Exemplo: Configuração do 802.1X para configurações de suplicante único ou múltiplo suplicante em um switch da Série EX
A autenticação do controle de acesso à rede (PNAC) baseada em porta 802.1x nos switches da Série EX oferece três tipos de autenticação para atender às necessidades de acesso de sua LAN empresarial:
Autenticar o primeiro dispositivo final (suplicante) em uma porta autenticadora e permitir que todos os outros dispositivos finais também se conectem a ter acesso à LAN.
Autenticar apenas um dispositivo final em uma porta autenticadora de uma só vez.
Autenticar vários dispositivos finais em uma porta autenticadora. O modo de suplicante múltiplo é usado em configurações de VoIP.
Este exemplo configura um switch da Série EX para usar o IEEE 802.1X para autenticar dispositivos finais que usam três modos administrativos diferentes.
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Este exemplo também se aplica a switches QFX5100.
Versão 9.0 ou posterior do Junos OS para switches da Série EX
Um switch da Série EX atua como uma entidade de acesso de porta autenticadora (PAE). As portas no PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para dispositivos finais até que sejam autenticados.
Um servidor de autenticação RADIUS que oferece suporte ao 802.1X. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para dispositivos finais (suplicantes) que têm permissão para se conectar à rede.
Antes de configurar as portas para autenticação 802.1X, certifique-se de ter:
Executou a configuração inicial do switch. Veja a conexão e a configuração de um switch da Série EX (procedimento CLI).
Realizou a ponte básica e a configuração de VLAN no switch. Veja a documentação que descreve a configuração de pontes básicas e uma VLAN para o seu switch. Se você estiver usando um switch que ofereça suporte ao estilo de configuração do software de camada 2 (ELS) aprimorado, veja Exemplo: Configuração de pontes básicas e uma VLAN para um switch da Série EX com suporte ou exemplo de ELS: Configuração de pontes básicas e uma VLAN em switches. Para todos os outros switches, veja Exemplo: Configurando uma ponte básica e uma VLAN para um switch da Série EX.
Nota:Para obter mais informações sobre o ELS, veja Usando a CLI de software de camada 2 aprimorada.
Usuários configurados no servidor de autenticação.
Visão geral e topologia
Como mostrado, Figura 1a topologia contém um switch de acesso EX4200 conectado ao servidor de autenticação na porta ge-0/0/10. As interfaces ge-0/0/8, ge-0/0/9 e ge-0/11 serão configuradas para três modos administrativos diferentes.
Esse número também se aplica a switches QFX5100.
Topologia
| Propriedade | Configurações |
|---|---|
Hardware do switch |
Switch EX4200, 24 portas Ethernet Gigabit: 8 portas PoE (ge-0/0/0 a ge-0/0/7) e 16 portas não PoE (ge-0/0/8 até ge-0/0/23) |
Conexões com telefones Avaya — com hub integrado, para conectar o PC de telefone e desktop a uma única porta; (requer PoE) |
ge-0/0/8, ge-0/0/9 e ge-0/0/11 |
Configurar os modos administrativos para oferecer suporte a suplicantes em diferentes áreas da rede empresarial:
Configure a porta de acesso ge-0/0/8 para autenticação de modo suplicante único.
Configure a porta de acesso ge-0/0/9 para autenticação de modo suplicante seguro único.
Configure a porta de acesso ge-0/0/11 para autenticação de modo suplicante múltiplo.
O modo suplicante único autentica apenas o primeiro dispositivo final que se conecta a uma porta autenticadora. Todos os outros dispositivos finais que se conectam à porta do autenticador após a primeira conexão com sucesso, sejam eles habilitados para 802.1X ou não, têm acesso permitido à porta sem autenticação adicional. Se o primeiro dispositivo final autenticado for excluído, todos os outros dispositivos finais ficarão bloqueados até que um dispositivo final seja autenticado.
O modo suplicante de segurança única autentica apenas um dispositivo final para se conectar a uma porta autenticadora. Nenhum outro dispositivo final pode se conectar à porta do autenticador até que o primeiro log seja ativado.
O modo suplicante múltiplo autentica vários dispositivos finais individualmente em uma porta autenticadora. Se você configurar um número máximo de dispositivos que podem ser conectados a uma porta através da segurança da porta, menor será o valor configurado para determinar o número máximo de dispositivos finais permitidos por porta.
Configuração do 802.1X para oferecer suporte a vários modos suplicantes
Procedimento
Configuração rápida da CLI
Para configurar rapidamente as portas com diferentes modos de autenticação 802.1X, copie os seguintes comandos e cole-os na janela terminal do switch:
[edit] set protocols dot1x authenticator interface ge-0/0/8 supplicant single set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple
Procedimento passo a passo
Configure o modo administrativo nas interfaces:
Configure o modo suplicante como único na interface ge-0/0/8:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single
Configure o modo suplicante como um único seguro na interface ge-0/0/9:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure
Configure vários modos suplicantes na interface ge-0/0/11:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
Resultados
Confira os resultados da configuração:
[edit]
user@access-switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
)
ge-0/0/9.0 {
supplicant single-secure;
)
ge-0/0/11.0 {
supplicant multiple;
)
}
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando a configuração do 802.1X
Propósito
Verifique a configuração do 802.1X em interfaces ge-0/0/8, ge-0/0/9 e ge-0/0/11.
Ação
Verifique a configuração do 802.1X emitindo o comando show dot1x interfacedo modo operacional:
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> user@switch> show dot1x interface ge-0/0/9.0 detail ge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0 user@switch> show dot1x interface ge-0/0/11.0 detail ge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
Significado
O Supplicant mode campo de saída exibe o modo administrativo configurado para cada interface. A interface ge-0/0/8.0 exibe Single o modo suplicante. A interface ge-0/0/9.0 exibe Single-Secure o modo suplicante. A interface ge-0/0/11.0 exibe Multiple o modo suplicante.