Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Attribution dynamique de VLAN pour les ports incolores

Les entreprises ont généralement une variété d’utilisateurs et de points de terminaison, ce qui entraîne plusieurs cas d’utilisation qui doivent être pris en charge par leur infrastructure de stratégie. L’infrastructure de stratégie doit permettre à tout équipement utilisateur pris en charge de se connecter à n’importe quel port du commutateur d’accès et d’être authentifié en fonction des capacités de l’équipement, du niveau d’autorisation de l’utilisateur ou des deux.

Les ports incolores prennent en charge la connexion de n’importe quel équipement et non à n’importe quel port de commutation , car ils ont tous la même configuration initiale . La configuration initiale place les équipements sur un VLAN par défaut utilisé pour l’authentification puis le profil de l’équipement ou de l’utilisateur. Le concept de port incolore repose sur le profilage des équipements pour l’attribution de VLAN. En fonction du type d’équipement connecté au port (point d’accès, caméra IP ou imprimante), le serveur NAC renvoiele VLAN approprié à l’aide des attributs RADIUS.

Avantages de l’attribution dynamique de VLAN pour les ports incolores

  • Permet de connecter n’importe quel équipement à n’importe quel port d’un commutateur d’accès.

  • Déployez des stratégies de sécurité cohérentes dans toute l’entreprise.

Présentation

Lorsque l’authentification 802.1X est activée sur un port, le commutateur (appelé authentificateur) bloque tout le trafic vers et depuis l’équipement final (appelé demandeur) jusqu’à ce que les informations d’identification du demandeur soient présentées et appariées sur un serveur NAC. Le serveur NAC est généralement un serveur RADIUS ou un gestionnaire de stratégies qui agit comme un serveur RADIUS. Une fois le demandeur authentifié, le commutateur ouvre le port au demandeur.

Dans le cadre du processus d’authentification, un serveur RADIUS peut renvoyer des attributs définis par l’IETF qui fournissent des attributions VLAN au commutateur. Vous pouvez configurer un gestionnaire de stratégies pour transmettre différents attributs RADIUS au commutateur en fonction de la stratégie d’accès du terminal. Le commutateur modifie dynamiquement le VLAN assigné au port en fonction des attributs RADIUS qu’il reçoit.

Attributs sortants-VLAN

Pour prendre en charge à la fois les ports d’accès et de liaison en tant que ports incolores, l’attribut RADIUS doit indiquer si les trames sur le VLAN de ce port doivent être représentées dans un format balisé ou non. Les attributs suivants sont pris en charge pour l’attribution dynamique d’un VLAN et la spécification du format de trame :

  • ID sortant

  • Nom sortant-VLAN

L’attribut Egress-VLAN-ID ou Egress-VLAN-Name contient deux parties ; la première partie indique si les trames sur le VLAN pour ce port doivent être représentées dans un format balisé ou non, la deuxième partie est le nom du VLAN.

Pour l’ID sortant-VLAN :

  • 0x31 = marqué

  • 0x32 = sans lent

Par exemple, le profil RADIUS suivant comprend un VLAN balisé et un VLAN non balisé :

Pour Egress-VLAN-Name :

  • 1 = marqué

  • 2 = non marqué

Dans l’exemple ci-dessous, VLAN 1vlan-2 est balisé et VLAN 2vlan-3 non balisé :

REMARQUE :

Il est obligatoire d’inclure les attributs Tunnel-Type et Tunnel-Medium-Type dans le profil avec Egress-VLAN-ID ou Egress-VLAN-Name.

Lorsque le commutateur reçoit une attribution VLAN avec « Egress-VLAN-ID », il vérifie si le VLAN est déjà présent dans le système. Si ce n’est pas le cas, il crée le VLAN dynamique. Si l’Egress-VLAN-Name est utilisé, le VLAN doit être déjà dans le système.

Attributs du mode demandeur

Les attributs RADIUS peuvent également être utilisés pour modifier le mode demandeur pour l’authentification 802.1X. À l’aide d’un attribut spécifique aux fournisseurs (VSA) de Juniper Networks, vous pouvez définir le mode demandeur sur un seul ou un seul et même mode sécurisé :

  • Juniper-AV-Pair = Supplicant-Mode-Single

  • Juniper-AV-Pair = Supplicant-Mode-Single-Secure

Lorsque ces attributs sont reçus du serveur NAC, le mode de demandeur configuré sera modifié pour correspondre à la valeur VSA une fois la session authentifiée. À la fin de la session, le mode demandeur revient au mode configuré sur le système avant de recevoir le VSA du serveur NAC.