Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Cómo configurar un orden de autenticación predefinido

La función VLAN de rechazo selectivo de servidor Dot1X mejora la flexibilidad y la seguridad de los procesos de autenticación de cliente 802.1X. Cuando un servidor RADIUS rechaza la autenticación de un cliente, el conmutador utiliza métodos de autenticación configurados adicionales, como MAC RADIUS, antes de colocar el cliente en una VLAN de rechazo de servidor. Esta característica requiere una configuración cuidadosa del orden de autenticación y la configuración de VLAN de rechazo del servidor para maximizar las oportunidades de acceso a la red mientras se mantiene una seguridad sólida. Además, la característica introduce comandos específicos de interfaz de línea de comandos (CLI) para configurar estos comportamientos y admite la personalización detallada de secuencias de autenticación, lo que proporciona un flujo de trabajo de autenticación resistente y fácil de usar.

Ventajas de configurar varios métodos de autenticación

  • Mejora la seguridad de la red al intentar múltiples métodos de autenticación antes de restringir el acceso del cliente, lo que garantiza una verificación exhaustiva de la legitimidad del cliente.

  • Mejora la experiencia del usuario al reducir la colocación innecesaria de clientes en VLAN de rechazo del servidor, lo que permite métodos de autenticación alternativos para otorgar acceso.

  • Aumenta la flexibilidad en el control de acceso a la red al permitir secuencias de autenticación configurables que se adaptan a diferentes políticas y requisitos de red.

  • Garantiza un uso óptimo de los recursos de red al evitar el aislamiento inmediato del cliente, lo que permite un manejo más eficiente de los procesos de autenticación.

  • Admite un flujo de trabajo de autenticación resistente que mantiene un equilibrio entre seguridad y accesibilidad, incluso en escenarios de reautenticación.

Descripción general

La característica VLAN de rechazo selectivo de servidor Dot1X mejora significativamente el mecanismo de autenticación de cliente 802.1X al modificar la forma en que se manejan los clientes cuando un servidor RADIUS rechaza la autenticación. En lugar de colocar inmediatamente los clientes rechazados en una VLAN de rechazo del servidor, el conmutador intenta otros métodos de autenticación configurados, como MAC RADIUS. Este enfoque garantiza un proceso de verificación exhaustivo, lo que potencialmente permite a los clientes obtener acceso a la red a través de rutas de autenticación alternativas antes de recurrir a medidas restrictivas.

Para utilizar esta función, debe configurar cuidadosamente el orden de autenticación y la configuración de VLAN de rechazo del servidor. El orden de autenticación dicta la secuencia en la que el conmutador intenta diferentes métodos, lo que garantiza que se exploren todas las posibles vías para la autenticación del cliente. Por ejemplo, puede establecer el orden para probar primero 802.1X, seguido de MAC RADIUS, según las políticas y los requisitos de su red. La función requiere que la opción posterior al orden de autenticación esté habilitada en la interfaz, lo que indica al conmutador que pruebe métodos de autenticación adicionales antes de colocar el cliente en la VLAN de rechazo del servidor.

El comando set protocols dot1x authenticator interface <INTF_NAME> server-reject-vlan post-auth-order CLI es fundamental para configurar esta función. Este comando garantiza que el conmutador intente todos los métodos de autenticación configurados en el orden especificado antes de aplicar la VLAN de rechazo del servidor. Tenga en cuenta que esta función no es compatible con configuraciones de portal cautivo en la misma interfaz y requiere que se configure MAC RADIUS. Durante la reautenticación, la función mantiene un equilibrio entre flexibilidad y seguridad al colocar clientes directamente en la VLAN de rechazo del servidor si el servidor RADIUS los rechaza nuevamente, evitando así posibles lagunas de seguridad.

Ejemplo de configuración

Para implementar la característica VLAN de rechazo selectivo de servidor Dot1x, considere el siguiente ejemplo de configuración. Supongamos que tiene una interfaz que necesita admitir los métodos de autenticación 802.1X y MAC RADIUS, y que desea asegurarse de que los clientes tengan varias oportunidades de autenticarse antes de colocarlos en la VLAN de rechazo del servidor.

Configure MAC RADIUS y Dot1x en la interfaz:

set protocols dot1x authenticator interface ge-0/0/1 mac-radius set protocols dot1x authenticator interface ge-0/0/1

Establezca el orden de autenticación:

set protocols dot1x authenticator interface ge-0/0/1 server-reject-vlan post-auth-order

Especifique la VLAN de rechazo del servidor:

set protocols dot1x authenticator interface ge-0/0/1 server-reject-vlan vlan10

En este ejemplo, el conmutador primero intenta la autenticación 802.1X. Si el servidor RADIUS rechaza el cliente, el conmutador intenta la autenticación MAC RADIUS. Solo si ambos métodos fallan, el cliente se colocará en VLAN 10, la VLAN de rechazo del servidor. Esta configuración garantiza un proceso de autenticación flexible y seguro, lo que mejora la experiencia general del usuario de la red.