Exemple : Configuration du 802.1X dans les salles de conférence pour fournir un accès Internet aux visiteurs d’entreprise sur un commutateur EX Series
Le 802.1X sur les commutateurs EX Series offre un accès LAN aux utilisateurs qui n’ont pas d’informations d’identification dans la base de données RADIUS. Ces utilisateurs, appelés invités, sont authentifiés et disposent généralement d’un accès Internet.
Cet exemple explique comment créer un VLAN invité et configurer l’authentification 802.1X pour celui-ci.
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Cet exemple s’applique également aux commutateurs QFX5100.
Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series agissant comme une entité d’accès de port (PAE). Les interfaces de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic vers et depuis les demandeurs jusqu’à ce qu’ils soient authentifiés.
Un serveur d’authentification RADIUS prenant en charge 802.1X. Le serveur d’authentification fait office de base de données back-end et contient des informations d’identification pour les hôtes (demandeurs) qui ont l’autorisation de se connecter au réseau.
Avant de configurer l’authentification VLAN invité, assurez-vous d’avoir :
A effectué la configuration initiale du commutateur. Voir Connexion et configuration d’un commutateur EX Series (procédure CLI).
Effectué un pontage de base et une configuration VLAN sur le commutateur. Consultez la documentation qui décrit la configuration du pontage de base et d’un VLAN pour votre commutateur. Si vous utilisez un commutateur qui prend en charge le style de configuration ELS (Enhanced Layer 2 Software), consultez l’exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS ou par exemple : Configuration du pontage de base et d’un VLAN sur les commutateurs. Pour tous les autres commutateurs, voir exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series.
REMARQUE :Pour en savoir plus sur ELS, voir : Utilisation de l’interface cli logicielle de couche 2 améliorée
Présentation et topologie
Dans le cadre du contrôle d’accès réseau basé sur les ports (PNAC) IEEE 802.1X, vous pouvez fournir un accès réseau limité aux demandeurs qui n’appartiennent pas à un groupe d’authentification VLAN en configurant l’authentification d’un VLAN invité. En règle générale, l’accès VLAN invité est utilisé pour fournir un accès Internet aux visiteurs d’un site d’entreprise. Toutefois, vous pouvez également utiliser la fonctionnalité VLAN invité pour fournir l’accès à un VLAN avec des ressources limitées aux demandeurs qui échouent à l’authentification 802.1X sur un LAN d’entreprise.
Ce chiffre s’applique également aux commutateurs QFX5100.
topologie
Figure 1 montre la salle de conférence connectée au commutateur à l’interface ge-0/0/1.
| Propriété | Paramètres |
|---|---|
Matériel de commutation |
Commutateur EX4200, interfaces 24 Gigabit Ethernet : 8 interfaces PoE (ge-0/0/0 via ge-0/0/7) et 16 interfaces non PoE (ge-0/0/8 via ge-0/0/23) |
Noms VLAN et ID de balises |
salesétiquette 100supportétiquette 200 guest-vlanétiquette 300 |
Un seul serveur RADIUS |
Base de données back-end connectée au commutateur via l’interface ge-0/0/10 |
Dans cet exemple, l’interface ge-0/0/1 d’accès fournit une connectivité LAN dans la salle de conférence. Configurez cette interface d’accès pour fournir une connectivité LAN aux visiteurs de la salle de conférence qui ne sont pas authentifiés par le VLAN d’entreprise.
Configuration d’un VLAN invité avec authentification 802.1X
Procédure
Configuration rapide cli
Pour configurer rapidement un VLAN invité, avec l’authentification 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
Procédure étape par étape
Pour configurer un VLAN invité qui inclut l’authentification 802.1X sur un commutateur EX Series :
Configurez l’ID VLAN pour le VLAN invité :
[edit] user@switch# set vlans guest-vlan vlan-id 300
Configurez le VLAN invité sous dot1x protocole :
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
Résultats
Vérifiez les résultats de la configuration :
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-vlan {
guest-vlan;
}
}
}
}
}
}
vlans {
guest-vlan {
vlan-id 300;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérifier que le VLAN invité est configuré
But
Vérifiez que le VLAN invité est créé et qu’une interface a échoué à l’authentification et qu’elle a été déplacée vers le VLAN invité.
Sur les commutateurs exécutant Junos OS pour EX Series avec prise en charge d’ELS, la sortie de la show vlans commande contient des informations supplémentaires. Si votre commutateur exécute un logiciel prenant en charge ELS, consultez afficher les vlans. Pour plus de détails sur els, voir Utilisation de l’interface cli logicielle de couche 2 améliorée.
Action
Émettre les commandes du mode opérationnel :
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/3.0*
dynamic 40
None
guest 30
None
guest—vlan 300
ge-0/0/1.0*
vlan_dyn
None
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Guest VLAN
Authenticated VLAN: guest-vlan
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Sens
La sortie de la show vlans commande apparaît guest-vlan comme le nom du VLAN et l’ID VLAN en tant que 300.
La sortie de la show dot1x interface ge-0/0/1.0 detail commande affiche le Guest VLAN membership champ, indiquant qu’un demandeur de cette interface a échoué l’authentification 802.1X et a été transmis au guest-vlan.