Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticação 802.1X

IEEE padrão 802.1X para controle de acesso de rede baseado em porta e protege as LANs Ethernet do acesso não autorizado do usuário. Ele bloqueia todo o tráfego de e de um súplico (cliente) na interface até que as credenciais do súplico sejam apresentadas e combinadas no servidor de autenticação (um servidor RADIUS de segurança). Quando o súplico é autenticado, o switch para de bloquear o acesso e abre a interface ao súplico. Leia este tópico para obter mais informações.

Visão geral do 802.1X para switches

Como funciona a autenticação 802.1X

A autenticação 802.1X funciona usando uma entidade de acesso de porta autenticador (o switch) para bloquear o tráfego de entrada de um súplico (dispositivo final) na porta até que as credenciais do súplice sejam apresentadas e corresponderem ao servidor de autenticação (um servidor RADIUS). Quando autenticado, o switch para de bloquear o tráfego e abre a porta para o súplico.

O dispositivo final é autenticado em um único modo de súplico, no modo de súplico seguro único ou no modo de múltiplos súplicos:

  • um único súplico — autentica apenas o dispositivo de primeira. Todos os outros dispositivos que se conectam mais tarde à porta têm acesso total sem qualquer autenticação posterior. Eles efetivamente se baseam na autenticação do dispositivo de primeira.

  • súplico de segurança única — Permite que apenas um dispositivo final se conecte à porta. Nenhum outro dispositivo final pode se conectar até o primeiro dispositivo sair.

  • vários súplicas — Permite que vários dispositivos de ponta se conectem à porta. Cada dispositivo final é autenticado individualmente.

O acesso à rede pode ser definido ainda mais usando VLANs e filtros de firewall, que agem como filtros para separar e combinar grupos de dispositivos de ponta às áreas da LAN exigidas. Por exemplo, você pode configurar VLANs para lidar com diferentes categorias de falhas de autenticação, dependendo de:

  • Independentemente de o dispositivo final ter ou não habilitação para 802.1X.

  • Independentemente da autenticação RADIUS MAC estar configurada nas interfaces de switch às quais os hosts estão conectados.

  • Independentemente de RADIUS servidor de autenticação ficar indisponível ou enviar uma mensagem RADIUS de recusa de acesso. Consulte Configurando o RADIUS Server Fail Fallback (ClI Procedure).

Visão geral dos recursos do 802.1X

Os seguintes recursos 802.1X são suportados no Juniper Networks Switches de ethernet:

  • VLAN convidado — fornece acesso limitado a uma LAN, normalmente apenas à Internet, para dispositivos fim não responsivos que não estão habilitados para 802.1X quando a autenticação de MAC RADIUS não está configurada nas interfaces de switch às quais os hosts estão conectados. Além disso, um VLAN convidado pode ser usado para fornecer acesso limitado a uma LAN para usuários hóspedes. Normalmente, o VLAN convidado fornece acesso apenas à Internet e a dispositivos fim de outros hóspedes.

  • VLAN recusada por servidor — fornece acesso limitado a uma LAN, normalmente apenas à Internet, para dispositivos fim responsivos habilitados para 802.1X, mas que tenham enviado as credenciais erradas. Se o dispositivo final autenticado usando o VLAN rejeitado pelo servidor for um telefone IP, o tráfego de voz não é permitido.

  • VLAN com falha de servidor — fornece acesso limitado a uma LAN, normalmente apenas à Internet, para dispositivos end 802,1X durante um RADIUS de servidor.

  • VLAN dinâmica — Permite que um dispositivo final, após a autenticação, seja um membro de uma VLAN dinamicamente.

  • VLAN privada — Permite a configuração de autenticação 802.1X em interfaces que sejam membros de VLANs privadas (PVLANs).

  • Alterações dinâmicas em uma sessão do usuário — Permite ao administrador do switch encerrar uma sessão já autenticada. Esse recurso é baseado no suporte à mensagem RADIUS Desconectar definida em RFC 3576.

  • VoIP VLAN — Aceita telefones IP. A implementação de uma VLAN de voz em um telefone IP é específica do fornecedor. Se o telefone tiver habilitação para 802.1X, ele será autenticado como qualquer outro súplico. Se o telefone não tiver habilitação para 802.1X, mas tiver outro dispositivo compatível com 802.1X conectado à porta de dados, esse dispositivo é autenticado e o tráfego VoIP pode fluír para e para o telefone (desde que a interface esteja configurada em um único modo de súplica e não no modo de súplico de segurança única).

    Nota:

    Não é possível configurar uma VLAN VoIP em interfaces privadas de VLAN (PVLAN).

  • RADIUS de contabilidade — Envia informações de contabilidade para o RADIUS de contabilidade. As informações de contabilidade são enviadas ao servidor sempre que um assinante faz login ou faz login e sempre que um assinante ativa ou desativa uma assinatura.

  • atributos de servidor RADIUS para 802.1X— O atributo é específico do fornecedor (VSA) que pode ser configurado no servidor RADIUS para definir ainda mais o acesso de um suplente durante o processo de autenticação Juniper-Switching-Filter 802.1X. Configurar atributos centralmente no servidor de autenticação atenua a necessidade de configurar esses mesmos atributos na forma de filtros de firewall em todos os switches da LAN aos quais o súplico possa se conectar à LAN. Esse recurso é baseado no RLI 4583, AAA RADIUS suporte AO VSA DO BRAS.

