Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de 802.1X para configuraciones de un solo suplicante o de múltiples suplicantes en un conmutador de la serie EX

La autenticación de control de acceso de red (PNAC) basado en puertos 802.1x en conmutadores serie EX ofrece tres tipos de autenticación para satisfacer las necesidades de acceso de su LAN empresarial:

  • Autentifique el dispositivo de primer extremo (suplicante) en un puerto de autenticación y permita que todos los demás dispositivos finales que también se conectan tengan acceso a la LAN.

  • Autentifique solo un dispositivo final en un puerto de autenticación a la vez.

  • Autentifique varios dispositivos finales en un puerto de autenticación. El modo de suplicante múltiple se utiliza en configuraciones de VoIP.

En este ejemplo, se configura un conmutador de la serie EX para usar IEEE 802.1X para autenticar dispositivos finales que utilizan tres modos administrativos diferentes.

Requisitos

En este ejemplo, se usan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a los conmutadores QFX5100.

  • Junos OS versión 9.0 o posterior para conmutadores serie EX

  • Un conmutador de la serie EX que actúa como una entidad de acceso a puerto (PAE) de autenticador. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los dispositivos finales hasta que se autentican.

  • Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como la base de datos de backend y contiene información de credenciales para dispositivos finales (suplicantes) que tienen permiso para conectarse a la red.

Antes de configurar los puertos para la autenticación 802.1X, asegúrese de tener lo siguiente:

Descripción general y topología

Como se muestra en Figura 1, la topología contiene un conmutador de acceso EX4200 conectado al servidor de autenticación en el puerto ge-0/0/10. Las interfaces ge-0/0/8, ge-0/0/9 y ge-0/0/11 se configurarán para tres modos administrativos diferentes.

Nota:

Esta figura también se aplica a los conmutadores QFX5100.

Topología

Figura 1: Topología para configurar modos de suplicanteTopología para configurar modos de suplicante
Tabla 1: Componentes de la topología de configuración del modo suplicante
Propiedad Configuración

Hardware del conmutador

Conmutador EX4200, 24 puertos Gigabit Ethernet: 8 puertos PoE (ge-0/0/0 a ge-0/0/7) y 16 puertos no PoE (ge-0/0/8 a ge-0/0/23)

Conexiones a teléfonos Avaya: con concentrador integrado, para conectar el teléfono y la PC de escritorio a un solo puerto; (requiere PoE)

ge-0/0/8, ge-0/0/9 y ge-0/0/11

Para configurar los modos administrativos para admitir suplicantes en diferentes áreas de la red empresarial:

  • Configure el puerto de acceso ge-0/0/8 para la autenticación en modo de suplicante único.

  • Configure el puerto de acceso ge-0/0/9 para la autenticación en modo suplicante seguro único.

  • Configure el puerto de acceso ge-0/0/11 para la autenticación en modo de suplicante múltiple.

El modo de suplicante único autentica solo el dispositivo de primer extremo que se conecta a un puerto de autenticación. A todos los demás dispositivos finales que se conectan al puerto de autenticación después de que el primero se haya conectado correctamente, ya sea que estén habilitados con el 802.1X o no, se les permite el acceso al puerto sin más autenticación. Si el primer dispositivo final autenticado cierra sesión, todos los demás dispositivos finales se bloquean hasta que un dispositivo final se autentifica.

El modo de suplicante único seguro autentica solo un dispositivo final para conectarse a un puerto de autenticación. Ningún otro dispositivo final puede conectarse al puerto del autenticador hasta que se cierra la primera sesión.

El modo de suplicante múltiple autentica varios dispositivos finales de forma individual en un puerto de autenticación. Si configura un número máximo de dispositivos que se pueden conectar a un puerto mediante la seguridad de puerto, se utiliza el menor de los valores configurados para determinar el número máximo de dispositivos finales permitidos por puerto.

Configuración de 802.1X para admitir varios modos de suplicación

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente los puertos con diferentes modos de autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Configure el modo administrativo en las interfaces:

  1. Configure el modo suplicante como único en la interfaz ge-0/0/8:

  2. Configure el modo suplicante como un solo seguro en la interfaz ge-0/0/9:

  3. Configure el modo de suplicante múltiple en la interfaz ge-0/0/11:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificación de la configuración 802.1X

Propósito

Verifique la configuración 802.1X en las interfaces ge-0/0/8, ge-0/0/9 y ge-0/0/11.

Acción

Verifique la configuración 802.1X mediante la emisión del comando show dot1x interfacede modo operativo:

Significado

El Supplicant mode campo de salida muestra el modo administrativo configurado para cada interfaz. La interfaz ge-0/0/8.0 muestra Single el modo suplicante. La interfaz ge-0/0/9.0 muestra Single-Secure el modo suplicante. La interfaz ge-0/0/11.0 muestra Multiple el modo suplicante.