Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um switch da Série EX
O 802.1X nos switches da Série EX oferece acesso LAN a usuários que não têm credenciais no banco de dados RADIUS. Esses usuários, conhecidos como convidados, são autenticados e normalmente fornecidos com acesso à Internet.
Este exemplo descreve como criar um VLAN convidado e configurar a autenticação 802.1X para ele.
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Este exemplo também se aplica a switches QFX5100.
Versão 9.0 ou posterior do Junos OS para switches da Série EX
Um switch da Série EX atua como uma entidade de acesso de porta (PAE). As interfaces no PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que eles sejam autenticados.
Um servidor de autenticação RADIUS que oferece suporte ao 802.1X. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Antes de configurar a autenticação VLAN convidada, certifique-se de ter:
Executou a configuração inicial do switch. Veja a conexão e a configuração de um switch da Série EX (procedimento CLI).
Realizou a ponte básica e a configuração de VLAN no switch. Veja a documentação que descreve a configuração de pontes básicas e uma VLAN para o seu switch. Se você estiver usando um switch que ofereça suporte ao estilo de configuração do software de camada 2 (ELS) aprimorado, veja Exemplo: Configuração de pontes básicas e uma VLAN para um switch da Série EX com suporte ou exemplo de ELS: Configuração de pontes básicas e uma VLAN em switches. Para todos os outros switches, veja Exemplo: Configurando uma ponte básica e uma VLAN para um switch da Série EX.
Nota:Para saber mais sobre o ELS, veja: Usando o CLI aprimorado de software de Camada 2
Visão geral e topologia
Como parte do controle de acesso à rede (PNAC) baseado em porta IEEE 802.1X, você pode fornecer acesso de rede limitado a suplicantes que não pertencem a um grupo de autenticação VLAN configurando a autenticação de um VLAN convidado. Normalmente, o acesso VLAN convidado é usado para fornecer acesso à Internet aos visitantes de um site corporativo. No entanto, você também pode usar o recurso VLAN convidado para fornecer acesso a uma VLAN com recursos limitados para suplicantes que falham na autenticação 802.1X em uma LAN corporativa.
Esse número também se aplica a switches QFX5100.
Topologia
Figura 1 mostra a sala de conferência conectada ao switch na interface ge-0/0/1.
| Propriedade | Configurações |
|---|---|
Hardware do switch |
Switch EX4200, 24 interfaces Ethernet Gigabit: 8 interfaces PoE (ge-0/0/0 até ge-0/0/7) e 16 interfaces não-PoE (ge-0/0/8 por ge-0/0/23) |
Nomes de VLAN e IDs de tag |
salesetiqueta 100supportetiqueta 200 guest-vlanetiqueta 300 |
Um servidor RADIUS |
Banco de dados back-end conectado ao switch por meio de interface ge-0/0/10 |
Neste exemplo, a interface ge-0/0/1 de acesso oferece conectividade LAN na sala de conferências. Configure essa interface de acesso para fornecer conectividade LAN aos visitantes na sala de conferências que não são autenticados pela VLAN corporativa.
Configuração de um VLAN convidado que inclui autenticação 802.1X
Procedimento
Configuração rápida da CLI
Para configurar rapidamente um VLAN convidado, com autenticação 802.1X, copie os seguintes comandos e cole-os na janela terminal do switch:
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
Procedimento passo a passo
Para configurar uma VLAN convidada que inclua autenticação 802.1X em um switch da Série EX:
Configure o ID de VLAN para o VLAN convidado:
[edit] user@switch# set vlans guest-vlan vlan-id 300
Configure a VLAN convidada sob dot1x protocolo:
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
Resultados
Confira os resultados da configuração:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-vlan {
guest-vlan;
}
}
}
}
}
}
vlans {
guest-vlan {
vlan-id 300;
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se a VLAN convidada está configurada
Propósito
Verifique se o VLAN convidado foi criado e se uma interface falhou na autenticação e foi transferida para a VLAN convidada.
Em switches que executam o Junos OS para a Série EX com suporte para ELS, a saída para o show vlans comando conterá informações adicionais. Se o seu switch executa um software que oferece suporte ao ELS, veja o show vlans. Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.
Ação
Emita os comandos do modo operacional:
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/3.0*
dynamic 40
None
guest 30
None
guest—vlan 300
ge-0/0/1.0*
vlan_dyn
None
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Guest VLAN
Authenticated VLAN: guest-vlan
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
A saída do show vlans comando mostra guest-vlan como o nome da VLAN e do VLAN ID como 300.
A saída do show dot1x interface ge-0/0/1.0 detail comando exibe o Guest VLAN membership campo, indicando que um suplicante nesta interface falhou na autenticação 802.1X e foi passado para o guest-vlan.