Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Asignación de VLAN dinámica para puertos incoloros

Las empresas suelen tener una variedad de usuarios y puntos de conexión, lo que da lugar a múltiples casos de uso que deben ser abordados por su infraestructura de políticas. La infraestructura de políticas debe permitir que cualquier dispositivo de usuario compatible se conecte a cualquier puerto del conmutador de acceso y se autentique en función de las capacidades del dispositivo, el nivel de autorización del usuario o ambos.

Los puertos incoloros admiten la conexión de cualquier dispositivo t a cualquier puerto de conmutador , ya que todos tienen la misma configuración inicial . La configuración inicial coloca los dispositivos en una VLAN predeterminada que se utiliza para autenticar y, a continuación, perfilar el dispositivo o usuario. El concepto de puerto incoloro se basa en la generación de perfiles de dispositivos para la asignación de VLAN. Según el tipo de dispositivo que está conectado al puerto (AP, cámara IP o impresora), el servidor NAC devuelve la VLAN adecuada mediante atributos RADIUS.

Beneficios de la asignación de VLAN dinámica para puertos incoloros

  • Permitir que cualquier dispositivo se conecte a cualquier puerto de un conmutador de acceso.

  • Implemente políticas de seguridad coherentes en toda la empresa.

Descripción general

Cuando la autenticación 802.1X está habilitada en un puerto, el conmutador (conocido como autenticador) bloquea todo el tráfico hacia y desde el dispositivo final (conocido como suplicante) hasta que las credenciales del solicitante se presenten y coincidan en un servidor NAC. El servidor NAC suele ser un servidor RADIUS o un administrador de políticas que actúa como servidor RADIUS. Después de autenticar al suplicante, el conmutador abre el puerto al suplicante.

Como parte del proceso de autenticación, un servidor RADIUS puede devolver atributos definidos por IETF que proporcionan asignaciones de VLAN al conmutador. Puede configurar un administrador de políticas para que devuelva diferentes atributos RADIUS al conmutador en función de la política de acceso al punto de conexión. El conmutador cambia dinámicamente la VLAN asignada al puerto de acuerdo con los atributos RADIUS que recibe.

Atributos de Egress-VLAN

Para admitir puertos de acceso y troncales como puertos incoloros, el atributo RADIUS debe indicar si las tramas de la VLAN para este puerto se van a representar en formato etiquetado o sin etiquetar. Se admiten los siguientes atributos para asignar dinámicamente una VLAN y especificar también el formato de trama:

  • ID de VLAN de salida

  • Nombre de VLAN de salida

El atributo Egress-VLAN-ID o Egress-VLAN-Name contiene dos partes; la primera parte indica si las tramas de la VLAN para este puerto deben representarse en formato etiquetado o sin etiquetar, la segunda parte es el nombre de la VLAN.

Para el ID de VLAN de salida:

  • 0x31 = etiquetado

  • 0x32 = sin etiquetar

Por ejemplo, el siguiente perfil RADIUS incluye una VLAN etiquetada y una VLAN sin etiquetar:

Para Egress-VLAN-Name:

  • 1 = etiquetado

  • 2 = sin etiquetar

En el ejemplo siguiente, VLAN 1vlan-2 está etiquetada y VLAN 2vlan-3 no está etiquetada:

Nota:

Es obligatorio incluir los atributos Tunnel-Type y Tunnel-Medium-Type en el perfil con Egress-VLAN-ID o Egress-VLAN-Name.

Cuando el conmutador recibe una asignación de VLAN con "Egress-VLAN-ID", comprueba si la VLAN ya está presente en el sistema. De lo contrario, crea la VLAN dinámica. Si se utiliza Egress-VLAN-Name, la VLAN ya debería estar en el sistema.

Atributos del modo suplicante

Los atributos RADIUS también se pueden utilizar para cambiar el modo suplicante para la autenticación 802.1X. Con un atributo específico del proveedor (VSA) de Juniper Networks, puede establecer el modo suplicante en seguro único o único:

  • Juniper-AV-Pair = Modo suplicante-Single

  • Juniper-AV-Pair = Modo suplicante-Single-Secure

Cuando se reciben estos atributos del servidor NAC, el modo suplicante configurado se cambia para que coincida con el valor de VSA después de autenticar la sesión. Cuando finaliza la sesión, el modo suplicante vuelve al modo que estaba configurado en el sistema antes de recibir el VSA del servidor NAC. Cuando un cliente recibe los atributos de suplicante único dinámico del servidor RADIUS, elimina todos los demás clientes autenticados en esa interfaz, cambiando efectivamente el modo de interfaz de múltiple a único suplicante.