Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um roteador da Série MX
Começando pelo Junos OS Release 14.2, 802.1X em roteadores da Série MX oferece acesso LAN a usuários que não têm credenciais no banco de dados RADIUS. Esses usuários, conhecidos como convidados, são autenticados e normalmente fornecidos com acesso à Internet.
Este exemplo descreve como criar um VLAN convidado e configurar a autenticação 802.1X para ele.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Junos OS Versão 14.2 ou posterior para roteadores MX240, MX480 ou MX960 em execução no modo LAN aprimorado.
Um roteador atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Um servidor de autenticação RADIUS que oferece suporte ao 802.1X. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Antes de conectar o servidor ao roteador, certifique-se de ter:
Modo LAN aprimorado configurado no roteador.
Realizou a ponte básica e a configuração de VLAN no roteador.
Usuários configurados no servidor de autenticação RADIUS.
Visão geral e topologia
O roteador da Série MX atua como uma Entidade de Acesso de Porta (PAE) autenticadora. Ele bloqueia todo o tráfego e funciona como um portão de controle até que o suplicante (cliente) seja autenticado pelo servidor. Todos os outros usuários e dispositivos estão impedidos de acessar.
Considere um roteador da Série MX que funciona como uma porta autenticadora. Ele está conectado usando a interface, ge-0/0/10, pela rede IP a um servidor RADIUS. O roteador também está vinculado a uma sala de conferência usando a interface, ge-0/0/1, a uma impressora usando a interface, ge-0/0/20, para um hub usando a interface, ge-0/0/8, e para dois suplicantes ou clientes em interfaces, ge-0/0/2 e ge-0/0/9, respectivamente.
| Propriedade | Configurações |
|---|---|
Hardware do roteador |
Roteador da Série MX |
Nome da VLAN |
default |
Um servidor RADIUS |
Banco de dados de back-end com um endereço conectado 10.0.0.100 ao switch na porta ge-0/0/10 |
Neste exemplo, a interface ge-0/0/1 de acesso oferece conectividade LAN na sala de conferências. Configure essa interface de acesso para fornecer conectividade LAN aos visitantes na sala de conferências que não são autenticados pela VLAN corporativa.
Configuração de um VLAN convidado que inclui autenticação 802.1X
Procedimento
Configuração rápida da CLI
Para configurar rapidamente um VLAN convidado, com autenticação 802.1X, copie os seguintes comandos e cole-os na janela terminal do switch:
[edit] set vlans bridge-domain-name vlan-id 300 set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Procedimento passo a passo
Para configurar uma VLAN convidada que inclua autenticação 802.1X em roteadores da Série MX:
Configure o ID de VLAN para o VLAN convidado:
[edit] user@switch# set bridge-domains bridge-domain-name vlan-id 300
Configure a VLAN convidada sob protocolos dot1x:
[edit] user@switch# set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Resultados
Confira os resultados da configuração:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-bridge-domain {
bridge-domain-name;
}
}
}
}
}
}
}
bridge-domains {
bridge-domain-name {
vlan-id 300;
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se a VLAN convidada está configurada
Propósito
Verifique se o VLAN convidado foi criado e se uma interface falhou na autenticação e foi transferida para a VLAN convidada.
Ação
Use os comandos do modo operacional:
user@switch> show bridge-domain
Instance Bridging Domain Type
Primary Table Active
vs1 dynamic bridge
bridge.0 2
vs1 guest bridge
bridge.0 0
vs1 guest-vlan bridge
bridge.0 0
vs1 vlan_dyn bridge
bridge.0 0
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
A saída do comando mostra o show bridge domain nome de domínio da ponte como o nome do VLAN e do VLAN ID como 300.
A saída do show dot1x interface ge-0/0/1.0 detail comando exibe o nome de domínio da ponte, indicando que um suplicante nesta interface falhou na autenticação 802.1X e foi passado para o nome de domínio da ponte.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.