Ejemplo: Configuración de 802.1X para configuraciones de un solo suplicante o de múltiples suplicantes en un conmutador de la serie EX
La autenticación de control de acceso de red (PNAC) basado en puertos 802.1x en conmutadores serie EX ofrece tres tipos de autenticación para satisfacer las necesidades de acceso de su LAN empresarial:
Autentifique el dispositivo de primer extremo (suplicante) en un puerto de autenticación y permita que todos los demás dispositivos finales que también se conectan tengan acceso a la LAN.
Autentifique solo un dispositivo final en un puerto de autenticación a la vez.
Autentifique varios dispositivos finales en un puerto de autenticación. El modo de suplicante múltiple se utiliza en configuraciones de VoIP.
En este ejemplo, se configura un conmutador de la serie EX para usar IEEE 802.1X para autenticar dispositivos finales que utilizan tres modos administrativos diferentes.
Requisitos
En este ejemplo, se usan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Junos OS versión 9.0 o posterior para conmutadores serie EX
Un conmutador de la serie EX que actúa como una entidad de acceso a puerto (PAE) de autenticador. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los dispositivos finales hasta que se autentican.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como la base de datos de backend y contiene información de credenciales para dispositivos finales (suplicantes) que tienen permiso para conectarse a la red.
Antes de configurar los puertos para la autenticación 802.1X, asegúrese de tener lo siguiente:
Llevó a cabo la configuración inicial del conmutador. Consulte Conexión y configuración de conmutadores de la serie EX (procedimiento de la CLI).
Realizó puentes básicos y configuración de VLAN en el conmutador. Consulte la documentación que describe la configuración de puentes básicos y una VLAN para el conmutador. Si utiliza un conmutador compatible con el estilo de configuración Enhanced Layer 2 Software (ELS), consulte ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX con soporte ELS o ejemplo: Configurar puentes básicos y una VLAN en conmutadores. Para todos los demás conmutadores, consulte ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Nota:Para obtener más información acerca de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Usuarios configurados en el servidor de autenticación.
Descripción general y topología
Como se muestra en Figura 1, la topología contiene un conmutador de acceso EX4200 conectado al servidor de autenticación en el puerto ge-0/0/10. Las interfaces ge-0/0/8, ge-0/0/9 y ge-0/0/11 se configurarán para tres modos administrativos diferentes.
Esta figura también se aplica a los conmutadores QFX5100.
Topología
| Propiedad | Configuración |
|---|---|
Hardware del conmutador |
Conmutador EX4200, 24 puertos Gigabit Ethernet: 8 puertos PoE (ge-0/0/0 a ge-0/0/7) y 16 puertos no PoE (ge-0/0/8 a ge-0/0/23) |
Conexiones a teléfonos Avaya: con concentrador integrado, para conectar el teléfono y la PC de escritorio a un solo puerto; (requiere PoE) |
ge-0/0/8, ge-0/0/9 y ge-0/0/11 |
Para configurar los modos administrativos para admitir suplicantes en diferentes áreas de la red empresarial:
Configure el puerto de acceso ge-0/0/8 para la autenticación en modo de suplicante único.
Configure el puerto de acceso ge-0/0/9 para la autenticación en modo suplicante seguro único.
Configure el puerto de acceso ge-0/0/11 para la autenticación en modo de suplicante múltiple.
El modo de suplicante único autentica solo el dispositivo de primer extremo que se conecta a un puerto de autenticación. A todos los demás dispositivos finales que se conectan al puerto de autenticación después de que el primero se haya conectado correctamente, ya sea que estén habilitados con el 802.1X o no, se les permite el acceso al puerto sin más autenticación. Si el primer dispositivo final autenticado cierra sesión, todos los demás dispositivos finales se bloquean hasta que un dispositivo final se autentifica.
El modo de suplicante único seguro autentica solo un dispositivo final para conectarse a un puerto de autenticación. Ningún otro dispositivo final puede conectarse al puerto del autenticador hasta que se cierra la primera sesión.
El modo de suplicante múltiple autentica varios dispositivos finales de forma individual en un puerto de autenticación. Si configura un número máximo de dispositivos que se pueden conectar a un puerto mediante la seguridad de puerto, se utiliza el menor de los valores configurados para determinar el número máximo de dispositivos finales permitidos por puerto.
Configuración de 802.1X para admitir varios modos de suplicación
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente los puertos con diferentes modos de autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set protocols dot1x authenticator interface ge-0/0/8 supplicant single set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple
Procedimiento paso a paso
Configure el modo administrativo en las interfaces:
Configure el modo suplicante como único en la interfaz ge-0/0/8:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single
Configure el modo suplicante como un solo seguro en la interfaz ge-0/0/9:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure
Configure el modo de suplicante múltiple en la interfaz ge-0/0/11:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
Resultados
Compruebe los resultados de la configuración:
[edit]
user@access-switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
)
ge-0/0/9.0 {
supplicant single-secure;
)
ge-0/0/11.0 {
supplicant multiple;
)
}
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificación de la configuración 802.1X
Propósito
Verifique la configuración 802.1X en las interfaces ge-0/0/8, ge-0/0/9 y ge-0/0/11.
Acción
Verifique la configuración 802.1X mediante la emisión del comando show dot1x interfacede modo operativo:
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> user@switch> show dot1x interface ge-0/0/9.0 detail ge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0 user@switch> show dot1x interface ge-0/0/11.0 detail ge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
Significado
El Supplicant mode campo de salida muestra el modo administrativo configurado para cada interfaz. La interfaz ge-0/0/8.0 muestra Single el modo suplicante. La interfaz ge-0/0/9.0 muestra Single-Secure el modo suplicante. La interfaz ge-0/0/11.0 muestra Multiple el modo suplicante.