Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de 802.1X para configuraciones de supplicante único o de varios supplicantes en un conmutador de la serie EX

La autenticación de control de acceso de red (PNAC) basada en puertos 802.1x en conmutadores de la serie EX ofrece tres tipos de autenticación para satisfacer las necesidades de acceso de su LAN empresarial:

  • Autentifique el primer dispositivo de extremo (suplicante) en un puerto de autenticador y permita que todos los demás dispositivos finales que se conecten también tengan acceso a la LAN.

  • Autentifique solo un dispositivo final en un puerto de autenticador a la vez.

  • Autentificar varios dispositivos de extremo en un puerto de autenticador. En las configuraciones de VoIP, se utiliza el modo de suplicante múltiple.

En este ejemplo, se configura un conmutador de la serie EX para que use IEEE 802.1X para autenticar dispositivos finales que utilizan tres modos administrativos diferentes.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a conmutadores QFX5100.

  • Junos OS versión 9.0 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX que actúa como una entidad de acceso de puerto de autenticador (PAE). Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los dispositivos finales hasta que se autentifican.

  • Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como la base de datos de back-end y contiene información de credenciales para dispositivos finales (supplicantes) que tienen permiso para conectarse a la red.

Antes de configurar los puertos para la autenticación 802.1X, asegúrese de tener:

Descripción general y topología

Como se muestra en Figura 1, la topología contiene un conmutador de acceso EX4200 conectado al servidor de autenticación en el puerto ge-0/0/10. Las interfaces ge-0/0/8, ge-0/0/9 y ge-0/0/11 se configurarán para tres modos administrativos diferentes.

Nota:

Esta figura también se aplica a los conmutadores QFX5100.

Topología

Figura 1: Topología para configurar modos de suplicanteTopología para configurar modos de suplicante
Tabla 1: Componentes de la topología de configuración del modo suplicante
Propiedad Configuración

Hardware del conmutador

Conmutador EX4200, 24 puertos Gigabit Ethernet: 8 puertos PoE (ge-0/0/0 a ge-0/0/7) y 16 puertos no PoE (ge-0/0/8 a ge-0/0/23)

Conexiones a teléfonos Avaya, con hub integrado, para conectar el teléfono y la PC de escritorio a un solo puerto; (requiere PoE)

ge-0/0/8, ge-0/0/9 y ge-0/0/11

Para configurar los modos administrativos para admitir supplicantes en diferentes áreas de la red empresarial:

  • Configure el puerto de acceso ge-0/0/8 para la autenticación en modo de suplicante único.

  • Configure el puerto de acceso ge-0/0/9 para una sola autenticación segura en modo de suplicante.

  • Configure el puerto de acceso ge-0/0/11 para la autenticación en modo de suplicante múltiple.

El modo de suplicante único autentica solo el primer dispositivo final que se conecta a un puerto de autenticador. Todos los demás dispositivos finales que se conectan al puerto del autenticador después de que el primero se haya conectado correctamente, estén habilitados para 802.1X o no, se les permite acceder al puerto sin más autenticación. Si el primer dispositivo final autenticado cierra sesión, todos los demás dispositivos finales se bloquean hasta que un dispositivo final se autentifique.

El modo de suplicante único seguro autentica solo un dispositivo final para conectarse a un puerto de autenticador. Ningún otro dispositivo final puede conectarse al puerto del autenticador hasta que se cierre la primera sesión.

El modo de suplicante múltiple autentica varios dispositivos finales individualmente en un puerto de autenticador. Si configura un número máximo de dispositivos que se pueden conectar a un puerto mediante la seguridad de puerto, el menor de los valores configurados se utiliza para determinar la cantidad máxima de dispositivos finales permitidos por puerto.

Configuración de 802.1X para admitir varios modos de suplicante

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente los puertos con diferentes modos de autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador:

Procedimiento paso a paso

Configure el modo administrativo en las interfaces:

  1. Configure el modo de suplicante como único en la interfaz ge-0/0/8:

  2. Configure el modo de suplicante como único seguro en la interfaz ge-0/0/9:

  3. Configure el modo de suplicante múltiple en la interfaz ge-0/0/11:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar la configuración 802.1X

Propósito

Verifique la configuración de 802.1X en las interfaces ge-0/0/8, ge-0/0/9 y ge-0/0/11.

Acción

Verifique la configuración 802.1X mediante la emisión del comando show dot1x interfacede modo operativo:

Significado

El Supplicant mode campo de salida muestra el modo administrativo configurado para cada interfaz. La interfaz ge-0/0/8.0 muestra Single el modo de suplicante. La interfaz ge-0/0/9.0 muestra Single-Secure el modo de suplicante. La interfaz ge-0/0/11.0 muestra Multiple el modo de suplicante.