Os seguintes recursos são suportados para autenticar dispositivos que não estão habilitados para 802.1X:

  • Bypass MAC estático — Fornece um mecanismo de bypass para autenticar dispositivos que não estão habilitados para 802.1X (como impressoras). O bypass MAC estático conecta esses dispositivos a portas habilitadas para 802.1X, burlando a autenticação 802.1X.

  • autenticação RADIUS MAC — Fornece um meio de permitir que hosts que não sejam habilitadas para 802.1X acessar a LAN. O MAC-RADIUS simula a funcionalidade súplica do dispositivo cliente, usando o endereço MAC do cliente como nome de usuário e senha.

Autenticação 802.1X em portas de tronco

A partir do Junos OS Release 18.3R1, você pode configurar autenticação 802.1X nas interfaces de tronco, o que permite ao dispositivo de acesso à rede (NAS) autenticar um ponto de acesso (AP) ou outro dispositivo conectado de Camada 2. Um AP ou switch conectado à NAS suportará várias VLANs, portanto, deve se conectar a uma porta de tronco. A ativação da autenticação 802.1X na interface do tronco protege o NAS de uma violação de segurança na qual um invasor pode desconectar a AP e conectar um laptop para ter acesso gratuito à rede para todas as VLANs configuradas.

Observe as seguintes ressalvas ao configurar a autenticação 802.1X nas interfaces de tronco.

  • Somente modos de súplicas individuais e seguras são suportados em interfaces de tronco.

  • Você deve configurar a autenticação 802.1X localmente na interface do tronco. Se você configurar a autenticação 802.1X globalmente usando o comando, a configuração não será set protocol dot1x interface all aplicada à interface do tronco.

  • VLANS dinâmicos não são suportados em interfaces de tronco.

  • VLAN convidado e VLAN recusado por servidor não são suportados em interfaces de tronco.

  • A reação de falha do servidor para clientes VoIP não é suportada em interfaces de tronco ( server-fail-voip ).

  • A autenticação na porta do tronco não é suportada usando o portal cativo.

  • A autenticação na porta do tronco não é suportada em interfaces agregadas.

  • A configuração de autenticação 802.1X em interfaces que sejam membros de VLANs privadas (PVLANs) não é suportada nas portas de tronco.

Autenticação 802.1X em interfaces de Camada 3

A partir da versão 20.2R1 Junos OS, você pode configurar autenticação 802.1X em interfaces de camada 3. Observe as seguintes ressalvas ao configurar a autenticação 802.1X nas interfaces da camada 3:

  • Somente clientes capazes de EAP são suportados.

  • Apenas o modo de súplico único é suportado.

  • Você deve configurar a autenticação 802.1X localmente em interfaces de camada 3. Se você configurar a autenticação 802.1X globalmente usando o comando, a configuração não será aplicada às set protocol dot1x interface all interfaces de camada 3.

  • O suporte a interfaces de camada 3 não inclui IRB ou sub-interfaces.

  • VLAN convidado, VLAN recusado por servidor e VLAN com falha de servidor não são suportados.

  • A reação de falha do servidor para clientes VoIP não é suportada ( server-fail-voip ).

  • Somente os seguintes atributos são aceitos do servidor de autenticação como parte RADIUS mensagens aceitas por acesso ou COA para clientes autenticados em interfaces de camada 3:

    • Nome do usuário

    • Tempo de sessão

    • ID de chamada para estações

    • ID acct-Session

    • NAS Port-Id

    • Port-Bounce

Configurando configurações de interface 802.1X (procedimento CLI)

IEEE autenticação 802.1X fornece segurança de borda de rede, protegendo LANs Ethernet do acesso não autorizado do usuário bloqueando todo o tráfego de e de um suplente (cliente) na interface até que as credenciais do súplice sejam apresentadas e partidas no servidor de autenticação (um servidor RADIUS). Quando o súplico é autenticado, o switch para de bloquear o acesso e abre a interface ao súplico.

Nota:

Antes de começar, especifique o RADIUS servidor ou servidores a serem usados como servidor de autenticação. Consulte Como especificar RADIUS conexões de servidor nos switches (procedimento CLI).

Para configurar 802.1X em uma interface:

  1. Configure o modo de súplico como (autentica o primeiro súplico), (autentica apenas um súplico) ou (autentica vários singlesingle-securemultiple súplicas):
    Nota:

    O modo de múltiplos súplicos não é suportado em interfaces de tronco.

  2. Ative a reauttenticação e especifique o intervalo de reauttenticação:
  3. Configure o valor de tempo de saída da interface para a resposta a partir do súplico:
  4. Configure o tempo de saída para a interface antes de remendá-la ao servidor RADIUS de autenticação:
  5. Configure quanto tempo, em segundos, a interface espera antes de retransmitir as PDUs EAPOL iniciais para o súplico:
  6. Configure o número máximo de vezes que um pacote de solicitação de EAPOL é retransmitido para o súplico antes do tempo de sessão de autenticação ser finalizado:
  7. Configure o número de vezes que o switch tenta autenticar a porta após uma falha inicial. A porta permanece em um estado de espera durante o período de espera depois da tentativa de autenticação.
  8. server-failDejuste a negação para que o servidor não falhe.
Nota:

Essa configuração especifica o número de tentativas antes do switch colocar a interface em um estado HELD.

