Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration de la norme 802.1X pour les configurations à un ou plusieurs demandeurs sur un commutateur EX Series

L’authentification PNAC (Port-Based Network Access Control) 802.1x sur les commutateurs EX Series fournit trois types d’authentification pour répondre aux besoins d’accès de votre réseau LAN d’entreprise :

  • Authentifiez l’équipement de première extrémité (demandeur) sur un port d’authentificateur et autorisez tous les autres équipements finaux à se connecter pour accéder au LAN.

  • Authentifiez un seul équipement final sur un port d’authentificateur à la fois.

  • Authentifiez plusieurs terminaux sur un port d’authentificateur. Le mode demandeur multiple est utilisé dans les configurations VoIP.

Cet exemple configure un commutateur EX Series pour qu’il utilise IEEE 802.1X pour authentifier les équipements finaux qui utilisent trois modes administratifs différents.

Conditions préalables

Cet exemple utilise les composants logiciels et matériels suivants :

REMARQUE :

Cet exemple s’applique également aux commutateurs QFX5100.

  • Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series

  • Un commutateur EX Series agissant comme une entité d’accès aux ports d’authentificateur (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic vers et depuis les équipements terminaux jusqu’à ce qu’ils soient authentifiés.

  • Un serveur d’authentification RADIUS prenant en charge 802.1X. Le serveur d’authentification fait office de base de données back-end et contient des informations d’identification pour les équipements finaux (demandeurs) autorisés à se connecter au réseau.

Avant de configurer les ports pour l’authentification 802.1X, assurez-vous d’avoir :

Présentation et topologie

Comme illustré dans Figure 1, la topologie contient un commutateur d’accès EX4200 connecté au serveur d’authentification sur le port ge-0/0/10. Les interfaces ge-0/0/8, ge-0/0/9 et ge-0/0/11 seront configurées pour trois modes administratifs différents.

REMARQUE :

Ce chiffre s’applique également aux commutateurs QFX5100.

topologie

Figure 1 : Topologie pour la configuration des modes demandeursTopologie pour la configuration des modes demandeurs
Tableau 1 : Composants de la topologie de configuration du mode supplicant
Propriété Paramètres

Matériel de commutation

Commutateur EX4200, 24 ports Gigabit Ethernet : 8 ports PoE (ge-0/0/0 à ge-0/0/7) et 16 ports non PoE (ge-0/0/8 à ge-0/0/23)

Connexions aux téléphones Avaya avec hub intégré pour connecter le téléphone et l’ordinateur de bureau à un seul port ; (nécessite poE)

ge-0/0/8, ge-0/0/9 et ge-0/0/11

Pour configurer les modes administratifs pour prendre en charge les demandeurs dans différents domaines du réseau d’entreprise :

  • Configurez le port d’accès ge-0/0/8 pour une authentification en mode demandeur unique.

  • Configurez le port d’accès ge-0/0/9 pour une authentification en mode demandeur sécurisé unique.

  • Configurez le port d’accès ge-0/0/11 pour l’authentification en mode demandeur multiple.

Le mode demandeur unique authentifie uniquement le premier équipement qui se connecte à un port d’authentificateur. Tous les autres équipements finaux qui se connectent au port d’authentificateur après que le premier s’est connecté avec succès, qu’ils soient compatibles 802.1X ou non, sont autorisés à accéder au port sans autre authentification. Si le premier équipement final authentifié se déconnecte, tous les autres équipements finaux sont verrouillés jusqu’à ce qu’un équipement final s’authentifie.

Le mode demandeur sécurisé unique authentifie un seul équipement final à connecter à un port d’authentificateur. Aucun autre équipement final ne peut se connecter au port d’authentificateur jusqu’à ce que le premier se déconnecte.

Le mode demandeur multiple authentifie plusieurs terminaux individuellement sur un seul port d’authentificateur. Si vous configurez un nombre maximal d’équipements pouvant être connectés à un port via la sécurité de port, la moindre des valeurs configurées est utilisée pour déterminer le nombre maximal d’équipements finaux autorisés par port.

Configuration de la norme 802.1X pour prendre en charge plusieurs modes demandeurs

Procédure

Configuration rapide cli

Pour configurer rapidement les ports avec différents modes d’authentification 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Configurez le mode administratif sur les interfaces :

  1. Configurez le mode demandeur en tant qu’interface unique sur l’interface ge-0/0/8 :

  2. Configurez le mode demandeur en tant qu’interface sécurisée unique sur l’interface ge-0/0/9 :

  3. Configurez plusieurs modes demandeurs sur l’interface ge-0/0/11 :

Résultats

Vérifiez les résultats de la configuration :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérification de la configuration 802.1X

But

Vérifiez la configuration 802.1X sur les interfaces ge-0/0/8, ge-0/0/9 et ge-0/0/11.

Action

Vérifiez la configuration 802.1X en envoyant la commande show dot1x interfacedu mode opérationnel :

Sens

Le Supplicant mode champ de sortie affiche le mode administratif configuré pour chaque interface. L’interface ge-0/0/8.0 affiche Single le mode demandeur. L’interface ge-0/0/9.0 affiche Single-Secure le mode demandeur. L’interface ge-0/0/11.0 affiche Multiple le mode demandeur.