 days 00:09:20 Port 1 link down
Configurar los equipos con la topologa descrita en el diagrama y verificar que se cumple el manejo de las caractersticas seguridad involucradas en la conectividad. Verificar que los equipos conectados se validen con el servidor Radius y puedan tener acceso a la red cuando sean validados y que no lo pueda hacer cuando si no se validan.
Guest vlan
X
Cliente 1
3. Despus de autenticacin
1. Los miembros de Guest VLAN pueden comunicarse incluso si no han pasado la autenticacin 802.1x. 2. Un miembro de Guest VLAN puede cambiarse a la VLAN destino basado en los atributos definidos en el servidor Radius cuando pase la autenticacin 802.1x.
(Guest vlan solo puede soportar 802.1x por puerto, no soporta 802.1x basado en mac)
Internet
DGS-34XX
Con acceso limitado
Vlan 10 (Guest Vlan)
Autenticacin Negada Si un visitante falla en la autenticacin 802.1x, se mantendr en la Guest VLAN (VLAN 10) donde tiene atributos limitados.
Internet
DGS-34XX
Cliente (Consultor)
Autenticacin validada Si el la identificacin del cliente (ej.: consultor RD) cumple la poltica y entrega el nombre/password correcta , ese cliente ser aceptado y puesto en la VLAN destino(VLAN 20) => Asignacin Dinmica de VLAN
## Habilitar 802.1x & guest vlan ## enable 802.1x create 802.1x guest_vlan v10 config 802.1x guest_vlan ports 13-24 state enable ## Configurar autenticador ## config 802.1x capability ports 13-24 authenticator config radius add 1 192.168.0.10 key 123456 default
client.conf
Agregar el contenido al archivo client.conf: Para proceso de autenticacin Switch y Radius
Version 1.1.5-r0.0.3 #client 192.168.0.0/24 { # secret = testing123-1 users.conf # shortname = private-network-1 #} Agregar el contenido al archivo users.conf : # Para proceso de autenticacin Switch y Radius ##----------------------------------------------------------------## client 192.168.0.0/24 { rfc3580 User-Password == "demo" secret = 123456 Tunnel-Type = "VLAN", shortname = Dlink Tunnel-Medium-Type = "IEEE-802", } Tunnel-Private-Group-Id = "1", ##----------------------------------------------------------------## Reply-Message = "Hello, %u" client 192.168.0.0/16 { ##----------- Dlink-Guest VLAN TEST START -------------## secret = testing123 shortname = private-network-1 test User-Password == "test" } Tunnel-Type = "VLAN",
Tunnel-Medium-Type = "IEEE-802", Tunnel-Private-Group-Id = "20", ##----------- Dlink-Guest VLAN TEST END --------------## # # This is a complete entry for "steve". Note that there is no Fall-Through # entry so that no DEFAULT entry will be used, and the user will NOT
C:\FreeRADIUS.net\etc\raddb
DGS-34XX:admin# show radius Command: show radius Index IP Address Auth-Port Acct-Port Status Key ----- ---------------- --------- --------- --------------- ----------1 192.168.1.100 1812 1813 Active 123456 Total Entries:1
Antes de que la puerta 15 (donde se conecto la visita) pase la autenticacin 802.1x Guest VLAN
DGS-34XX:admin# show vlan Command: show vlan VID :1 VLAN Name : default VLAN TYPE : static Advertisement : Enabled Member ports : Static ports : Current Untagged ports : Static Untagged ports : VID : 10 VLAN Name : v10 VLAN TYPE : static Advertisement : Disabled Member ports : 13-28 Static ports : 13-28 Current Untagged ports : 13-28 Static Untagged ports : 13-28 VID : 20 VLAN Name : v20 VLAN TYPE : static Advertisement : Disabled Member ports : 1-12 Static ports : 1-12 Current Untagged ports : 1-12 Static Untagged ports : 1-12 DGS-34XX:admin# show 802.1x auth_state Command: show 802.1x auth_state Port -----1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Auth PAE State Backend State Port Status -------------- ------------- -----------ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized Disconnected Idle Unauthorized Disconnected Idle Unauthorized Connecting Idle Unauthorized
Antes de que el cliente pase o falle la autenticacin 802.1x , la puerta 15 permanecer en la Guest VLAN (Vlan por defecto en este escenario), donde tiene atributos limitados de acceso a Internet y servidor WEB/FTP en Guest VLAN.
La puerta 15 es asignada dinmicamente a la VLAN 20 despus de pasar la autenticacin 802.1X , y tiene permiso para acceder al servidor de informacin confidencial.