Entender RADIUS as mudanças iniciadas em uma sessão de usuário autorizado

Ao usar um serviço de autenticação baseado em um modelo de RADIUS cliente/servidor, normalmente, as solicitações são iniciadas pelo cliente e enviadas ao RADIUS servidor. Existem instâncias nas quais uma solicitação pode ser iniciada pelo servidor e enviada ao cliente para modificar dinamicamente uma sessão de usuário autenticada já em andamento. O cliente que recebe e processa as mensagens é o switch, que funciona como o servidor de acesso à rede, ou NAS. O servidor pode enviar ao switch uma mensagem Desconectar solicitando o fim de uma sessão ou uma mensagem De mudança de autorização (CoA) solicitando modificar os atributos de autorização da sessão.

O switch escuta solicitações não solicitadas RADIUS na porta UPD 3799, e aceita solicitações apenas de uma fonte confiável. A autorização para enviar uma solicitação de Desconexão ou CoA é determinada com base no endereço de origem e no segredo compartilhado correspondente, que deve ser configurado no switch e no servidor RADIUS. Para obter mais informações sobre a configuração do endereço de origem e o segredo compartilhado no switch, consulte Exemplo: Conectar um servidor RADIUS para 802.1X a um switch da série EX.

Desconectar mensagens

O RADIUS envia uma mensagem de solicitação de desconexão ao switch para encerrar uma sessão do usuário e descartar todo o contexto de sessão associado. O switch responde a um pacote Desconectar-Solicitar com uma mensagem Desconectar-ACK se a solicitação tiver sucesso, ou seja, todo o contexto de sessão associado é descartado e a sessão do usuário não está mais conectada, ou com um pacote Desconectar-NAK se a solicitação falhar, ou seja, o autenticador não consegue desconectar a sessão e descartar todo o contexto da sessão associada.

Nas mensagens Desconectar-Solicitar, RADIUS atributos são usados para identificar com exclusividade o switch (NAS) e a sessão do usuário. A combinação de NAS de identificação e atributos de identificação de sessão incluídos na mensagem deve combinar pelo menos uma sessão para o sucesso da solicitação; caso contrário, o switch responde com uma mensagem Desconectar NAK. Uma mensagem de solicitação de desconexão pode conter apenas NAS atributos de identificação da sessão; se tiver outros atributos incluídos, o switch responderá com uma mensagem Desconectar-NAK.

Mudança de mensagens de autorização

As mensagens de mudança de autorização (CoA) contêm informações para modificar dinamicamente os atributos de autorização de uma sessão de usuário para alterar o nível de autorização. Isso ocorre como parte de um processo de autenticação em duas etapas, no qual o endpoint é autenticado pela primeira vez usando RADIUS MAC e, em seguida, é perfilado com base no tipo de dispositivo. A mensagem CoA é usada para aplicar uma política de aplicação apropriada para o dispositivo, normalmente alterando os filtros de dados ou o VLAN.

O switch responde a uma mensagem coA com uma mensagem CoA-ACK se a mudança de autorização for bem-sucedida ou uma mensagem com CoA-NAK se a mudança não for bem-sucedida. Se uma ou mais alterações de autorização especificadas em uma mensagem de Solicitação de CoA não puderem ser executadas, o switch responderá com uma mensagem CoA-NAK.

Nas mensagens CoA-Request, RADIUS atributos são usados para identificar com exclusividade o switch (atuando como o NAS) e a sessão do usuário. A combinação de NAS de identificação e atributos de identificação de sessão incluídos na mensagem deve combinar os atributos de identificação de pelo menos uma sessão para o sucesso da solicitação; caso contrário, o switch responde com uma mensagem CoA-NAK.

Os pacotes de solicitação de coA também incluem os atributos de autorização de sessão que serão modificados se a solicitação for aceita. Os atributos de autorização de sessão suportados estão relacionados abaixo. A mensagem CoA pode conter qualquer ou todos esses atributos. Caso nenhum atributo não seja incluído na mensagem CoA-Request, a NAS assume que o valor desse atributo permaneça inalterado.

  • ID de filtro

  • ID de grupo privado de túnel

  • Juniper-filtro de com switching

  • Juniper-VoIP-VLAN

  • Tempo de sessão

Salto de porta de solicitação de CoA

Quando uma mensagem CoA é usada para alterar a VLAN para um host autenticado, dispositivos de ponta, como impressoras, não têm um mecanismo para detectar a mudança de VLAN, e assim eles não renovam o contrato de locação para seu endereço DHCP na nova VLAN. A partir da Versão 17.3 do Junos OS, o recurso de salto de porta pode ser usado para obrigar o dispositivo final a iniciar a re-negociação do DHCP, causando um retalho de enlace na porta autenticada.

O comando para saltar a porta é enviado do servidor RADIUS usando um atributo Juniper Networks específico do fornecedor (VSA). A porta é ressalto se o seguinte par de valores de VSA for recebido na mensagem CoA do RADIUS servidor:

  • Juniper-AV-Pair = "Port-Bounce"

Para habilitar o recurso de salto de porta, você deve atualizar o arquivo de dicionário Junos () no servidor RADIUS com o juniper.dct Juniper-AV-Pair VSA. Localize o arquivo do dicionário e adicione o texto a seguir ao arquivo:

Para obter mais informações sobre como adicionar o VSA, consulte a documentação do FreeRADIUS.

