Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de 802.1X para configuraciones de un solo suplicante o de varios suplicantes en un conmutador de la serie EX

La autenticación de control de acceso a la red (PNAC) basada en puertos 802.1x en conmutadores de la serie EX ofrece tres tipos de autenticación para satisfacer las necesidades de acceso de la LAN de su empresa:

  • Autentique el primer dispositivo final (suplicante) en un puerto de autenticación y permita que todos los demás dispositivos finales que también se conecten tengan acceso a la LAN.

  • Autentique solo un dispositivo final en un puerto de autenticación a la vez.

  • Autentique varios dispositivos finales en un puerto de autenticación. El modo de súplica múltiple se utiliza en las configuraciones de VoIP.

En este ejemplo se configura un conmutador de la serie EX para que use IEEE 802.1X con el fin de autenticar dispositivos finales que utilizan tres modos administrativos diferentes.

Requisitos

En este ejemplo se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a los conmutadores QFX5100.

  • Junos OS versión 9.0 o posterior para conmutadores serie EX

  • Un conmutador de la serie EX que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los dispositivos finales hasta que se autentican.

  • Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los dispositivos finales (suplicantes) que tienen permiso para conectarse a la red.

Antes de configurar los puertos para la autenticación 802.1X, asegúrese de tener:

Descripción general y topología

Como se muestra en Figura 1, la topología contiene un conmutador de acceso EX4200 conectado al servidor de autenticación en el puerto ge-0/0/10. Las interfaces ge-0/0/8, ge-0/0/9 y ge-0/0/11 se configurarán para tres modos administrativos diferentes.

Nota:

Esta cifra también se aplica a QFX5100 conmutadores.

Topología

Figura 1: Topología para configurar modos suplicantesTopología para configurar modos suplicantes
Tabla 1: Componentes de la topología de configuración del modo suplicante
Propiedad Configuraciones

Hardware del conmutador

Conmutador EX4200, 24 puertos Gigabit Ethernet: 8 puertos PoE (ge-0/0/0 a ge-0/0/7) y 16 puertos no PoE (ge-0/0/8 a ge-0/0/23)

Conexiones a teléfonos Avaya: con concentrador integrado, para conectar el teléfono y la PC de escritorio a un solo puerto; (requiere PoE)

GE-0/0/8, GE-0/0/9 y GE-0/0/11

Para configurar los modos administrativos para admitir suplicantes en diferentes áreas de la red empresarial:

  • Configure el puerto de acceso ge-0/0/8 para la autenticación en modo suplicante único.

  • Configure el puerto de acceso ge-0/0/9 para la autenticación en modo suplicante seguro único.

  • Configure el puerto de acceso ge-0/0/11 para la autenticación en modo suplicante múltiple.

El modo de suplicante único autentica solo el dispositivo final que se conecta a un puerto de autenticación. Todos los demás dispositivos finales que se conectan al puerto de autenticación después de que el primero se haya conectado correctamente, estén habilitados para 802.1X o no, pueden acceder al puerto sin autenticación adicional. Si el primer dispositivo final autenticado cierra sesión, todos los demás dispositivos finales se bloquean hasta que el dispositivo final se autentique.

El modo suplicante seguro único autentica solo un dispositivo final para conectarse a un puerto de autenticación. Ningún otro dispositivo final puede conectarse al puerto del autenticador hasta que se cierre la primera sesión.

El modo de súplica múltiple autentica varios dispositivos finales individualmente en un puerto de autenticación. Si configura un número máximo de dispositivos que se pueden conectar a un puerto a través de la seguridad de puertos, el menor de los valores configurados se utiliza para determinar el número máximo de dispositivos finales permitidos por puerto.

Configuración de 802.1X para admitir múltiples modos de suplicante

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente los puertos con diferentes modos de autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Configure el modo administrativo en las interfaces:

  1. Configure el modo suplicante como único en la interfaz ge-0/0/8:

  2. Configure el modo suplicante como seguro único en la interfaz ge-0/0/9:

  3. Configure el modo de suplicante múltiple en la interfaz ge-0/0/11:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificación de la configuración 802.1X

Propósito

Compruebe la configuración de 802.1X en las interfaces ge-0/0/8, ge-0/0/9 y ge-0/0/11.

Acción

Verifique la configuración de 802.1X emitiendo el comando show dot1x interfacede modo operativo:

Significado

El Supplicant mode campo de salida muestra el modo administrativo configurado para cada interfaz. La interfaz ge-0/0/8.0 muestra Single el modo suplicante. La interfaz ge-0/0/9.0 muestra Single-Secure el modo suplicante. La interfaz ge-0/0/11.0 muestra Multiple el modo suplicante.