Exemple : Configuration de la norme 802.1X pour les configurations à un ou plusieurs demandeurs sur un commutateur EX Series
L’authentification PNAC (Port-Based Network Access Control) 802.1x sur les commutateurs EX Series fournit trois types d’authentification pour répondre aux besoins d’accès de votre réseau LAN d’entreprise :
Authentifiez l’équipement de première extrémité (demandeur) sur un port d’authentificateur et autorisez tous les autres équipements finaux à se connecter pour accéder au LAN.
Authentifiez un seul équipement final sur un port d’authentificateur à la fois.
Authentifiez plusieurs terminaux sur un port d’authentificateur. Le mode demandeur multiple est utilisé dans les configurations VoIP.
Cet exemple configure un commutateur EX Series pour qu’il utilise IEEE 802.1X pour authentifier les équipements finaux qui utilisent trois modes administratifs différents.
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Cet exemple s’applique également aux commutateurs QFX5100.
Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series agissant comme une entité d’accès aux ports d’authentificateur (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic vers et depuis les équipements terminaux jusqu’à ce qu’ils soient authentifiés.
Un serveur d’authentification RADIUS prenant en charge 802.1X. Le serveur d’authentification fait office de base de données back-end et contient des informations d’identification pour les équipements finaux (demandeurs) autorisés à se connecter au réseau.
Avant de configurer les ports pour l’authentification 802.1X, assurez-vous d’avoir :
A effectué la configuration initiale du commutateur. Voir Connexion et configuration d’un commutateur EX Series (procédure CLI).
Effectué un pontage de base et une configuration VLAN sur le commutateur. Consultez la documentation qui décrit la configuration du pontage de base et d’un VLAN pour votre commutateur. Si vous utilisez un commutateur qui prend en charge le style de configuration ELS (Enhanced Layer 2 Software), consultez l’exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS ou par exemple : Configuration du pontage de base et d’un VLAN sur les commutateurs. Pour tous les autres commutateurs, voir exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series.
REMARQUE :Pour en savoir plus sur ELS, voir Utilisation de l’interface cli logicielle de couche 2 améliorée.
Utilisateurs configurés sur le serveur d’authentification.
Présentation et topologie
Comme illustré dans Figure 1, la topologie contient un commutateur d’accès EX4200 connecté au serveur d’authentification sur le port ge-0/0/10. Les interfaces ge-0/0/8, ge-0/0/9 et ge-0/0/11 seront configurées pour trois modes administratifs différents.
Ce chiffre s’applique également aux commutateurs QFX5100.
topologie
| Propriété | Paramètres |
|---|---|
Matériel de commutation |
Commutateur EX4200, 24 ports Gigabit Ethernet : 8 ports PoE (ge-0/0/0 à ge-0/0/7) et 16 ports non PoE (ge-0/0/8 à ge-0/0/23) |
Connexions aux téléphones Avaya avec hub intégré pour connecter le téléphone et l’ordinateur de bureau à un seul port ; (nécessite poE) |
ge-0/0/8, ge-0/0/9 et ge-0/0/11 |
Pour configurer les modes administratifs pour prendre en charge les demandeurs dans différents domaines du réseau d’entreprise :
Configurez le port d’accès ge-0/0/8 pour une authentification en mode demandeur unique.
Configurez le port d’accès ge-0/0/9 pour une authentification en mode demandeur sécurisé unique.
Configurez le port d’accès ge-0/0/11 pour l’authentification en mode demandeur multiple.
Le mode demandeur unique authentifie uniquement le premier équipement qui se connecte à un port d’authentificateur. Tous les autres équipements finaux qui se connectent au port d’authentificateur après que le premier s’est connecté avec succès, qu’ils soient compatibles 802.1X ou non, sont autorisés à accéder au port sans autre authentification. Si le premier équipement final authentifié se déconnecte, tous les autres équipements finaux sont verrouillés jusqu’à ce qu’un équipement final s’authentifie.
Le mode demandeur sécurisé unique authentifie un seul équipement final à connecter à un port d’authentificateur. Aucun autre équipement final ne peut se connecter au port d’authentificateur jusqu’à ce que le premier se déconnecte.
Le mode demandeur multiple authentifie plusieurs terminaux individuellement sur un seul port d’authentificateur. Si vous configurez un nombre maximal d’équipements pouvant être connectés à un port via la sécurité de port, la moindre des valeurs configurées est utilisée pour déterminer le nombre maximal d’équipements finaux autorisés par port.
Configuration de la norme 802.1X pour prendre en charge plusieurs modes demandeurs
Procédure
Configuration rapide cli
Pour configurer rapidement les ports avec différents modes d’authentification 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set protocols dot1x authenticator interface ge-0/0/8 supplicant single set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple
Procédure étape par étape
Configurez le mode administratif sur les interfaces :
Configurez le mode demandeur en tant qu’interface unique sur l’interface ge-0/0/8 :
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single
Configurez le mode demandeur en tant qu’interface sécurisée unique sur l’interface ge-0/0/9 :
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure
Configurez plusieurs modes demandeurs sur l’interface ge-0/0/11 :
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@access-switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
)
ge-0/0/9.0 {
supplicant single-secure;
)
ge-0/0/11.0 {
supplicant multiple;
)
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification de la configuration 802.1X
But
Vérifiez la configuration 802.1X sur les interfaces ge-0/0/8, ge-0/0/9 et ge-0/0/11.
Action
Vérifiez la configuration 802.1X en envoyant la commande show dot1x interfacedu mode opérationnel :
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> user@switch> show dot1x interface ge-0/0/9.0 detail ge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0 user@switch> show dot1x interface ge-0/0/11.0 detail ge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
Sens
Le Supplicant mode champ de sortie affiche le mode administratif configuré pour chaque interface. L’interface ge-0/0/8.0 affiche Single le mode demandeur. L’interface ge-0/0/9.0 affiche Single-Secure le mode demandeur. L’interface ge-0/0/11.0 affiche Multiple le mode demandeur.