Ejemplo: Configuración de 802.1X para configuraciones de un solo suplicante o de varios suplicantes en un conmutador de la serie EX
La autenticación de control de acceso a la red (PNAC) basada en puertos 802.1x en conmutadores de la serie EX ofrece tres tipos de autenticación para satisfacer las necesidades de acceso de la LAN de su empresa:
Autentique el primer dispositivo final (suplicante) en un puerto de autenticación y permita que todos los demás dispositivos finales que también se conecten tengan acceso a la LAN.
Autentique solo un dispositivo final en un puerto de autenticación a la vez.
Autentique varios dispositivos finales en un puerto de autenticación. El modo de súplica múltiple se utiliza en las configuraciones de VoIP.
En este ejemplo se configura un conmutador de la serie EX para que use IEEE 802.1X con el fin de autenticar dispositivos finales que utilizan tres modos administrativos diferentes.
Requisitos
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Junos OS versión 9.0 o posterior para conmutadores serie EX
Un conmutador de la serie EX que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los dispositivos finales hasta que se autentican.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los dispositivos finales (suplicantes) que tienen permiso para conectarse a la red.
Antes de configurar los puertos para la autenticación 802.1X, asegúrese de tener:
Se realizó la configuración inicial del conmutador. Consulte Conexión y configuración de un conmutador de la serie EX (procedimiento de la CLI).
Se realizó una configuración básica de puentes y VLAN en el conmutador. Consulte la documentación que describe la configuración de puentes básicos y una VLAN para el conmutador. Si utiliza un conmutador que admite el estilo de configuración Enhanced Layer 2 Software (ELS), consulte Ejemplo: Configuración de un puente básico y una VLAN para un conmutador de la serie EX compatible con ELS o ejemplo: Configuración de puentes básicos y una VLAN en conmutadores. Para todos los demás conmutadores, consulte Ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Nota:Para obtener más información acerca de ELS, consulte Uso de la CLI mejorada de software de capa 2.
Usuarios configurados en el servidor de autenticación.
Descripción general y topología
Como se muestra en Figura 1, la topología contiene un conmutador de acceso EX4200 conectado al servidor de autenticación en el puerto ge-0/0/10. Las interfaces ge-0/0/8, ge-0/0/9 y ge-0/0/11 se configurarán para tres modos administrativos diferentes.
Esta cifra también se aplica a QFX5100 conmutadores.
Topología
| Propiedad | Configuraciones |
|---|---|
Hardware del conmutador |
Conmutador EX4200, 24 puertos Gigabit Ethernet: 8 puertos PoE (ge-0/0/0 a ge-0/0/7) y 16 puertos no PoE (ge-0/0/8 a ge-0/0/23) |
Conexiones a teléfonos Avaya: con concentrador integrado, para conectar el teléfono y la PC de escritorio a un solo puerto; (requiere PoE) |
GE-0/0/8, GE-0/0/9 y GE-0/0/11 |
Para configurar los modos administrativos para admitir suplicantes en diferentes áreas de la red empresarial:
Configure el puerto de acceso ge-0/0/8 para la autenticación en modo suplicante único.
Configure el puerto de acceso ge-0/0/9 para la autenticación en modo suplicante seguro único.
Configure el puerto de acceso ge-0/0/11 para la autenticación en modo suplicante múltiple.
El modo de suplicante único autentica solo el dispositivo final que se conecta a un puerto de autenticación. Todos los demás dispositivos finales que se conectan al puerto de autenticación después de que el primero se haya conectado correctamente, estén habilitados para 802.1X o no, pueden acceder al puerto sin autenticación adicional. Si el primer dispositivo final autenticado cierra sesión, todos los demás dispositivos finales se bloquean hasta que el dispositivo final se autentique.
El modo suplicante seguro único autentica solo un dispositivo final para conectarse a un puerto de autenticación. Ningún otro dispositivo final puede conectarse al puerto del autenticador hasta que se cierre la primera sesión.
El modo de súplica múltiple autentica varios dispositivos finales individualmente en un puerto de autenticación. Si configura un número máximo de dispositivos que se pueden conectar a un puerto a través de la seguridad de puertos, el menor de los valores configurados se utiliza para determinar el número máximo de dispositivos finales permitidos por puerto.
Configuración de 802.1X para admitir múltiples modos de suplicante
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente los puertos con diferentes modos de autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set protocols dot1x authenticator interface ge-0/0/8 supplicant single set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple
Procedimiento paso a paso
Configure el modo administrativo en las interfaces:
Configure el modo suplicante como único en la interfaz ge-0/0/8:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single
Configure el modo suplicante como seguro único en la interfaz ge-0/0/9:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure
Configure el modo de suplicante múltiple en la interfaz ge-0/0/11:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
Resultados
Compruebe los resultados de la configuración:
[edit]
user@access-switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
)
ge-0/0/9.0 {
supplicant single-secure;
)
ge-0/0/11.0 {
supplicant multiple;
)
}
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Verificación de la configuración 802.1X
Propósito
Compruebe la configuración de 802.1X en las interfaces ge-0/0/8, ge-0/0/9 y ge-0/0/11.
Acción
Verifique la configuración de 802.1X emitiendo el comando show dot1x interfacede modo operativo:
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> user@switch> show dot1x interface ge-0/0/9.0 detail ge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0 user@switch> show dot1x interface ge-0/0/11.0 detail ge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
Significado
El Supplicant mode campo de salida muestra el modo administrativo configurado para cada interfaz. La interfaz ge-0/0/8.0 muestra Single el modo suplicante. La interfaz ge-0/0/9.0 muestra Single-Secure el modo suplicante. La interfaz ge-0/0/11.0 muestra Multiple el modo suplicante.