Você pode desativar o recurso configurando a instrução no ignore-port-bounce nível [ ] edit protocols dot1x authenticator interface interface-name hierachy.

Códigos de causa de erro

Quando uma operação de desconexão ou CoA não é bem-sucedida, um atributo causa de erro (atributo 101 da RADIUS) pode ser incluído na mensagem de resposta enviada pelo NAS ao servidor para fornecer detalhes sobre a causa do problema. Caso o erro detectada não mapee para um dos valores de atributo Error-Cause suportados, o roteador enviará a mensagem sem um atributo de causa de erro. Consulte as descrições de códigos de causa de erro que podem ser incluídos nas mensagens de resposta Tabela 1 enviadas do NAS.

Tabela 1: Códigos de causa de erro (RADIUS atributo 101)

Código

Valor

Descrição

201

Contexto de sessão residual removido

Enviado em resposta a uma mensagem de Solicitação de Desconexão se uma ou mais sessões do usuário não estiver mais ativa, mas o contexto de sessão residual foi encontrado e removido com sucesso. Esse código é enviado apenas dentro de uma mensagem Desconectar-ACK.

401

Atributo não compatível

A solicitação contém um atributo que não é suportado (por exemplo, um atributo de terceiros).

402

Atributo faltando

Um atributo crítico (por exemplo, o atributo de identificação da sessão) está sumido de uma solicitação.

403

NAS identificação

A solicitação contém um ou mais NAS atributos de identificação que não combinam com a identidade da NAS a solicitação.

404

Solicitação inválida

Algum outro aspecto da solicitação é inválido, por exemplo, se um ou mais atributos não for formatado corretamente.

405

Serviço não compatível

O atributo Tipo de serviço incluído na solicitação contém um valor inválido ou não compatível.

406

Extensão sem suporte

A entidade que recebe a solicitação (um NAS ou um proxy RADIUS de dados) não dá suporte a RADIUS solicitações iniciadas.

407

Valor do atributo inválido

A solicitação contém um atributo com um valor não suportedo.

501

Proibida administrativamente

A NAS está configurada para proibir a honra de mensagens de solicitação de desconexão ou solicitação de coA para a sessão especificada.

503

Contexto de sessão não encontrado

O contexto de sessão identificado na solicitação não existe no NAS.

504

Contexto de sessão não removível

O assinante identificado por atributos na solicitação é propriedade de um componente que não tem suporte. Esse código é enviado apenas dentro de uma mensagem Desconectar NAK.

506

Recursos indisponíveis

Uma solicitação não poderia ser homenageada por falta de recursos NAS disponíveis (como a memória).

507

Solicitação iniciada

A mensagem CoA-Request inclui um atributo do tipo serviço com um valor apenas de autorização.

508

Seleção sem suporte para várias sessões

Os atributos de identificação da sessão incluídos na solicitação combinam com várias sessões, mas a NAS não dá suporte a solicitações que se aplicam a várias sessões.

Filtragem de súplicas 802.1X usando atributos RADIUS servidor

Existem duas maneiras de configurar um servidor RADIUS com filtros de firewall de porta (filtros de firewall camada 2):

  • Inclua um ou mais termos de filtro no atributo Juniper-Switching-Filter. O atributo Juniper-Switching-Filter é um atributo específico do fornecedor (VSA) indicado no atributo ID nº 48 no Juniper no servidor RADIUS. Use esta VSA para configurar condições de filtro simples para 802,1X usuários autenticados. Nada precisa ser configurado no switch; toda a configuração está no RADIUS servidor.

  • Configure um filtro de firewall local em cada switch e aplique esse filtro de firewall a usuários autenticados pelo RADIUS servidor. Use esse método para filtros mais complexos. O filtro de firewall deve estar configurado em cada switch.

    Nota:

    Se a configuração do filtro de firewall for modificada depois que os usuários são autenticados usando a autenticação 802.1X, a sessão de autenticação 802.1X estabelecida deve ser terminada e re-estabelecida para que as alterações na configuração do filtro de firewall surtiram efeito.

Este tópico inclui as seguintes tarefas:

Configuração de filtros de firewall no RADIUS servidor

Você pode configurar condições de filtro simples usando o atributo Juniper-Switching-Filter no Juniper dicionário no RADIUS servidor. Esses filtros são enviados para um switch sempre que um novo usuário é autenticado com sucesso. Os filtros são criados e aplicados em todos os switches da Série EX que autenticam usuários por meio desse RADIUS servidor sem a necessidade de configurar nada em cada switch individual.

Nota:

Esse procedimento descreve o uso do software FreeRADIUS para configurar o VSA Juniper-Switching-Filter. Para obter informações específicas sobre a configuração do seu servidor, consulte a AAA de dados incluída no servidor.

Para configurar o atributo Juniper-filtro de comução, insira um ou mais termos de filtro usando a CLI para o RADIUS servidor. Cada termo de filtro consiste em condições de combinação com uma ação correspondente. Insira os termos do filtro incluídos nas citações (" ") usando a sintaxe a seguir:

Mais de uma condição de combinação pode ser incluída em um termo de filtro. Quando várias condições são especificadas em um termo de filtro, todas elas precisam ser atendidas para que o pacote se condam com o termo do filtro. Por exemplo, o termo de filtro a seguir requer que um pacote se encontre com o endereço IP de destino e o endereço MAC de destino para atender aos critérios de termo:

Vários termos de filtro devem ser separados por vírgulas, por exemplo:

Consulte Juniper-Filter VSA Match Condições e Ações para definições de condições e ações de combinação.

