Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Attribution dynamique de VLAN pour les ports sans couleur

Les entreprises ont généralement une variété d’utilisateurs et de terminaux, ce qui entraîne de multiples cas d’utilisation qui doivent être pris en compte par leur infrastructure de stratégies. L’infrastructure de stratégie doit permettre à tout appareil utilisateur pris en charge de se connecter à n’importe quel port du commutateur d’accès et d’être authentifié en fonction des capacités de l’équipement, du niveau d’autorisation de l’utilisateur, ou des deux.

Les ports incolores permettent de connecter n’importe quel périphérique à n’importe quel port de commutateur , car ils ont tous la même configuration initiale . La configuration initiale place les appareils sur un VLAN par défaut qui est utilisé pour s’authentifier, puis profiler l’appareil ou l’utilisateur. Le concept de port incolore repose sur le profilage des équipements pour l’attribution des VLAN. En fonction du type de périphérique connecté au port (point d’accès, caméra IP ou imprimante), le serveur NAC renvoiele VLAN approprié à l’aide des attributs RADIUS.

Avantages de l’attribution dynamique de VLAN pour les ports sans couleur

  • Permet de connecter n’importe quel appareil à n’importe quel port d’un commutateur d’accès.

  • Déployez des politiques de sécurité cohérentes à l’échelle de l’entreprise.

Présentation

Lorsque l’authentification 802.1X est activée sur un port, le commutateur (appelé authentificateur) bloque tout le trafic à destination et en provenance de l’appareil final (appelé demandeur) jusqu’à ce que les informations d’identification du demandeur soient présentées et mises en correspondance sur un serveur NAC. Le serveur NAC est généralement un serveur RADIUS ou un gestionnaire de stratégies qui agit comme un serveur RADIUS. Une fois le demandeur authentifié, le commutateur lui ouvre le port.

Dans le cadre du processus d’authentification, un serveur RADIUS peut renvoyer des attributs définis par l’IETF qui fournissent des attributions VLAN au commutateur. Vous pouvez configurer un gestionnaire de stratégies pour qu’il transmette différents attributs RADIUS au commutateur en fonction de la stratégie d’accès au point de terminaison. Le commutateur modifie dynamiquement le VLAN attribué au port en fonction des attributs RADIUS qu’il reçoit.

Attributs du VLAN sortant

Pour que les ports d’accès et les ports trunk soient considérés comme des ports sans couleur, l’attribut RADIUS doit indiquer si les trames du VLAN de ce port doivent être représentées au format balisé ou non. Les attributs suivants sont pris en charge pour l’attribution dynamique d’un VLAN et la spécification du format de trame :

  • ID VLAN de sortie

  • Nom du VLAN de sortie

L’attribut Egress-VLAN-ID ou Egress-VLAN-Name se divise en deux parties. la première partie indique si les trames sur le VLAN pour ce port doivent être représentées au format étiqueté ou non étiqueté, la deuxième partie est le nom du VLAN.

Pour l’ID VLAN de sortie :

  • 0x31 = étiqueté

  • 0x32 = non étiqueté

Par exemple, le profil RADIUS suivant comprend un VLAN balisé et un VLAN non balisé :

Pour le nom du VLAN de sortie :

  • 1 = balisé

  • 2 = non étiqueté

Dans l’exemple ci-dessous, le VLAN 1vlan-2 est balisé, et le VLAN 2vlan-3 ne l’est pas :

REMARQUE :

Il est obligatoire d’inclure les attributs Tunnel-Type et Tunnel-Medium-Type dans le profil avec Egress-VLAN-ID ou Egress-VLAN-Name.

Lorsque le commutateur reçoit une affectation de VLAN avec « Egress-VLAN-ID », il vérifie si le VLAN est déjà présent dans le système. Si ce n’est pas le cas, le VLAN dynamique est créé. Si le nom du VLAN de sortie est utilisé, le VLAN doit être déjà dans le système.

Attributs du mode demandeur

Les attributs RADIUS peuvent également être utilisés pour modifier le mode de demande pour l’authentification 802.1X. À l’aide d’un attribut spécifique au fournisseur (VSA) de Juniper Networks, vous pouvez définir le mode demandeur sur unique ou sécurité unique :

  • Juniper-AV-Pair = Mode demandeur-unique

  • Juniper-AV-Pair = Mode demandeur-Single-Secure

Lorsque ces attributs sont reçus du serveur NAC, le mode de demandeur configuré est modifié pour correspondre à la valeur VSA après l’authentification de la session. À la fin de la session, le mode demandeur revient au mode qui était configuré sur le système avant de recevoir le VSA du serveur NAC.