Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Dynamische VLAN-Zuweisung für farblose Ports

Unternehmen haben in der Regel eine Vielzahl von Benutzern und Endpunkten, was zu einer Vielzahl von Anwendungsfällen führt, die von ihrer Richtlinieninfrastruktur abgedeckt werden müssen. Die Richtlinieninfrastruktur sollte es jedem unterstützten Benutzergerät ermöglichen, eine Verbindung zu einem beliebigen Port des Zugriffs-Switches herzustellen und basierend auf den Funktionen des Geräts, der Autorisierungsstufe des Benutzers oder beidem authentifiziert zu werden.

Farblose Ports unterstützen den Anschluss eines beliebigen Geräts an einen beliebigen Switch-Port , da sie alle die gleiche Anfangskonfiguration haben. Bei der Erstkonfiguration werden Geräte in einem Standard-VLAN platziert, das zur Authentifizierung und anschließenden Profilerstellung des Geräts oder Benutzers verwendet wird. Das farblose Port-Konzept basiert auf der Erstellung von Geräteprofilen für die VLAN-Zuweisung. Basierend auf dem Typ des Geräts, das mit dem Port verbunden ist (AP, IP-Kamera oder Drucker), gibt der NAC-Server mithilfe von RADIUS-Attributen das entsprechende VLAN zurück.

Vorteile der dynamischen VLAN-Zuweisung für farblose Ports

  • Ermöglicht die Verbindung eines beliebigen Geräts mit einem beliebigen Port eines Zugriffs-Switches.

  • Stellen Sie konsistente Sicherheitsrichtlinien im gesamten Unternehmen bereit.

Überblick

Wenn die 802.1X-Authentifizierung an einem Port aktiviert ist, blockiert der Switch (als Authentifikator bezeichnet) den gesamten Datenverkehr zum und vom Endgerät (als Supplicant bezeichnet), bis die Anmeldeinformationen des Supplicants auf einem NAC-Server angezeigt und abgeglichen werden. Der NAC-Server ist in der Regel ein RADIUS-Server oder ein Richtlinien-Manager, der als RADIUS-Server fungiert. Nachdem der Supplicant authentifiziert wurde, öffnet der Switch den Port für den Supplicant.

Im Rahmen des Authentifizierungsprozesses kann ein RADIUS-Server IETF-definierte Attribute zurückgeben, die VLAN-Zuweisungen an den Switch bereitstellen. Sie können einen Richtlinienmanager so konfigurieren, dass er basierend auf der Endpunktzugriffsrichtlinie verschiedene RADIUS-Attribute an den Switch zurückgibt. Der Switch ändert das VLAN, das dem Port zugewiesen ist, dynamisch entsprechend den empfangenen RADIUS-Attributen.

Egress-VLAN-Attribute

Um sowohl Zugriffs- als auch Trunk-Ports als farblose Ports zu unterstützen, muss das RADIUS-Attribut angeben, ob die Frames im VLAN für diesen Port im Tagged- oder Untagged-Format dargestellt werden sollen. Die folgenden Attribute werden für die dynamische Zuweisung eines VLANs und die Angabe des Frame-Formats unterstützt:

  • Ausgangs-VLAN-ID

  • Egress-VLAN-Name

Das Attribut "Egress-VLAN-ID" oder "Egress-VLAN-Name" besteht aus zwei Teilen. Der erste Teil gibt an, ob Frames im VLAN für diesen Port im Tagged- oder Untagged-Format dargestellt werden sollen, der zweite Teil ist der VLAN-Name.

Für Egress-VLAN-ID:

  • 0x31 = markiert

  • 0x32 = nicht markiert

Das folgende RADIUS-Profil enthält beispielsweise ein getaggtes und ein nicht getaggtes VLAN:

Für Egress-VLAN-Name:

  • 1 = markiert

  • 2 = nicht markiert

Im folgenden Beispiel ist VLAN 1vlan-2 getaggt und VLAN 2vlan-3 ist nicht getaggt:

HINWEIS:

Die Attribute Tunnel-Type und Tunnel-Medium-Type müssen mit Egress-VLAN-ID oder Egress-VLAN-Name in das Profil aufgenommen werden.

Wenn der Switch eine VLAN-Zuweisung mit "Egress-VLAN-ID" erhält, prüft er, ob das VLAN bereits im System vorhanden ist. Ist dies nicht der Fall, wird das dynamische VLAN erstellt. Wenn der Egress-VLAN-Name verwendet wird, sollte das VLAN bereits im System vorhanden sein.

Attribute für den Supplicant-Modus

RADIUS-Attribute können auch verwendet werden, um den Supplicant-Modus für die 802.1X-Authentifizierung zu ändern. Mit einem anbieterspezifischen Attribut (VSA) von Juniper Networks können Sie den Supplicant-Modus entweder auf "Single" oder "Single-Secure" festlegen:

  • Juniper-AV-Pair = Supplicant-Mode-Single

  • Juniper-AV-Pair = Supplicant-Mode-Single-Secure

Wenn diese Attribute vom NAC-Server empfangen werden, wird der konfigurierte Supplicant-Modus nach der Authentifizierung der Sitzung so geändert, dass er mit dem VSA-Wert übereinstimmt. Wenn die Sitzung beendet ist, kehrt der Supplicant-Modus in den Modus zurück, der auf dem System konfiguriert wurde, bevor die VSA vom NAC-Server empfangen wurde.