Nota:

Em EX9200 switches, e em um Junos Fusion Enterprise com EX9200 como um dispositivo agregado, o filtro de firewall dinâmico é rigorosamente aplicado a todos os pacotes de IP. Se o filtro estiver configurado para permitir apenas um endereço IP de destino específico, os pacotes com outros endereços IP conforme o IP de destino serão lançados de acordo com as regras do filtro. Isso inclui quaisquer pacotes de protocolo IP, como pacotes DHCP, IGMP e ARP.

Para configurar condições de combinação no RADIUS servidor:

  1. Verificar se o Juniper de dados está carregado no servidor RADIUS e incluir o atributo filtragem Juniper-Switching-Filter (atributo ID 48):
  2. Insira as condições e as ações da combinação. Por exemplo:
    • Para negar a autenticação com base na etiqueta 802.1Q (aqui, a etiqueta 802.1Q é 10 ):

      Para cada usuário relevante, adicione o Juniper-Switching-Filter atributo:

    • Para negar acesso com base em um endereço IP de destino:

      Para cada usuário relevante, adicione o Juniper-Switching-Filter atributo:

    • Para definir a prioridade de perda de pacotes (PLP) com base em um endereço MAC de destino high e o protocolo IP:

      Para cada usuário relevante, adicione o Juniper-Switching-Filter atributo:

      Nota:

      Para que a opção seja aplicada, a classe de encaminhamento deve estar configurada no switch e a prioridade de perda forwarding-class de pacote especificada. Se ele não estiver configurado no switch, essa opção será ignorada. Você deve especificar a classe de encaminhamento e a prioridade de perda de pacotes.

  3. Pare e reinicie o RADIUS para ativar a configuração.

Aplicação de um filtro de firewall localmente configurado do servidor RADIUS web

Você pode aplicar um filtro de firewall de porta (filtro de firewall camada 2) às políticas de usuário centralmente a partir do RADIUS servidor. O RADIUS servidor pode especificar os filtros de firewall que devem ser aplicados a cada usuário que solicitar autenticação, reduzindo a necessidade de configurar o mesmo filtro de firewall em vários switches. Use esse método quando o filtro de firewall contiver um grande número de condições ou se você quiser usar condições diferentes para o mesmo filtro em switches diferentes. Os filtros de firewall devem ser configurados em cada switch.

Para obter mais informações sobre filtros de firewall, consulte Visão geral dos filtros de firewall para switches da série EX.

Para aplicar um filtro de firewall de porta centralmente a partir do RADIUS servidor:

Nota:

Se os filtros de firewall de porta também estão configurados localmente para a interface, os filtros de firewall configurados pelo uso de VSAs têm precedência se eles conflito com os filtros de firewall de porta configurados localmente. Se não houver conflito, eles serão mesclados.

  1. Crie o filtro de firewall no switch local. Consulte Configurar filtros de firewall (procedimento cli) para obter mais informações sobre a configuração de um filtro de firewall de porta.
  2. No servidor RADIUS, abra o arquivo para exibir os perfis de usuário locais dos dispositivos fim aos quais você users deseja aplicar o filtro:

  3. Aplique o filtro a cada perfil do usuário adicionando o atributo Filter-ID com o nome do filtro como o valor do atributo:

    Por exemplo, o perfil do usuário abaixo inclui supplicant1 o atributo Filter-ID com o nome do filter1 filtro:

    Nota:

    Vários filtros não são suportados em uma única interface. No entanto, você pode dar suporte a vários filtros para vários usuários conectados ao switch na mesma interface configurando um único filtro com políticas para cada um desses usuários.

  4. Pare e reinicie o RADIUS para ativar a configuração.

Exemplo: Conectando um RADIUS para 802.1X a um switch da série EX

802.1X é o IEEE padrão para controle de acesso de rede baseado em porta (PNAC). Você usa o 802.1X para controlar o acesso à rede. Somente usuários e dispositivos que fornecerem credenciais que tenham sido verificados em um banco de dados de usuários têm acesso à rede. Você pode usar um servidor RADIUS como banco de dados de usuários para autenticação 802.1X, bem como autenticação de mac RADIUS mac.

Este exemplo descreve como conectar um servidor RADIUS a um switch da Série EX e configurá-lo para 802.1X:

Requisitos

Este exemplo usa os seguintes componentes de software e hardware:

  • Junos OS Release 9.0 ou mais tarde para switches da Série EX

  • Um switch série EX que atua como uma entidade de acesso de porta autenticador (PAE). As portas do PAE autenticador formam um portal de controle que bloqueia todo o tráfego de e para súplicas até que sejam autenticadas.

  • Um RADIUS de autenticação compatível com 802.1X. O servidor de autenticação funciona como o banco de dados de back-end e contém informações de credencial para hosts (súplicas) que têm permissão para se conectar à rede.

Antes de conectar o servidor ao switch, certifique-se de que tem:

Visão geral e topologia

O switch série EX funciona como um PAE autenticador. Ele bloqueia todo o tráfego e funciona como um portal de controle até que o súplico (cliente) seja autenticado pelo servidor. Todos os outros usuários e dispositivos estão sem acesso.

