Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Lab 11

    Enviado por

    David Soares
    8 visualizações4 páginas
    Lab

    Título original

    lab11

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Lab

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    8 visualizações4 páginas

    Lab 11

    Enviado por

    David Soares
    Lab

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 4

    Laboratrio de RCO2

    11o experimento

    Objetivos:
    i) Usar VLANs dinmicas baseadas em usurio
    ii) Criar uma rede com diferentes permisses de acesso de acordo com o usurio

    Introduo
    A norma IEEE 802.1x define o controle de acesso em nvel de enlace em uma LAN. Um
    usurio ou equipamento deve primeiro se identificar frente rede para somente ento poder se
    comunicar. Esse controle de acesso depende de trs componentes:
    i) Cliente (supplicant): o equipamento que deseja usar a rede
    ii) Autenticador: o equipamento da rede (switch ou AP) que faz o controle de acesso do
    cliente.
    iii) Servidor de autenticao: servio (usualmente RADIUS) que verifica as credenciais
    fornecidas pelo cliente

    Ilustrao 1: Componentes do controle de acesso IEEE 802.1x

    O switch Dlink DES-3526 do laboratrio de Redes 1 tem suporte a IEEE 802.1x. Com ele se
    pode fazer autenticao baseada em porta ou em endereo MAC. Cada porta do switch funciona
    como um autenticador separado, o que possibilita que existam portas com controle de acesso
    misturadas com portas sem controle de acesso. O switch recebe as credenciais fornecidas pelo
    supplicant, e as repassa a um servidor de autenticao Radius. A figura 2 mostra uma configurao
    possvel com esse switch.

    Ilustrao 2: Rede com portas controladas com IEEE 802.1x e switch DES-3526
    Alm da identificao do usurio para que ele possa ter acesso rede, possvel definir a
    VLAN em que ele deve ser colocado (ver RFC 3580). Isto possibilita a definio de VLANs
    dinmicas, e o acesso de um usurio a uma VLAN predefinida independente do ponto da rede que
    ele utiliza. Por exemplo, em um mesmo computador no IFSC um professor cairia na VLAN dos
    professores, com acesso a servidores especficos e certos tipos de trfego liberados, e um aluno
    cairia na VLAN dos alunos. O switch DES-3526 suporta a definio de VLANs dinmicas desta
    forma, bastando que o servidor de autenticao Radius informe a VLAN onde o usurio deve ser
    colocado.

    Roteiro

    1. Conecte os computadores de sua bancada ao switch DES-3526.


    2. Acesse a interface web do switch (switch da esquerda = 192.168.1.210, da direita =
    192.168.1.209).
    3. Habilite no switch o controle de acesso por porta IEEE 802.1x, usando o menu
    Configuration -> Advanced Settings.
    4. Configure as portas que estaro sujeitas ao controle de acesso em Security -> Port Access
    Entity->PAE.
    5. Configure o servidor RADIUS em Security Management-> Port Access Entity ->RADIUS.
    Os valores a serem preenchidos so:
    IP: 192.168.1.250
    Authentication port: 1812

    Accounting port: 1813


    Secret key: redes1
    6. A RFC 3580 define um mecanismo simples para definio de VLANs dinmicas que
    possibilita que usurios autenticados com IEEE 802.1x sejam colocados em VLANs
    predefinidas, alm do conceito de Guest VLAN mostrado na figura 4. Para testar isto crie
    duas VLANs no switch, com VID 5 e 10. Defina a VLAN 10 com sendo uma Guest VLAN
    (em Security Management -> Port Access Entity -> Guest VLAN), e deixe a VLAN 5 vazia.
    Tire da VLAN 1 as portas que esto sendo usadas com 802.1x. Em seguida refaa a
    autenticao com xsupplicant e verifique o status das VLANs no switch (veja que portas so
    membros das VLANs). O que aconteceu ?

    Ilustrao 3: Processo de seleo de VLAN de


    acordo com a autenticao
    7. Para demonstrar a possibilidade de definir a VLAN em funo do usurio, crie uma nova
    VLAN com VID 7. Em seguida edite o arquivo /etc/xsupplicant.conf, e na seo test1
    defina o usurio professor, com senha redes2. Depois refaa a autenticao com o
    xsupplicant. Verifique o status das VLANs no switch. Como esto as VLANs agora ?
    8. Para encerrar o experimento de hoje, deve ser implantada uma rede no laboratrio com a
    seguintes caractersticas:
    i) Todo usurio deve ser autenticado na rede com IEEE 802.1.x antes de poder us-la.
    ii) Usurios pertencem a trs categorias: alunos, professores, e visitantes. Alunos podem
    acessar somente os servidores do IFSC, visitantes podem apenas acessar o servidor Web do
    IFSC, e professores podem acessar qualquer servio (externo ou interno).
    iii) As restries de acesso a serem impostas a cada usurio devem ser ativadas assim que a
    autenticao tiver sucesso. Usurios que falhem em se autenticar so considerados
    visitantes.
    iv) Para testar sua configurao, existem os seguintes usurios: aluno com senha aluno e

    professor com senha redes2.

    Você também pode gostar