Exemple : Configuration du protocole 802.1X pour les configurations à un ou plusieurs demandeurs sur un commutateur EX Series
L’authentification PNAC (Port Based Network Access Control) 802.1x sur les commutateurs EX Series propose trois types d’authentification pour répondre aux besoins d’accès de votre réseau local d’entreprise :
Authentifiez le premier terminal (demandeur) sur un port d’authentification et autorisez tous les autres terminaux qui se connectent également à accéder au réseau local.
Authentifiez un seul terminal à la fois sur un port d’authentification.
Authentifiez plusieurs terminaux sur un port d’authentification. Le mode de demande multiple est utilisé dans les configurations VoIP.
Cet exemple configure un commutateur EX Series pour qu’il utilise IEEE 802.1X pour authentifier les périphériques finaux qui utilisent trois modes d’administration différents.
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Cet exemple s’applique également aux commutateurs QFX5100.
Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series faisant office d’entité d’accès au port d’authentification (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des terminaux jusqu’à ce qu’ils soient authentifiés.
Un serveur d’authentification RADIUS compatible 802.1X. Le serveur d’authentification fait office de base de données principale et contient les informations d’identification des périphériques finaux (demandeurs) autorisés à se connecter au réseau.
Avant de configurer les ports pour l’authentification 802.1X, assurez-vous d’avoir :
Effectuez la configuration initiale du commutateur - effectué. Reportez-vous à la section Connexion et configuration d’un commutateur EX Series (procédure CLI).
Effectuez le pontage de base et la configuration VLAN sur le commutateur - effectué. Consultez la documentation décrivant la configuration d’un pontage de base et d’un VLAN pour votre commutateur. Si vous utilisez un commutateur qui prend en charge le style de configuration ELS (Enhanced L2 Software), reportez-vous à la section Exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS ou exemple : Mise en place d’un pontage de base et d’un VLAN sur les commutateurs. Pour tous les autres commutateurs, reportez-vous à la section Exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series.
REMARQUE :Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Utilisateurs configurés sur le serveur d’authentification - effectué.
Vue d’ensemble et topologie
Comme illustré à Figure 1la , la topologie contient un commutateur d’accès EX4200 connecté au serveur d’authentification sur le port ge-0/0/10. Les interfaces ge-0/0/8, ge-0/0/9 et ge-0/0/11 seront configurées pour trois modes d’administration différents.
Ce chiffre s’applique également aux commutateurs QFX5100.
Topologie
| Propriété | Paramètres |
|---|---|
Matériel de commutation |
Commutateur EX4200, 24 ports Gigabit Ethernet : 8 ports PoE (ge-0/0/0 à ge-0/0/7) et 16 ports non-PoE (ge-0/0/8 à ge-0/0/23) |
Connexions aux téléphones Avaya - avec hub intégré, pour connecter le téléphone et le PC de bureau à un seul port ; (nécessite PoE) |
GE-0/0/8, GE-0/0/9 et GE-0/0/11 |
Pour configurer les modes d’administration afin de prendre en charge les demandeurs dans différentes zones du réseau d’entreprise :
Configurez le port d’accès ge-0/0/8 pour l’authentification en mode demandeur unique.
Configurez le port d’accès ge-0/0/9 pour l’authentification unique en mode demandeur sécurisé.
Configurez le port d’accès ge-0/0/11 pour l’authentification en mode demandeur multiple.
Le mode demandeur unique authentifie uniquement le premier terminal qui se connecte à un port d’authentification. Tous les autres terminaux qui se connectent au port d’authentification après la première connexion, qu’ils soient compatibles 802.1X ou non, sont autorisés à accéder au port sans authentification supplémentaire. Si le premier terminal authentifié se déconnecte, tous les autres terminaux sont verrouillés jusqu’à ce qu’un terminal s’authentifie.
Le mode demandeur à sécurité unique authentifie un seul terminal pour qu’il se connecte à un port d’authentification. Aucun autre terminal ne peut se connecter au port d’authentification tant que le premier utilisateur ne s’est pas déconnecté.
Le mode de demande multiple authentifie plusieurs terminaux individuellement sur un port d’authentification. Si vous configurez un nombre maximal de périphériques pouvant être connectés à un port via la sécurité des ports, la plus petite des valeurs configurées est utilisée pour déterminer le nombre maximal de périphériques finaux autorisés par port.
Configuration de la norme 802.1X pour prendre en charge plusieurs modes de demande
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement les ports avec différents modes d’authentification 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set protocols dot1x authenticator interface ge-0/0/8 supplicant single set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple
Procédure étape par étape
Configurez le mode d’administration sur les interfaces :
Configurez le mode demandeur en tant que mode unique sur l’interface ge-0/0/8 :
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single
Configurez le mode demandeur en tant que mode unique sécurisé sur l’interface ge-0/0/9 :
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure
Configurer le mode de demande multiple sur l’interface ge-0/0/11 :
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@access-switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
)
ge-0/0/9.0 {
supplicant single-secure;
)
ge-0/0/11.0 {
supplicant multiple;
)
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la configuration 802.1X
But
Vérifiez la configuration 802.1X sur les interfaces ge-0/0/8, ge-0/0/9 et ge-0/0/11.
Action
Vérifiez la configuration 802.1X en exécutant la commande show dot1x interfacemode opérationnel :
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> user@switch> show dot1x interface ge-0/0/9.0 detail ge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0 user@switch> show dot1x interface ge-0/0/11.0 detail ge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
Sens
Le Supplicant mode champ de sortie affiche le mode d’administration configuré pour chaque interface. L’interface ge-0/0/8.0 affiche Single le mode demandeur. L’interface ge-0/0/9.0 affiche Single-Secure le mode demandeur. L’interface ge-0/0/11.0 affiche Multiple le mode demandeur.