Figura 1 mostra um EX4200 switch que está conectado aos dispositivos relacionados Tabela 2 em .

Figura 1: Topologia para configuraçãoTopologia para configuração
Tabela 2: Componentes da topologia
Propriedade Configurações

Hardware de switch

EX4200 de acesso, portas Ethernet de 24 Gigabit: 8 portas PoE (ge-0/0/0 a ge-0/0/7) e 16 portas não PoE (ge-0/0/8 por ge-0/0/23)

Nome VLAN

Padrão

Um RADIUS servidor

Banco de dados de back-end com um 10.0.0.100 endereço conectado ao switch na porta ge-0/0/10

Neste exemplo, conecte o servidor RADIUS para acessar a porta ge-0/0/10 no switch EX4200 de segurança. O switch funciona como o autenticador e encaminha credenciais do súplico para o banco de dados do usuário no RADIUS servidor. Você deve configurar a conectividade entre o EX4200 e o servidor RADIUS, especificando o endereço do servidor e configurando a senha secreta. Essas informações estão configuradas em um perfil de acesso no switch.

Nota:

Para obter mais informações sobre serviços de autenticação, autorização e AAA de contabilidade, consulte o Guia de Configuração de Princípios Básicos doSistema Junos OS .

Configuração

Procedimento

Configuração rápida CLI

Para conectar rapidamente o servidor RADIUS ao switch, copie os seguintes comandos e os conecte à janela do terminal do switch:

Procedimento passo a passo

Para conectar o RADIUS de dados ao switch:

  1. Defina o endereço dos servidores e configure a senha secreta. A senha secreta do switch deve combinar com a senha secreta do servidor:

  2. Configure o pedido de autenticação, fazendo radius o primeiro método de autenticação:

  3. Configure uma lista de endereços IP do servidor a serem tentados em ordem seqüencial para autenticar o súplico:

Resultados

Exibir os resultados da configuração:

Verificação

Para confirmar se a configuração está funcionando corretamente, realize essas tarefas:

Verificar se o switch e o RADIUS estão conectados corretamente

Propósito

Verificar se o RADIUS de dados está conectado ao switch na porta especificada.

Ação

Local de RADIUS servidor para verificar a conexão entre o switch e o servidor:

Significado

Os pacotes de solicitação de eco ICMP são enviados do switch para o servidor alvo em 10.0.0.100 para testar se o servidor é alcançável na rede de IP. As respostas ao eco ICMP estão sendo retornadas do servidor, verificando se o switch e o servidor estão conectados.

Compreender filtros dinâmicos com base em RADIUS atributos

Você pode usar RADIUS de servidor para implementar filtros de firewall de porta em um RADIUS de autenticação. Esses filtros podem ser aplicados dinamicamente a súplicas que solicitam autenticação por meio desse servidor. RADIUS de servidor são campos de texto claro encapsulados em mensagens access-accept enviadas do servidor de autenticação ao switch quando um súplico conectado ao switch é autenticado com sucesso. O switch, que atua como o autenticador, usa as informações nos RADIUS para aplicar os filtros relacionados ao súplico. Filtros dinâmicos podem ser aplicados a várias portas no mesmo switch ou a vários switches que o mesmo servidor de autenticação usam, fornecendo controle de acesso centralizado para a rede.

Você pode definir filtros de firewall diretamente no servidor RADIUS usando o atributo Juniper-Switching-Filter, que é um atributo RADIUS específico do Juniper Networks, também conhecido como atributo específico do fornecedor (VSA). OS VSAs são descritos no RFC 2138, Remote Authentication Dial In User Service (RADIUS). O VSA Juniper-filtro de comução está indicado no atributo ID 48 no dicionário Juniper no servidor RADIUS, com a ID do fornecedor definida como a ID Juniper Networks 2636. Usando esse atributo, você define filtros no servidor de autenticação, que são aplicados em todos os switches que autenticam súplicas por meio desse servidor. Esse método elimina a necessidade de configurar os mesmos filtros em vários switches.

Como alternativa, você pode aplicar um filtro de firewall de porta a várias portas no mesmo switch usando o atributo Filter-ID, que é RADIUS atributo ID número 11. Para usar o atributo Filter-ID, você deve configurar primeiro um filtro no switch e, em seguida, adicionar o nome do filtro às políticas do usuário no RADIUS servidor como o valor do atributo Filter-ID. Quando um súplico definido em uma dessas políticas é autenticado pelo servidor RADIUS, o filtro é aplicado à porta do switch que foi autenticada para o súplico. Use esse método quando o filtro de firewall tiver condições complexas ou se você quiser usar condições diferentes para o mesmo filtro em switches diferentes. O filtro nomeado no atributo Filter-ID deve estar configurado localmente no switch no nível [ edit firewall family ethernet-switching filter ] da hierarquia.

Os VSAs são suportados apenas para configurações de súplica única de 802,1X e várias configurações de súplicas.

