Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Atribuição dinâmica de VLAN para portas incolores

As empresas normalmente têm uma variedade de usuários e endpoints, o que resulta em vários casos de uso que precisam ser resolvidos por sua infraestrutura de políticas. A infraestrutura de políticas deve permitir que qualquer dispositivo de usuário suportado se conecte a qualquer porta no switch de acesso e seja autenticado com base nos recursos do dispositivo, no nível de autorização do usuário ou ambos.

As portas colorless suportam a anexação de qualquer dispositivo a qualquer porta de switch porque todas elas têm a mesma configuração inicial . A configuração inicial coloca os dispositivos em uma VLAN padrão que é usada para autenticar e, em seguida, traçar o perfil do dispositivo ou usuário. O conceito de porta incolor depende do perfil do dispositivo para atribuição de VLAN. Com base no tipo de dispositivo conectado à porta (AP, câmera IP ou impressora), o retornodo servidor NAC é o VLAN apropriado usando atributos RADIUS.

Benefícios da atribuição dinâmica de VLAN para portas incolores

  • Permita que qualquer dispositivo seja conectado a qualquer porta em um switch de acesso.

  • Implante políticas de segurança consistentes em toda a empresa.

Visão geral

Quando a autenticação 802.1X é habilitada em uma porta, o switch (conhecido como autenticador) bloqueia todo o tráfego de e para o dispositivo final (conhecido como suplicante) até que as credenciais do suplicante sejam apresentadas e combinadas em um servidor NAC. O servidor NAC normalmente é um servidor RADIUS ou um gerente de políticas que atua como um servidor RADIUS. Após a autenticação do suplicante, o switch abre a porta para o suplicante.

Como parte do processo de autenticação, um servidor RADIUS pode devolver atributos definidos por IETF que fornecem atribuições de VLAN ao switch. Você pode configurar um gerenciador de políticas para passar diferentes atributos RADIUS de volta ao switch com base na política de acesso ao endpoint. O switch altera dinamicamente a VLAN atribuída à porta de acordo com os atributos RADIUS que recebe.

Atributos de Egress-VLAN

Para dar suporte a portas de acesso e tronco como portas incolores, o atributo RADIUS deve indicar se os quadros na VLAN para esta porta devem ser representados em formato marcado ou não. Os atributos a seguir são suportados para atribuir dinamicamente uma VLAN e também especificar o formato de quadro:

  • Saída VLAN-ID

  • Nome da saída-VLAN

O atributo Egress-VLAN-ID ou Egresss-VLAN contém duas partes; a primeira parte indica se os quadros na VLAN para esta porta devem ser representados no formato taged ou não, a segunda parte é o nome VLAN.

Para Egress-VLAN-ID:

  • 0x31 = marcado

  • 0x32 = sem registro

Por exemplo, o perfil RADIUS a seguir inclui uma tag e uma VLAN não registrada:

Para nome de Egress-VLAN:

  • 1 = tag

  • 2 = sem registro

No exemplo abaixo, o VLAN 1vlan-2 está marcado, e o VLAN 2vlan-3 não está registrado:

Nota:

É obrigatório incluir os atributos do tipo de túnel e do tipo médio de túnel no perfil com Egress-VLAN-ID ou Egresso-VLAN-Name.

Quando o switch recebe uma atribuição de VLAN com "Egress-VLAN-ID", ele verifica se o VLAN já está presente no sistema. Se não, cria a VLAN dinâmica. Se o nome Egress-VLAN for usado, o VLAN já deve estar no sistema.

Atributos do modo suplicante

Os atributos RADIUS também podem ser usados para alterar o modo suplicante para autenticação 802.1X. Usando um atributo específico do fornecedor (VSA) da Juniper Networks, você pode definir o modo suplicante para um único ou único seguro:

  • Juniper-AV-Pair = Modo suplicante único

  • Juniper-AV-Pair = Suplicant-Mode-Single-Secure

Quando esses atributos são recebidos do servidor NAC, o modo suplicante configurado é alterado para combinar com o valor VSA após a sessão ser autenticada. Quando a sessão termina, o modo suplicante reverte para o modo que foi configurado no sistema antes de receber o VSA do servidor NAC. Quando um cliente recebe os atributos dinâmicos de suplicante único do servidor RADIUS, ele apaga todos os outros clientes autenticados nessa interface, mudando efetivamente o modo de interface de múltiplos para suplicantes únicos.