无色端口的动态 VLAN 分配
企业通常具有各种用户和端点,这导致需要由其策略基础架构解决多个用例。策略基础架构应使任何受支持的用户设备能够连接到接入交换机上的任何端口,并根据设备的功能和/或用户的授权级别进行身份验证。
无色端口支持将任何设备 t 连接到任何交换机端口,因为它们都具有相同的初始配置。初始配置将设备放置在默认 VLAN 上,该 VLAN 用于对设备或用户进行身份验证,然后对设备或用户进行配置文件。无色端口概念依赖于设备分析进行 VLAN 分配。根据连接到端口的设备类型(AP、IP 摄像机或打印机),NAC 服务器将使用 RADIUS 属性返回相应的 VLAN。
动态 VLAN 分配对无色端口的优势
-
允许将任何设备连接到接入交换机上的任何端口。
-
在整个企业中部署一致的安全策略。
概述
在端口上启用 802.1X 身份验证后,交换机(称为身份验证器)会阻止进出终端设备(称为请求方)的所有流量,直到请求方的凭据在 NAC 服务器上显示并匹配。NAC 服务器通常是充当 RADIUS 服务器的 RADIUS 服务器或策略管理器。请求方通过身份验证后,交换机会向请求方打开端口。
作为身份验证过程的一部分,RADIUS 服务器可以返回 IETF 定义的属性,这些属性为交换机提供 VLAN 分配。您可以将策略管理器配置为根据端点访问策略将不同的 RADIUS 属性传递回交换机。交换机会根据收到的 RADIUS 属性动态更改分配给端口的 VLAN。
出口 VLAN 属性
要将接入端口和中继端口都支持为无色端口,RADIUS 属性必须指示此端口的 VLAN 上的帧是以标记格式还是未标记格式表示。动态分配 VLAN 和指定帧格式支持以下属性:
-
出口 VLAN ID
-
出口 VLAN 名称
出口 VLAN ID 或出口 VLAN 名称属性包含两部分;第一部分指示此端口的 VLAN 上的帧是以标记格式还是未标记格式表示,第二部分是 VLAN 名称。
对于出口 VLAN ID:
-
0x31 = 已标记
-
0x32 = 未标记
例如,以下 RADIUS 配置文件包含一个已标记的 VLAN 和一个未标记的 VLAN:
001094001177 Cleartext-Password := "001094001177“
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Egress-VLANID += 0x3100033,
Egress-VLANID += 0x3200034,对于出口 VLAN 名称:
-
1 = 标记
-
2 = 未标记
在下面的示例中,VLAN 1vlan-2 已标记,VLAN 2vlan-3 未标记:
001094001144 Cleartext-Password := "001094001144“
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Egress-VLAN-Name += 1vlan-2,
Egress-VLAN-Name += 2vlan-3, 必须在配置文件中包含具有出口 VLAN ID 或出口 VLAN 名称的隧道类型和隧道介质类型属性。
当交换机收到带有“出口 VLAN-ID”的 VLAN 分配时,它会检查系统中是否已存在该 VLAN。否则,它将创建动态 VLAN。如果使用出口 VLAN 名称,则 VLAN 应已在系统中。
请求模式属性
RADIUS 属性还可用于更改 802.1X 身份验证的请求方模式。使用瞻博网络供应商特定属性 (VSA),您可以将请求方模式设置为单一安全模式或单一安全模式:
-
瞻博网络 AV 对 = 请求方模式单一
-
瞻博网络 AV 对 = 请求方模式单一安全
从 NAC 服务器接收到这些属性时,在对会话进行身份验证后,配置的请求方模式 将 更改为与 VSA 值匹配。会话结束时,请求方模式将恢复为从 NAC 服务器接收 VSA 之前在系统上配置的模式。 当客户端从 RADIUS 服务器收到动态单请求方属性时,它将删除该接口上所有其他经过身份验证的客户端,从而有效地将接口模式从多请求方更改为单请求方。