Switch VLAN dinámica: configuración del servidor RADIUS para la asignación dinámica de VLAN

Creación - Actualización
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para ofrecer artículos en su idioma local. Es posible que no todo el texto se haya traducido con precisión. Si tiene alguna duda o observa discrepancias en la exactitud de la información de la versión traducida, consulte el artículo original aquí:Versión original

La asignación dinámica de VLAN separa y aísla los dispositivos en diferentes segmentos de red en función de la autorización del dispositivo o del usuario y de sus características.

 

Escenario y topología

Configuración de Switch

Configuración de NPS en Windows Server 2019

Verificación

 

Escenario y topología

mceclip0.png

En la mayoría de las redes, es posible que los administradores tengan que restringir el acceso a diversos dispositivos de red por motivos de seguridad.

Una forma habitual de lograr este tipo de restricción de red es mediante asignaciones de VLAN estáticas. Por lo tanto, los administradores crean VLAN y configuran el número de VLAN correspondiente a cada puerto switch con modo de acceso. Por el contrario, para la asignación dinámica de VLAN, el administrador solo tiene que configurar el puerto switch como puerto troncal y fijo, y establecer unas pocas políticas en el servidor RADIUS. Esto reduce considerablemente las acciones y tareas del administrador de red.

El objetivo de esta guía de configuración es mostrar todos los pasos para configurar la asignación dinámica de VLAN tanto en el switch como en el servidor RADIUS.

 

Configuración

Los siguientes pasos son aplicables a los switch compatibles con la autenticación compuesta. Los switch compatibles son el GS2220 y el XGS2210 en modo autónomo y coubicados con un servidor RADIUS (Windows Server 2019).

 

Configuración de Switch

  • Configure la dirección IP de RADIUS, el secreto compartido y los ajustes de AAA en:
Aplicación avanzada > AAA > Configuración del servidor RADIUS y configuración de AAA

mceclip1.png

  • Configure 802.1x, la autenticación MAC y la VLAN de invitados, así como la autenticación compuesta en el puerto de cliente en
Aplicación avanzada > Autenticación de puerto

mceclip2.png

  • Mantenga el modo de autenticación compuesta como estricto para el puerto de cliente

 

Configure NPS en Windows Server 2019

Abra el Servidor de políticas de red y haga clic con el botón derecho en Clientes RADIUS > Nuevo para configurar el nombre descriptivo, la dirección IP y el secreto compartido.

mceclip3.png

 

Configurar políticas de solicitud de conexión (CRP)

  • Haga clic con el botón derecho enCRP > Nuevo
  • Especifique el nombre de la política CRP
  • Especifique las condiciones

Le recomendamos que utilice el identificador NAS (nombre de host del dispositivo) y la dirección IPv4 del NAS si no está familiarizado con esta página. Además, si tiene muchos dispositivos que planea añadir a los clientes RADIUS, puede utilizar el símbolo * para evitar añadir muchas condiciones a una CRP, por ejemplo, «GS22*» o «192.168*».

mceclip4.png

  • Especifique el reenvío de solicitudes de conexión > Siguiente
  • Especificar métodos de autenticación > Siguiente
  • Configurar ajustes > Siguiente
  • Compruebe todo lo que acaba de configurar y haga clic en Finalizar.

 

Configurar políticas de red

  • Haga clic con el botón derecho en Políticas de red > Nuevo
  • Especifica el nombre de la política de red
  • Especifica las condiciones > Agregar > elige Grupos de Windows

mceclip5.png

  • Especifique los permisos de acceso > Siguiente
  • Configurar métodos de autenticación

mceclip6.png

  • Configure las restricciones > Siguiente
  • Configure los ajustes.

mceclip7.png

  • Comprueba todo lo que hayas configurado y haz clic en Finalizar.



 

Configurar una cuenta de usuario/dispositivo en Windows Server 2019

  • Abrir Usuarios y equipos de Active Directory
  • Haga clic con el botón derecho en el dominio > Nuevo > Usuario
  • Crea cuentas para la autenticación 802.1x y MAC

     

Aviso:para el usuario de autenticación MAC, el nombre de inicio de sesión del usuario debe introducirse exactamente con el mismo formato que el establecido en la página de autenticación MAC de switch.

mceclip8.png

  • Además, la contraseña del usuario también debe coincidir con la configuración de switch.

mceclip9.png

Verificación

  • El cliente supera la autenticación compuesta; obtiene la dirección IP de la VLAN de datos

mceclip10.png

  • El cliente falla la autenticación compuesta; obtiene la dirección IP de la VLAN de invitados

mceclip11.png

Nota:
 

  1. Asegúrese de que el servidor DHCP funciona en la red.
  2. L3 switch debe habilitar DHCP Smart Relay y apuntar al servidor DHCP.
  3. Si su servidor NPS está instalado en una máquina virtual y el servicio NPS no funciona aunque se esté ejecutando, debe detener y volver a iniciar el servicio NPS.

Artículos en esta sección

Más información
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 3 de 4
Compartir

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.