Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Uso de la autenticación 802.1 X y las VLAN privadas juntas en la misma interfaz

 

Comprender el uso de 802.1 X autenticación y PVLANs en la misma interfaz

Ahora puede configurar tanto la autenticación de 802.1 X como las VLAN privadas (PVLANs) en la misma interfaz.

IEEE 802.1 X proporciona seguridad de perímetro de red, lo que protege a las LAN Ethernet frente a accesos de usuarios no autorizados bloqueando todo el tráfico entrante y procedentes de un suplicante (cliente) en la interfaz hasta que las credenciales del suplicante se presenten y coincidan en el servidor de autenticación (servidor de RADIUS).

Las VLAN privadas (PVLANs) proporcionan aislamiento de capa 2 entre los puertos de una red VLAN, dividiendo un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLANs secundarias. PVLANs son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocido, y para limitar la comunicación entre hosts conocidos.

En un conmutador que esté configurado con autenticación 802.1 X y PVLANs, cuando se conecte un nuevo dispositivo a la red PVLAN, el dispositivo se autenticará y se asignará a una VLAN secundaria basada en la configuración PVLAN o en RADIUS perfil. A continuación, el dispositivo obtiene una dirección IP y se le da acceso a la red PVLAN.

Nota

Este documento no proporciona información detallada sobre la autenticación de 802.1 X o las VLAN privadas. Para obtener más información, consulte la documentación sobre características específica de esas características. Para 802.1 X, consulte User Access and Authentication User Guide. Para PVLANs, consulte Guía del usuario de conmutación Ethernet.

Directrices de configuración para combinar la autenticación de 802.1 X con PVLANs

Tenga en cuenta las siguientes directrices y limitaciones para configurar estas dos funciones en la misma interfaz:

  • Una interfaz habilitada para 802.1 X no puede configurarse como una interfaz promiscuo (una interfaz que es miembro de la VLAN principal por configuración) o como una interfaz interconmutador-vínculo (ISL).

  • No es posible autenticar varios usuarios a través de distintas VLAN que pertenecen al mismo dominio PVLAN en una—interfaz lógica por ejemplo, si interface GE-0/0/0 se supplicant multiple configura como y se autentican los clientes C1 y C2, y se agregan a las VLAN dinámicas V1 y V2, respectivamente, entonces V1 y V2 deben pertenecer a dominios PVLAN diferentes.

  • Si la VLAN de VoIP y la VLAN de datos son diferentes, estas dos VLAN deben estar en dominios PVLAN diferentes.

  • Cuando se cambia la pertenencia a PVLAN (es decir, una interfaz se vuelve a configurar en unPVLAN diferente), los clientes deben volver a autenticarse.

Ejemplo Configuración de la autenticación de 802.1 X con VLAN privadas con una configuración

Aplicables

  • Junos OS versión 18.2 R1 o superior

  • Conmutador EX2300, EX3400 o EX4300

Antes de comenzar, especifique el RADIUS servidor o servidores que se utilizarán como el servidor de autenticación. Consulte Specifying RADIUS Server Connections on Switches (CLI Procedure).

Descripción general

La siguiente sección de configuración muestra la configuración del perfil de acceso, la configuración de autenticación de 802.1 X y, por último, la configuración de VLAN (incluida PVLANs).

Configuración de la autenticación de 802.1 X con VLAN privadas con una configuración

Configuración rápida de CLI



[edit]
set access radius-server 10.20.9.199 port 1812
set access radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"
set access profile dot1x-auth authentication-order radius
set access profile authp authentication-order radius
set access profile authp radius authentication-server 10.204.96.165
set switch-options voip interface ge-0/0/8.0 vlan voip
set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members data
set protocols dot1x authenticator authentication-profile-name authp
set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple
set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius
set vlans community vlan-id 20
set vlans community private-vlan community
set vlans community-one vlan-id 30
set vlans community-one private-vlan community
set vlans isolated vlan-id 200
set vlans isolated private-vlan isolated
set vlans pvlan vlan-id 2000
set vlans pvlan isolated-vlan isolated
set vlans pvlan community-vlans [community community-one]
set vlans data vlan-id 43
set vlans voip vlan-id 33

Procedimiento detallado

Para configurar la autenticación 802.1 X y el PVLANs en una sola configuración:

  1. Configure el perfil de acceso:
    [edit access]
    set radius-server 10.20.9.199 port 1812
    set radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"
    set profile dot1x-auth authentication-order radius
    set profile authp authentication-order radius
    set profile authp radius authentication-server 10.204.96.165
    [edit switch-options]
    set voip interface ge-0/0/8.0 vlan voip
    Nota

    La VLAN configurada de VoIP no puede ser una PVLAN (principal, comunidad o aislada).

  2. Configure las configuraciones de 802.1 X:
    [edit interfaces]
    set ge-0/0/8 unit 0 family ethernet-switching interface-mode access
    set ge-0/0/8 unit 0 family ethernet-switching vlan members data
    [edit protocols]
    set dot1x authenticator authentication-profile-name authp
    set dot1x authenticator interface ge-0/0/8.0 supplicant multiple
    set dot1x authenticator interface ge-0/0/8.0 mac-radius
    Nota

    La VLAN de datos configurada también podría ser una VLAN aislada o en una VLAN.

  3. Configure las redes VLAN (incluida la PVLANs):
    [edit vlans]
    set community vlan-id 20
    set community private-vlan community
    set community-one vlan-id 30
    set community-one private-vlan community
    set isolated vlan-id 200
    set isolated private-vlan isolated
    set pvlan vlan-id 2000
    set pvlan isolated-vlan isolated
    set pvlan community-vlans [community community-one]
    set data vlan-id 43
    set voip vlan-id 33

Resultados

Desde el modo de configuración, escriba los siguientes show comandos en el conmutador para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Comproba

Comprobar que las direcciones MAC del cliente se aprenden en la VLAN principal

Finalidad

Muestre que una dirección MAC cliente se ha aprendido en la VLAN principal.

Acción

user@switch> show ethernet-switching table

Verificar que la VLAN principal sea una VLAN autenticada

Finalidad

Muestre que la VLAN principal se muestra como una VLAN autenticada.

Acción

user@switch> show dot1x interface ge-0/0/8.0 detail