Ejemplo Configuración de 802.1 X en salas de conferencia para proporcionar acceso a Internet a visitantes corporativos en un conmutador de la serie EX
los conmutadores de la serie 802.1 x proporcionan acceso a LAN a los usuarios que no tienen credenciales en la base de datos RADIUS. Estos usuarios, a los que se hace referencia como invitados, se autentican y se suelen proporcionar acceso a Internet.
En este ejemplo se describe cómo crear una VLAN invitada y cómo configurar la autenticación 802.1 X para ella.
Aplicables
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a conmutadores QFX5100.
Junos OS versión 9,0 o posterior para conmutadores de la serie EX
Un conmutador de la serie EX que actúa como una entidad de acceso a puertos (PAE). Las interfaces del autenticador PAE forman una puerta de control que bloquea todo el tráfico entrante y no de los suplicantes hasta que se autentiquen.
Uno RADIUS servidor de autenticación compatible con 802.1 X. El servidor de autenticación actúa como la base de datos del servidor y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de configurar la autenticación VLAN invitada, asegúrese de que tiene:
Se realizó la configuración inicial del conmutador. Consulte conexión y configuración de un conmutador de la serie ex (procedimiento de la CLI).
Se realizaron los puentes básicos y la configuración de VLAN en el conmutador. Consulte la documentación que describe la configuración de puente básico y una VLAN para su conmutador. Si utiliza un conmutador que admita el estilo de configuración Enhanced Layer 2 Software (ELS), consulte el ejemplo: Configurar puentes básicos y una VLAN para un conmutador de la serie EX con soporte ELS o ejemplo: Configuración de puente básico y VLAN en conmutadores. Para el resto de conmutadores, consulte Ejemplo: Configurar el puente básico y una VLAN para un conmutadorde la serie ex.
Nota:Para obtener más información acerca de ELS, consulte: Uso de la avanzada CLI de software de capa 2
Descripción general y topología
Como parte de IEEE control de acceso a la red basado en puertos 802.1 X (PNAC), puede proporcionar acceso limitado a la red a suplicantes que no pertenezcan a un grupo de autenticación VLAN configurando la autenticación para una VLAN invitada. Normalmente, el acceso a la VLAN de invitado se utiliza para proporcionar acceso a Internet a los visitantes de un sitio corporativo. Sin embargo, también puede usar la característica de VLAN invitada para proporcionar acceso a una red VLAN con recursos limitados a los suplicantes que fallan la autenticación de 802.1 X en una LAN corporativa.
Esta cifra también se aplica a los conmutadores QFX5100.
Topología
Figura 1muestra la sala de conferencias conectada al conmutador en la interfaz GE-0/0/1.
| Inspector | Configuraciones |
|---|---|
Cambiar el hardware |
Conmutador de EX4200, 24 interfaces Gigabit Ethernet: 8 PoE interfaces ( a través) y ge-0/0/0ge-0/0/7 16 interfaces no PoE de red ( ge-0/0/8 a través de ge-0/0/23 ) |
Nombres de VLAN e ID. |
sales, etiqueta100support, etiqueta200 guest-vlan, etiqueta300 |
Un servidor RADIUS |
Base de datos back-end conectada a la interfaz conmutador a través de ge-0/0/10 |
En este ejemplo, la interfaz de ge-0/0/1 acceso proporciona conectividad LAN en la sala de conferencias. Configure esta interfaz de acceso para proporcionar conectividad LAN a los visitantes de la sala de conferencias que no son autenticados por la VLAN corporativa.
Configuración de una VLAN invitada que incluye autenticación 802.1 X
Modalidades
Configuración rápida de CLI
Para configurar rápidamente una VLAN invitada, con autenticación 802.1 X, copie los comandos siguientes y péguelos en la ventana del conmutador de terminal:
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
Procedimiento paso a paso
Para configurar una VLAN invitada que incluya autenticación 802.1 X en un conmutador de serie EX:
Configure el ID de VLAN para la VLAN invitada:
[edit] user@switch# set vlans guest-vlan vlan-id 300
Configure la VLAN de invitado en dot1x protocolo:
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-vlan {
guest-vlan;
}
}
}
}
}
}
vlans {
guest-vlan {
vlan-id 300;
}
}
Comproba
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Comprobando que la VLAN invitada está configurada
Purpose
Compruebe que se ha creado la VLAN de invitado y que se ha producido un error de autenticación en una interfaz y se ha movido a la VLAN invitada.
En los conmutadores en los que se ejecuta Junos OS para la serie EX con compatibilidad show vlans con Els, la salida del comando contendrá información adicional. Si el conmutador ejecuta software que admita ELS, consulte Show VLANs. Para obtener detalles de ELS, consulte uso de la avanzada CLI de software de capa 2.
Intervención
Emita los comandos del modo de funcionamiento:
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/3.0*
dynamic 40
None
guest 30
None
guest—vlan 300
ge-0/0/1.0*
vlan_dyn
None
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Guest VLAN
Authenticated VLAN: guest-vlan
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Efectos
El resultado del comando show vlans se muestra como el nombre de la VLAN y el ID de VLAN como guest-vlan300 .
El resultado del comando muestra el campo, lo que indica que un supplicante en esta interfaz no pudo autenticación show dot1x interface ge-0/0/1.0 detailGuest VLAN membership 802.1X y se pasó a guest-vlan la .