Atribuição dinâmica de VLAN para portas incolores
As empresas normalmente têm uma variedade de usuários e endpoints, o que resulta em vários casos de uso que precisam ser resolvidos por sua infraestrutura de políticas. A infraestrutura de políticas deve permitir que qualquer dispositivo de usuário suportado se conecte a qualquer porta no switch de acesso e seja autenticado com base nos recursos do dispositivo, no nível de autorização do usuário ou ambos.
As portas colorless suportam a anexação de qualquer dispositivo a qualquer porta de switch porque todas elas têm a mesma configuração inicial . A configuração inicial coloca os dispositivos em uma VLAN padrão que é usada para autenticar e, em seguida, traçar o perfil do dispositivo ou usuário. O conceito de porta incolor depende do perfil do dispositivo para atribuição de VLAN. Com base no tipo de dispositivo conectado à porta (AP, câmera IP ou impressora), o retornodo servidor NAC é o VLAN apropriado usando atributos RADIUS.
Benefícios da atribuição dinâmica de VLAN para portas incolores
-
Permita que qualquer dispositivo seja conectado a qualquer porta em um switch de acesso.
-
Implante políticas de segurança consistentes em toda a empresa.
Visão geral
Quando a autenticação 802.1X é habilitada em uma porta, o switch (conhecido como autenticador) bloqueia todo o tráfego de e para o dispositivo final (conhecido como suplicante) até que as credenciais do suplicante sejam apresentadas e combinadas em um servidor NAC. O servidor NAC normalmente é um servidor RADIUS ou um gerente de políticas que atua como um servidor RADIUS. Após a autenticação do suplicante, o switch abre a porta para o suplicante.
Como parte do processo de autenticação, um servidor RADIUS pode devolver atributos definidos por IETF que fornecem atribuições de VLAN ao switch. Você pode configurar um gerenciador de políticas para passar diferentes atributos RADIUS de volta ao switch com base na política de acesso ao endpoint. O switch altera dinamicamente a VLAN atribuída à porta de acordo com os atributos RADIUS que recebe.
Atributos de Egress-VLAN
Para dar suporte a portas de acesso e tronco como portas incolores, o atributo RADIUS deve indicar se os quadros na VLAN para esta porta devem ser representados em formato marcado ou não. Os atributos a seguir são suportados para atribuir dinamicamente uma VLAN e também especificar o formato de quadro:
-
Saída VLAN-ID
-
Nome da saída-VLAN
O atributo Egress-VLAN-ID ou Egresss-VLAN contém duas partes; a primeira parte indica se os quadros na VLAN para esta porta devem ser representados no formato taged ou não, a segunda parte é o nome VLAN.
Para Egress-VLAN-ID:
-
0x31 = marcado
-
0x32 = sem registro
Por exemplo, o perfil RADIUS a seguir inclui uma tag e uma VLAN não registrada:
001094001177 Cleartext-Password := "001094001177“ Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLANID += 0x3100033, Egress-VLANID += 0x3200034,
Para nome de Egress-VLAN:
-
1 = tag
-
2 = sem registro
No exemplo abaixo, o VLAN 1vlan-2 está marcado, e o VLAN 2vlan-3 não está registrado:
001094001144 Cleartext-Password := "001094001144“ Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
É obrigatório incluir os atributos do tipo de túnel e do tipo médio de túnel no perfil com Egress-VLAN-ID ou Egresso-VLAN-Name.
Quando o switch recebe uma atribuição de VLAN com "Egress-VLAN-ID", ele verifica se o VLAN já está presente no sistema. Se não, cria a VLAN dinâmica. Se o nome Egress-VLAN for usado, o VLAN já deve estar no sistema.
Atributos do modo suplicante
Os atributos RADIUS também podem ser usados para alterar o modo suplicante para autenticação 802.1X. Usando um atributo específico do fornecedor (VSA) da Juniper Networks, você pode definir o modo suplicante para um único ou único seguro:
-
Juniper-AV-Pair = Modo suplicante único
-
Juniper-AV-Pair = Suplicant-Mode-Single-Secure
Quando esses atributos são recebidos do servidor NAC, o modo suplicante configurado é alterado para combinar com o valor VSA após a sessão ser autenticada. Quando a sessão termina, o modo suplicante reverte para o modo que foi configurado no sistema antes de receber o VSA do servidor NAC. Quando um cliente recebe os atributos dinâmicos de suplicante único do servidor RADIUS, ele apaga todos os outros clientes autenticados nessa interface, mudando efetivamente o modo de interface de múltiplos para suplicantes únicos.