Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Asignación dinámica de VLAN para puertos sin color

Por lo general, las empresas tienen una variedad de usuarios y puntos de conexión, lo que da como resultado varios casos de uso que deben abordarse mediante su infraestructura de políticas. La infraestructura de políticas debe permitir que cualquier dispositivo de usuario compatible se conecte a cualquier puerto del conmutador de acceso y se autentique según las capacidades del dispositivo, el nivel de autorización del usuario o ambos.

Los puertos incoloros admiten conectar cualquier dispositivo t a cualquier puerto de conmutador , ya que todos tienen la misma configuración inicial . La configuración inicial coloca los dispositivos en una VLAN predeterminada que se usa para autenticar y, luego, perfilar el dispositivo o el usuario. El concepto de puerto sin color se basa en el perfil de dispositivos para la asignación de VLAN. Según el tipo de dispositivo que está conectado al puerto (AP, cámara IP o impresora), el servidor NAC devuelves la VLAN adecuada mediante los atributos RADIUS.

Beneficios de la asignación dinámica de VLAN para puertos sin color

  • Permita que cualquier dispositivo se conecte a cualquier puerto de un conmutador de acceso.

  • Implemente políticas de seguridad coherentes en toda la empresa.

Descripción general

Cuando se habilita la autenticación 802.1X en un puerto, el conmutador (conocido como autenticador) bloquea todo el tráfico hacia y desde el dispositivo final (conocido como suplicante) hasta que se presentan y coinciden las credenciales del suplicante en un servidor NAC. El servidor NAC suele ser un servidor RADIUS o un administrador de políticas que actúa como servidor RADIUS. Después de autenticar el suplicante, el conmutador abre el puerto al suplicante.

Como parte del proceso de autenticación, un servidor RADIUS puede devolver atributos definidos por IETF que proporcionan asignaciones de VLAN al conmutador. Puede configurar un administrador de políticas para que vuelva a transferir diferentes atributos RADIUS al conmutador según la política de acceso de punto de conexión. El conmutador cambia dinámicamente la VLAN asignada al puerto según los atributos RADIUS que recibe.

Atributos de Egress-VLAN

Para admitir los puertos de acceso y troncalización como puertos sin color, el atributo RADIUS debe indicar si las tramas en la VLAN de este puerto se representarán en formato etiquetado o sin etiquetar. Se admiten los siguientes atributos para asignar dinámicamente una VLAN y también para especificar el formato de trama:

  • ID de salida de VLAN

  • Nombre de salida de VLAN

El atributo Egress-VLAN-ID o Egress-VLAN-Name contiene dos partes; la primera parte indica si las tramas en la VLAN de este puerto se representarán en formato etiquetado o sin etiquetar, la segunda parte es el nombre de VLAN.

Para Egress-VLAN-ID:

  • 0x31 = etiquetado

  • 0x32 = sin etiquetar

Por ejemplo, el siguiente perfil RADIUS incluye una VLAN etiquetada y una VLAN sin etiquetar:

Para nombre de Egress-VLAN:

  • 1 = etiquetado

  • 2 = sin etiquetar

En el ejemplo siguiente, se etiqueta VLAN 1vlan-2 y VLAN 2vlan-3 sin etiqueta:

Nota:

Es obligatorio incluir los atributos Tunnel-Type y Tunnel-Medium-Type en el perfil con Egress-VLAN-ID o Egress-VLAN-Name.

Cuando el conmutador recibe una asignación de VLAN con "Egress-VLAN-ID", comprueba si la VLAN ya está presente en el sistema. Si no es así, crea la VLAN dinámica. Si se utiliza el nombre de Egress-VLAN, la VLAN ya debería estar en el sistema.

Atributos de modo suplicante

Los atributos RADIUS también se pueden usar para cambiar el modo de suplicante para la autenticación 802.1X. Con un atributo específico del proveedor (VSA) de Juniper Networks, puede establecer el modo suplicante en una o una sola seguridad:

  • Juniper-AV-Pair = Modo suplicante único

  • Juniper-AV-pair = Modo suplicante-single-Secure

Cuando se reciben estos atributos desde el servidor NAC, el modo de suplicante configurado se cambiará para que coincida con el valor VSA después de autenticar la sesión. Cuando termina la sesión, el modo suplicante vuelve al modo que se configuró en el sistema antes de recibir el VSA desde el servidor NAC.