Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Affectation VLAN dynamique pour les ports incolores

Les entreprises comptent généralement un grand nombre d’utilisateurs et de points de terminaison, ce qui entraîne plusieurs cas d’utilisation que leur infrastructure de stratégie doit résoudre. L’infrastructure de stratégies doit permettre à tout équipement utilisateur pris en charge de se connecter à n’importe quel port du commutateur d’accès et à l’authentifier en fonction des capacités de l’équipement, du niveau d’autorisation de l’utilisateur ou des deux.

Les ports incolores sont également en charge de fixer n’importe quel équipement à n’importe quel port de commutation, car ils ont tous la même configuration initiale. La configuration initiale place les équipements sur un VLAN par défaut utilisé pour authentifier et ensuite profiler l’équipement ou l’utilisateur. Le concept de port incolore repose sur le profilage des équipements pour l’attribution de VLAN. En fonction du type d’appareil connecté au port (AP, caméra IP ou imprimante), le serveur NAC retourne le VLAN approprié en utilisant RADIUS attributs.

Avantages de l’attribution de VLAN dynamique pour les ports incolores

  • Connectez tout appareil à n’importe quel port d’un commutateur d’accès.

  • Déployez des stratégies de sécurité cohérentes dans toute l’entreprise.

Présentation

Lorsque l’authentification 802.1X est activée sur un port, le commutateur (connu sous le nom d’authentifier) bloque l’ensemble du trafic en provenance et à l’entrée de l’équipement final (appelé demandeur) jusqu’à ce que les informations d’identification du demandeur soient présentées et assorties sur un serveur NAC. Le serveur NAC est généralement un serveur RADIUS ou un gestionnaire de stratégies qui agit comme un RADIUS serveur. Une fois le demandeur authentifié, le commutateur ouvre le port au demandeur.

Dans le cadre du processus d’authentification, un RADIUS peut renvoyer IETF attributs définis par le logiciel qui attribuent des VLAN au commutateur. Vous pouvez configurer un gestionnaire de stratégies pour transmettre différents attributs RADIUS au commutateur en fonction de la stratégie d’accès aux points d’extrémité. Le commutateur modifie dynamiquement le VLAN attribué au port en fonction RADIUS attributs qu’il reçoit.

Attributs de sortie-VLAN

Pour prendre en charge à la fois les ports d’accès et d’trunk en tant que ports incolores, l’attribut RADIUS doit indiquer si les trames du VLAN de ce port doivent être représentées au format balisé ou non. Les attributs suivants sont pris en charge pour l’attribution dynamique d’un VLAN et pour spécifier le format de trame:

  • Sortie-VLAN-ID

  • Sortie-VLAN-Nom

L’attribut Egress-VLAN-ID ou Egress-VLAN-Name contient deux parties: la première partie indique si les trames du VLAN de ce port doivent être représentées au format balisé ou non, la seconde partie porte le nom VLAN.

Pour le dégressif-VLAN-ID:

  • 0x31 = marqué

  • 0x32 = sans retard

Par exemple, le profil d’RADIUS suivant inclut un VLAN marqué et un VLAN non balisé:

Pour sortie-VLAN Nom:

  • 1 = marqué

  • 2 = sans retard

Dans l’exemple ci-dessous, le VLAN 1vlan-2 est balisé et le VLAN 2vlan-3 n’est pas balisé:

Remarque :

Il est obligatoire d’inclure les attributs de type tunnel et tunnel-medium dans le profil avec Egress-VLAN-ID ou Egress-VLAN-Name.

Lorsque le commutateur reçoit une attribution VLAN avec « Egress-VLAN-ID », il vérifie si le VLAN est déjà présent dans le système. Si ce n’est pas le cas, il crée le VLAN dynamique. Si le nom du VLAN de sortie est utilisé, le VLAN doit être déjà dans le système.

Attributs du mode demandeur

RADIUS attributs peuvent également être utilisés pour modifier le mode de demandeur pour l’authentification 802.1X. En utilisant Juniper Networks un attribut spécifique au fournisseur (VSA), vous pouvez définir le mode de demandeur sur un ou plusieurs éléments sécurisés:

  • Juniper-AV-Pair = Demandeur-Mode-Single

  • Juniper-AV-Pair = Demandeur-Mode-Mono-Secure

Lorsque ces attributs sont reçus du serveur NAC, le mode de demandeur configuré est modifié pour correspondre à la valeur VSA après l’authentification de la session. À la fin de la session, le mode demandeur revient au mode configuré sur le système avant de recevoir le VSA du serveur NAC.