Entender a atribuição de VLAN dinâmica usando RADIUS atributos

As VLANs podem ser atribuídos dinamicamente por um servidor RADIUS para súplicas solicitando autenticação 802.1X por meio desse servidor. Você configura a VLAN no servidor RADIUS usando atributos de servidor RADIUS, que são campos de texto claro encapsulados em mensagens enviadas do servidor de autenticação ao switch quando um súplico conectado ao switch solicita autenticação. O switch, que atua como o autenticador, usa as informações nos RADIUS atributos para designar a VLAN ao súplico. Com base nos resultados da autenticação, um súplico que começou a autenticação em uma VLAN pode ser atribuído a outro VLAN.

A autenticação bem-sucedida requer que o nome ID ou VLAN VLAN seja configurado no switch que atua como autenticador 802.1X e que ele se adeque ao nome ID ou VLAN VLAN enviado pelo servidor RADIUS durante a autenticação. Caso nenhum deles exista, o dispositivo final não é autenticado. Caso um VLAN convidado seja estabelecido, o dispositivo final não autenticado é transferido automaticamente para o VLAN convidado.

Os RADIUS de servidor usados para atribuição dinâmica de VLAN descritos em RFC 2868, RADIUS atributos para suporte ao protocolo de túnel.

  • Tipo de túnel — definida como RADIUS atributo tipo 64. O valor deve ser definido como VLAN .

  • Tipo tunnel-medium — definida como RADIUS atributo tipo 65. O valor deve ser definido como IEEE-802 .

  • ID de grupo privado-túnel — definida como RADIUS atributo tipo 81. O valor deve ser definido como ID VLAN ou nome VLAN.

Para obter mais informações sobre a configuração de VLANs dinâmicas em seu servidor RADIUS, consulte a documentação do RADIUS servidor.

Entender as VLANs de hóspedes para 802,1X em switches

As VLANs guest podem ser configuradas em switches que usam autenticação 802.1X para fornecer acesso limitado — normalmente apenas à Internet — para hóspedes corporativos. O VLAN convidado é usado como uma reação quando:

  • O súplico não está habilitado para 802.1X e não responde a mensagens EAP.

  • A RADIUS MAC não foi configurada nas interfaces do switch às quais o súplico está conectado.

  • O portal cativo não foi configurado nas interfaces do switch às quais o súplico está conectado.

Um VLAN convidado não é usado para súplicas que enviam credenciais incorretas. Esses súplicas são direcionados ao VLAN rejeitado pelo servidor.

Para dispositivos fim que não sejam habilitados para 802.1X, um VLAN convidado pode permitir acesso limitado a um servidor do qual o dispositivo final não habilitado para 802.1X pode baixar o software de súplica e tentar autenticação novamente.

Exemplo: Configurando opções de autenticação 802.1X quando o RADIUS está indisponível para um switch da série EX

A reação de falha do servidor permite especificar como 802,1X súplicas conectadas ao switch são suportadas se o servidor de autenticação RADIUS da rede ficar indisponível.

Você usa o 802.1X para controlar o acesso à rede. Somente usuários e dispositivos (súplicas) que fornecerem credenciais que tenham sido verificados em um banco de dados de usuários têm acesso à rede. Você usa um RADIUS como banco de dados de usuários.

Este exemplo descreve como configurar uma interface para mover um súplico para uma VLAN no caso de um RADIUS de servidor:

Requisitos

Este exemplo usa os seguintes componentes de software e hardware:

Nota:

Este exemplo também se aplica a QFX5100 switches.

  • Junos OS Release 9.3 ou mais tarde para switches da Série EX

  • Um switch série EX que atua como uma entidade de acesso de porta autenticador (PAE). As portas do PAE autenticador formam um portal de controle que bloqueia todo o tráfego de e para súplicas até que sejam autenticadas.

  • Um RADIUS de autenticação compatível com 802.1X. O servidor de autenticação funciona como o banco de dados de back-end e contém informações de credencial para hosts (súplicas) que têm permissão para se conectar à rede.

Antes de conectar o servidor ao switch, certifique-se de que tem:

Visão geral e topologia

Um RADIUS de servidor ocorre se nenhum servidor RADIUS de autenticação for alcançável quando um súplico faz login e tenta acessar a LAN. Usando o failback do servidor, você configura opções alternativas para súplicas que tentam o acesso à LAN. Você pode configurar o switch para aceitar ou negar o acesso a súplicas ou manter o acesso já concedido a súplicas antes do tempo de RADIUS do servidor. Além disso, você pode configurar o switch para mover súplicas para uma VLAN específica caso ocorra um RADIUS tempo limite.

Figura 2 mostra a topologia usada neste exemplo. O RADIUS de dados está conectado ao switch EX4200 na porta de ge-0/0/10 acesso. O switch funciona como a entidade de acesso à porta autenticador (PAE) e encaminha credenciais do súplico para o banco de dados do usuário no RADIUS servidor. O switch bloqueia todo o tráfego e funciona como um portal de controle até que o súplico seja autenticado pelo servidor de autenticação. Um súplico está conectado ao switch por meio da interface ge-0/0/1.

Nota:

Essa figura também se aplica a QFX5100 switches.

Figura 2: Topologia para configuração de opções de 802,1XTopologia para configuração de opções de 802,1X

Tabela 3 descreve os componentes desta topologia.

Tabela 3: Componentes da topologia
Propriedade Configurações

Hardware de switch

EX4200 de acesso, portas Ethernet de 24 Gigabit: 16 portas não PoE e 8 portas PoE.

