Exemple : Configuration de la norme 802.1X dans les salles de conférence pour fournir un accès Internet aux visiteurs professionnels sur un commutateur EX Series
La norme 802.1X sur les commutateurs EX Series fournit un accès LAN aux utilisateurs qui n’ont pas d’informations d’identification dans la base de données RADIUS. Ces utilisateurs, appelés invités, sont authentifiés et disposent généralement d’un accès à Internet.
Cet exemple décrit comment créer un VLAN invité et configurer l’authentification 802.1X pour celui-ci.
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Cet exemple s’applique également aux commutateurs QFX5100.
Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series faisant office d’entité d’accès au port (PAE). Les interfaces sur l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Un serveur d’authentification RADIUS compatible 802.1X. Le serveur d’authentification fait office de base de données principale et contient les informations d’identification des hôtes (demandeurs) autorisés à se connecter au réseau.
Avant de configurer l’authentification VLAN invité, assurez-vous d’avoir :
Effectuez la configuration initiale du commutateur - effectué. Reportez-vous à la section Connexion et configuration d’un commutateur EX Series (procédure CLI).
Effectuez le pontage de base et la configuration VLAN sur le commutateur - effectué. Consultez la documentation décrivant la configuration d’un pontage de base et d’un VLAN pour votre commutateur. Si vous utilisez un commutateur qui prend en charge le style de configuration ELS (Enhanced L2 Software), reportez-vous à la section Exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS ou exemple : Mise en place d’un pontage de base et d’un VLAN sur les commutateurs. Pour tous les autres commutateurs, reportez-vous à la section Exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series.
REMARQUE :Pour en savoir plus sur ELS, voir : Utilisation de la CLI logicielle de couche 2 améliorée
Vue d’ensemble et topologie
Dans le cadre du contrôle d’accès réseau basé sur les ports (PNAC) IEEE 802.1X, vous pouvez fournir un accès réseau limité aux demandeurs qui n’appartiennent pas à un groupe d’authentification VLAN en configurant l’authentification pour un VLAN invité. En règle générale, l’accès VLAN invité est utilisé pour fournir un accès Internet aux visiteurs d’un site d’entreprise. Toutefois, vous pouvez également utiliser la fonctionnalité de VLAN invité pour fournir l’accès à un VLAN avec des ressources limitées aux demandeurs qui échouent à l’authentification 802.1X sur un réseau local d’entreprise.
Ce chiffre s’applique également aux commutateurs QFX5100.
Topologie
Figure 1 Affiche la salle de conférence connectée au commutateur à l’interface GE-0/0/1.
| Propriété | Paramètres |
|---|---|
Matériel de commutation |
Commutateur EX4200, 24 interfaces Gigabit Ethernet : 8 interfaces PoE ( à ) et 16 interfaces non-PoE (ge-0/0/0ge-0/0/8 à ge-0/0/7ge-0/0/23) |
Noms VLAN et ID de balise |
salesétiquette 100supportétiquette 200 guest-vlanétiquette 300 |
Un serveur RADIUS |
Base de données principale connectée au commutateur via l’interface ge-0/0/10 |
Dans cet exemple, l’interface d’accès ge-0/0/1 fournit une connectivité LAN dans la salle de conférence. Configurez cette interface d’accès pour fournir une connectivité LAN aux visiteurs de la salle de conférence qui ne sont pas authentifiés par le VLAN d’entreprise.
Configuration d’un VLAN invité incluant l’authentification 802.1X
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement un VLAN invité avec authentification 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
Procédure étape par étape
Pour configurer un VLAN invité qui inclut l’authentification 802.1X sur un commutateur EX Series :
Configurez l’ID de VLAN pour le VLAN invité :
[edit] user@switch# set vlans guest-vlan vlan-id 300
Configurez le VLAN invité sous dot1x le protocole :
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
Résultats
Vérifiez les résultats de la configuration :
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-vlan {
guest-vlan;
}
}
}
}
}
}
vlans {
guest-vlan {
vlan-id 300;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la configuration du VLAN invité
But
Vérifiez que le VLAN invité est créé et qu’une interface a échoué à l’authentification et a été déplacée vers le VLAN invité.
Sur les commutateurs exécutant Junos OS pour EX Series avec prise en charge d’ELS, la sortie de la show vlans commande contient des informations supplémentaires. Si votre commutateur exécute un logiciel qui prend en charge ELS, consultez show vlan. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Action
Exécutez les commandes du mode opérationnel :
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/3.0*
dynamic 40
None
guest 30
None
guest—vlan 300
ge-0/0/1.0*
vlan_dyn
None
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Guest VLAN
Authenticated VLAN: guest-vlan
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Sens
La sortie de la commande s’affiche guest-vlan sous la forme du nom du VLAN et l’ID du VLAN sous la show vlans forme 300.
La sortie de la show dot1x interface ge-0/0/1.0 detail commande affiche le Guest VLAN membership champ, indiquant qu’un demandeur à cette interface a échoué à l’authentification 802.1X et a été transmis au guest-vlanfichier .