Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Dynamische VLAN-Zuweisung für farblose Ports

Unternehmen haben in der Regel eine Vielzahl von Benutzern und Endpunkten, was dazu führt, dass ihre Richtlinieninfrastruktur in mehreren Anwendungsfällen berücksichtigt werden muss. Die Richtlinieninfrastruktur sollte es allen unterstützten Benutzervorrichtungen ermöglichen, mit jedem Port auf dem Zugriffs-Switch zu verbinden und anhand der Funktionen des Geräts, der Autorisierungsebene des Benutzers oder beider Funktionen authentifiziert zu werden.

Farblose Ports unterstützen das Anfügen von Geräten nicht an einen Switch-Port, da sie alle über die gleiche Initialkonfiguration verfügen. Bei der ersten Konfiguration werden Geräte in einem Standard-VLAN platziert, das zur Authentifizierung verwendet wird und dann ein Profil des Geräts oder Benutzers erstellt. Das farblose Port-Konzept basiert auf Geräteprofilierung für die VLAN-Zuweisung. Der NAC-Server gibt das entsprechende VLA RADIUS N mithilfe AP- oder Druckergeräte zurück.

Vorteile der dynamischen VLAN-Zuweisung für farblose Ports

  • Jedes Gerät kann mit einem Port auf einem Zugriffs-Switch verbunden werden.

  • Konsistente Sicherheitsrichtlinien im gesamten Unternehmen implementieren.

Überblick

Wenn die 802.1X-Authentifizierung an einem Port aktiviert ist, blockiert der Switch (auch als Authenfigur bekannt) den datenverkehr zum und vom Endgerät (auch supplicant genannt), bis die Anmeldeinformationen des Supplicants präsentiert und auf einem NAC-Server abgestimmt werden. Der NAC-Server ist normalerweise ein Server RADIUS Oder ein Richtlinien-Manager, der als Server RADIUS fungiert. Nach der Authentifizierung des Supplicants öffnet der Switch den Port zum Supplicant.

Im Rahmen des Authentifizierungsprozesses kann ein RADIUS-Server IETF vordefinierte Attribute zurückgeben, die VLAN-Zuweisungen an den Switch bereitstellen. Sie können einen Richtlinienmanager konfigurieren, um basierend RADIUS Zugriffsrichtlinien unterschiedliche Endpunktattribute zurück an den Switch zu übergeben. Der Switch ändert das dem Port zugewiesene VLAN gemäß den empfangenen RADIUS dynamisch.

Egress-VLAN-Attribute

Zur Unterstützung von Zugriff- und Trunkports als farblose Ports muss das RADIUS-Attribut angeben, ob die Frames im VLAN für diesen Port im Tagged- oder Untagged-Format dargestellt werden. Für die dynamische Zuordnung eines VLANs und die Angabe des Frame-Formats werden die folgenden Attribute unterstützt:

  • Ausgangs-VLAN-ID

  • Egress-VLAN-Name

Das Attribut Egress-VLAN-ID oder Egress-VLAN-Name enthält zwei Teile. Der erste Teil zeigt an, ob Frames im VLAN für diesen Port im Tagged oder Untagged-Format dargestellt werden sollen, der zweite Teil ist der VLAN-Name.

Für Egress-VLAN-ID:

  • 0x31 = TAGGED

  • 0x32 = Nicht-Tags

Das folgende Profil für RADIUS z. B. ein TAGGED und ein nicht gekennzeichnetes VLAN:

Für Egress-VLAN-Name:

  • 1 = TAGGED

  • 2 = nicht tagsged

Im Beispiel unten wird VLAN 1vlan-2 tagged und VLAN 2vlan-3 nicht gekennzeichnet:

Anmerkung:

Die Attribute "Tunnel-Type" und "Tunnel-Medium-Type" müssen dem Profil mit dem Namen "Egress-VLAN-ID" oder "Egress-VLAN-Name" angegeben werden.

Wenn der Switch eine VLAN-Zuweisung mit "Egress-VLAN-ID" empfängt, überprüft er, ob das VLAN bereits im System vorhanden ist. Wenn nicht, dann erstellt sie das dynamische VLAN. Wenn der Egress-VLAN-Name verwendet wird, sollte das VLAN bereits im System vorhanden sein.

Supplicant-Modusattribute

RADIUS können auch verwendet werden, um den Supplicant-Modus für die 802.1X-Authentifizierung zu ändern. Mithilfe eines Juniper Networks anbieterspezifischen Attributs (VSA) können Sie den Supplicant-Modus entweder auf ein einzelnes oder ein sicheres festlegen:

  • Juniper-AV-Pair = Supplicant-Mode-Single

  • Juniper-AV-Pair = Supplicant-Mode-Single-Secure

Wenn diese Attribute vom NAC-Server empfangen werden, wird der konfigurierte Supplicant-Modus geändert, um mit dem VSA-Wert nach der Authentifizierung der Sitzung übereinstimmen zu können. Nach Beenden der Sitzung wird der Supplicant-Modus wieder in den auf dem System konfigurierten Modus umgeschaltet, bevor er die VSA vom NAC-Server empfängt.