Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Como configurar uma ordem de autenticação predefinida

O recurso VLAN de rejeição seletiva de servidor do Dot1x aumenta a flexibilidade e a segurança dos processos de autenticação do cliente 802.1X. Quando um servidor RADIUS rejeita a autenticação de um cliente, o switch usa outros métodos de autenticação configurados, como o MAC RADIUS, antes de colocar o cliente em um VLAN rejeitado por servidor. Esse recurso requer uma configuração cuidadosa da ordem de autenticação e configurações de VLAN que rejeitam servidores para maximizar as oportunidades de acesso à rede, mantendo uma segurança robusta. Além disso, o recurso introduz comandos específicos de interface de linha de comando (CLI) para configurar esses comportamentos e oferece suporte a personalização detalhada de sequências de autenticação, fornecendo um fluxo de trabalho de autenticação resiliente e amigável ao usuário.

Benefícios da configuração de métodos de autenticação múltipla

  • Melhora a segurança de rede ao tentar vários métodos de autenticação antes de restringir o acesso do cliente, garantindo uma verificação completa da legitimidade do cliente.

  • Melhora a experiência do usuário reduzindo a colocação desnecessária de clientes em VLANs que rejeitam servidores, permitindo que métodos alternativos de autenticação concedam acesso.

  • Aumenta a flexibilidade no controle de acesso à rede, permitindo sequências de autenticação configuráveis que se adaptam a diferentes políticas e requisitos de rede.

  • Garante o uso ideal dos recursos de rede evitando o isolamento imediato do cliente, permitindo assim um tratamento mais eficiente dos processos de autenticação.

  • Oferece suporte a um fluxo de trabalho de autenticação resiliente que mantém um equilíbrio entre segurança e acessibilidade, mesmo em cenários de re-autenticação.

Visão geral

O recurso VLAN de rejeição seletiva de servidor do Dot1x melhora significativamente o mecanismo de autenticação do cliente 802.1X, modificando a forma como os clientes são tratados após a rejeição de autenticação por um servidor RADIUS. Em vez de colocar imediatamente clientes rejeitados em uma VLAN de rejeição de servidor, o switch tenta outros métodos de autenticação configurados, como o MAC RADIUS. Essa abordagem garante um processo de verificação completo, potencialmente permitindo que os clientes obtenham acesso à rede por caminhos alternativos de autenticação antes de recorrer a medidas restritivas.

Para utilizar esse recurso, você deve configurar cuidadosamente a ordem de autenticação e as configurações de VLAN que rejeitam o servidor. A ordem de autenticação dita a sequência em que o switch tenta diferentes métodos, garantindo que todos os caminhos potenciais para a autenticação do cliente sejam explorados. Por exemplo, você pode definir a ordem para experimentar o 802.1X primeiro, seguido pelo MAC RADIUS, dependendo das suas políticas e requisitos de rede. O recurso exige que a opção pós-auth-order seja habilitada na interface, que direciona o switch para experimentar métodos de autenticação adicionais antes de colocar o cliente na VLAN com rejeição de servidor.

O comando set protocols dot1x authenticator interface <INTF_NAME> server-reject-vlan post-auth-order CLI é central para configurar esse recurso. Esse comando garante que o switch tente todos os métodos de autenticação configurados na ordem especificada antes de aplicar o VLAN rejeitado pelo servidor. Observe que esse recurso não é compatível com configurações de portal cativo na mesma interface e exige que o MAC RADIUS seja configurado. Durante a re-autenticação, o recurso mantém um equilíbrio entre flexibilidade e segurança, colocando os clientes diretamente no VLAN rejeitado pelo servidor se o servidor RADIUS os rejeitar novamente, evitando assim possíveis falhas de segurança.

Exemplo de configuração

Para implementar o recurso VLAN de rejeição seletiva de servidor do Dot1x, considere o exemplo de configuração a seguir. Suponha que você tenha uma interface que precisa oferecer suporte aos métodos de autenticação 802.1X e MAC RADIUS, e que deseja garantir que os clientes tenham várias chances de autenticar antes de serem colocados no VLAN rejeitado pelo servidor.

Configure MAC RADIUS e Dot1x na Interface:

set protocols dot1x authenticator interface ge-0/0/1 mac-radius set protocols dot1x authenticator interface ge-0/0/1

Definir a ordem de autenticação:

set protocols dot1x authenticator interface ge-0/0/1 server-reject-vlan post-auth-order

Especifique a VLAN com rejeição de servidor:

set protocols dot1x authenticator interface ge-0/0/1 server-reject-vlan vlan10

Neste exemplo, o switch tenta pela primeira vez a autenticação 802.1X. Se o servidor RADIUS rejeitar o cliente, o switch tentará a autenticação do MAC RADIUS. Somente se ambos os métodos falharem, o cliente será colocado na VLAN 10, a VLAN que rejeita o servidor. Essa configuração garante um processo de autenticação flexível e seguro, melhorando a experiência geral do usuário da rede.