Example: Configuração do 802.1X para configurações de um único suplicante ou múltiplo suplicante em um switch da Série EX
A autenticação do controle de acesso à rede baseada em porta (PNAC) 802.1x nos switches da Série EX fornece três tipos de autenticação para atender às necessidades de acesso de sua LAN empresarial:
Autenticar o primeiro dispositivo final (suplicante) em uma porta de autenticador e permitir que todos os outros dispositivos finais também se conectem a ter acesso à LAN.
Autenticar apenas um dispositivo final em uma porta de autenticador ao mesmo tempo.
Autenticar vários dispositivos finais em uma porta autenticadora. O modo suplicante múltiplo é usado em configurações de VoIP.
Este exemplo configura um switch da Série EX para usar o IEEE 802.1X para autenticar dispositivos finais que usam três modos administrativos diferentes.
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Este exemplo também se aplica aos switches QFX5100.
Junos OS Versão 9.0 ou posterior para switches da Série EX
Um switch da Série EX atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam uma porta de controle que bloqueia todo o tráfego de e para dispositivos finais até que sejam autenticados.
Um servidor de autenticação RADIUS que oferece suporte a 802.1X. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para dispositivos finais (suplicantes) que têm permissão para se conectar à rede.
Antes de configurar as portas para autenticação 802.1X, certifique-se de ter:
Executou a configuração inicial do switch. Veja a conexão e a configuração de um switch da Série EX (procedimento de CLI).
Realizou a ponte básica e a configuração de VLAN no switch. Veja a documentação que descreve a configuração de pontes básicas e uma VLAN para o seu switch. Se você estiver usando um switch que ofereça suporte ao estilo de configuração de Software de Camada 2 (ELS) aprimorado, veja exemplo: Configuração de ponte básica e VLAN para um switch da Série EX com suporte ou exemplo de ELS: Configurando a ponte básica e uma VLAN nos switches. Para todos os outros switches, veja exemplo: Configurando a ponte básica e uma VLAN para um switch da Série EX.
Nota:Para saber mais sobre o ELS, consulte o uso da CLI de software de Camada 2 aprimorada.
Usuários configurados no servidor de autenticação.
Visão geral e topologia
Como mostrado Figura 1, a topologia contém um switch de acesso EX4200 conectado ao servidor de autenticação na porta ge-0/0/10. As interfaces ge-0/0/8, ge-0/0/9 e ge-0/11 serão configuradas para três modos administrativos diferentes.
Esse número também se aplica aos switches QFX5100.
Topologia
| Propriedade | Configurações |
|---|---|
Hardware do switch |
Switch EX4200, portas Ethernet de 24 Gigabit: 8 portas PoE (ge-0/0/0 até ge-0/0/7) e 16 portas não PoE (ge-0/0/8 até ge-0/0/23) |
Conexões com telefones Avaya — com hub integrado, para conectar PC de telefone e desktop a uma única porta; (requer PoE) |
ge-0/0/8, ge-0/0/9 e ge-0/0/11 |
Configurar os modos administrativos para dar suporte a suplicantes em diferentes áreas da rede empresarial:
Configure a porta de acesso ge-0/0/8 para autenticação de modo suplicante único.
Configure a porta de acesso ge-0/0/9 para autenticação de modo suplicante seguro único.
Configure a porta de acesso ge-0/0/11 para autenticação de modo suplicante múltiplo.
O modo suplicante único autentica apenas o primeiro dispositivo final que se conecta a uma porta autenticadora. Todos os outros dispositivos finais que se conectam à porta do autenticador após a primeira conexão com sucesso, sejam eles habilitados para 802.1X ou não, têm acesso permitido à porta sem autenticação adicional. Se o primeiro dispositivo final autenticado for eliminado, todos os outros dispositivos finais serão bloqueados até que um dispositivo final seja autenticado.
O modo suplicante de segurança única autentica apenas um dispositivo final para se conectar a uma porta autenticadora. Nenhum outro dispositivo final pode se conectar à porta do autenticador até que o primeiro faça logon.
O modo suplicante múltiplo autentica vários dispositivos finais individualmente em uma porta autenticadora. Se você configurar um número máximo de dispositivos que podem ser conectados a uma porta através da segurança da porta, menor será o valor configurado para determinar o número máximo de dispositivos finais permitidos por porta.
Configuração do 802.1X para oferecer suporte a vários modos suplicantes
Procedimento
Configuração rápida da CLI
Para configurar rapidamente as portas com diferentes modos de autenticação 802.1X, copie os seguintes comandos e cole-os na janela do terminal do switch:
[edit] set protocols dot1x authenticator interface ge-0/0/8 supplicant single set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple
Procedimento passo a passo
Configure o modo administrativo nas interfaces:
Configure o modo suplicante como único na interface ge-0/0/8:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single
Configure o modo suplicante como um único seguro na interface ge-0/0/9:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure
Configure vários modos suplicantes na interface ge-0/0/11:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
Resultados
Confira os resultados da configuração:
[edit]
user@access-switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
)
ge-0/0/9.0 {
supplicant single-secure;
)
ge-0/0/11.0 {
supplicant multiple;
)
}
}
}
}
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
Verificando a configuração 802.1X
Propósito
Verifique a configuração 802.1X nas interfaces ge-0/0/8, ge-0/0/9 e ge-0/0/11.
Ação
Verifique a configuração 802.1X emitindo o comando show dot1x interfacedo modo operacional:
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> user@switch> show dot1x interface ge-0/0/9.0 detail ge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0 user@switch> show dot1x interface ge-0/0/11.0 detail ge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
Significado
O Supplicant mode campo de saída exibe o modo administrativo configurado para cada interface. A interface ge-0/0/8.0 exibe Single modo suplicante. A interface ge-0/0/9.0 exibe Single-Secure modo suplicante. A interface ge-0/0/11.0 exibe Multiple modo suplicante.