Nomes de VLAN

default Vlan

vlan-sf Vlan

Suplicante

Súplicant tentando acessar na interface ge-0/0/1

Um RADIUS servidor

Banco de dados de back-end com um endereço 10.0.0.100 conectado ao switch na porta ge-0/0/10

Neste exemplo, configure a interface ge-0/0/1 para mover um acesso súplico que tenta entrar na LAN durante um RADIUS de saída para outro VLAN. Um RADIUS impede a troca normal de mensagens de EAP que transportam informações do RADIUS até o switch e permitem a autenticação de um súplico. A VLAN padrão está configurada na interface ge-0/0/1. Quando ocorre RADIUS tempo de espera, os súplicas na interface serão transferidos da VLAN padrão para a VLAN chamada vlan-sf.

Topologia

Configuração

Procedimento

Configuração rápida CLI

Para configurar rapidamente o failback do servidor no switch, copie os seguintes comandos e os confique na janela do terminal do switch:

Procedimento passo a passo

Para configurar uma interface para desviar súplicas para uma VLAN específica quando ocorre um RADIUS tempo de espera (aqui, a VLAN é vlan-sf ):

  1. Defina a VLAN para quais súplicas são desviadas:

Resultados

Exibir os resultados da configuração:

Verificação

Para confirmar se a configuração está funcionando corretamente, realize essas tarefas:

Verificar se os súplicas são transferidos para uma VLAN alternativa durante um RADIUS timeout

Propósito

Verificar se a interface move os súplicas para uma VLAN alternativa durante um RADIUS de tempo.

Nota:

Nos switches que executam o Junos OS para Série EX com suporte para ELS, a saída do comando show vlans conterá informações adicionais. Se o switch executa software compatível com ELS, consulte show vlans. Para detalhes da ELS, consulte Como usar a CLI de software aprimorada de Camada 2

Ação

Exibir as VLANs configuradas no switch; a interface ge-0/0/1.0 é um membro da default VLAN:

Exibir informações de protocolo 802.1X no switch para exibir súplicas autenticadas na ge-0/0/1.0 interface:

Ocorre RADIUS tempo de tempo do servidor. Exibir a tabela de com switching Ethernet para mostrar que o súplico com o endereço MAC que acessou a LAN anteriormente pela VLAN agora está sendo apurado na VLAN chamada 00:00:00:00:00:01defaultvlan-sf :

Exibir informações de protocolo 802.1X para mostrar que a interface está se conectando e abrirá o acesso da LAN a ge-0/0/1.0 súplicas:

Significado

O show vlans comando exibe a interface como um membro da ge-0/0/1.0default VLAN. O show dot1x interface brief comando mostra que um súplico abc () é autenticado na interface ge-0/0/1.0 e tem o endereço 00:00:00:00:00:01 MAC. Ocorre RADIUS tempo de tempo do servidor, e o servidor de autenticação não pode ser atingido pelo switch. O show-ethernet-switching table comando mostra que o endereço MAC é aprendido em 00:00:00:00:00:01vlan-sf VLAN. O súplico foi transferido da default VLAN para a vlan-sf VLAN. O súplico é então conectado à LAN por meio da VLAN chamada vlan-sf .

Exemplo: Configurando opções de fallback em switches da Série EX para clientes de autenticação EAP-TTLS e Odyssey Access Clients

Para autenticação de usuário 802.1X, os switches série EX são de suporte RADIUS servidores de autenticação que estão usando o Protocolo de Autenticação Extensível – TLS com túnel (EAP-TTLS) para autenticar Odyssey Access Client (OAC) súplicas. O software de rede OAC é executado em computadores de endpoint (computadores de área de trabalho, laptop ou bloco de notas e dispositivos sem fio suportados) e fornece acesso seguro a redes com e sem fio.

Este exemplo descreve como configurar uma interface habilitada para 802.1X no switch para fornecer suporte a retorno para usuários OAC que tenham inserido credenciais de login incorretas:

Requisitos

Este exemplo usa os seguintes componentes de software e hardware:

Nota:

Este exemplo também se aplica a QFX5100 switches.

  • Junos OS Release 11.2 ou mais tarde para switches da Série EX

  • Um switch série EX que atua como uma entidade de acesso de porta autenticador (PAE). As portas do PAE autenticador formam um portal de controle que bloqueia todo o tráfego de e para súplicas até que sejam autenticadas.

  • Um RADIUS de autenticação compatível com 802.1X. O servidor de autenticação funciona como o banco de dados de back-end e contém informações de credencial para hosts (súplicas) que têm permissão para se conectar à rede.

  • Um dispositivo final OAC que age como um súplico.

Antes de começar a configurar a opção de reação de segurança, garanta que você tenha:

Visão geral e topologia

OAC é um software de rede executado em computadores de endpoint (área de trabalho, laptop ou bloco de notas) e dispositivos sem fio suportados. O OAC fornece suporte total para EAP, necessário para acesso seguro à LAN sem fio.

Nesta topologia, o OAC é implantado com um switch habilitado para 802.1X e um RADIUS servidor. O switch funciona como um ponto de aplicação na arquitetura de segurança da rede. Esta topologia:

  • Garante que somente usuários autorizados possam se conectar.

  • Mantém a privacidade das credenciais de login.

  • Mantém a privacidade dos dados pelo enlace sem fio.

Este exemplo inclui a configuração de uma VLAN recusada pelo servidor no switch, que pode ser usada para evitar bloqueios acidentais para usuários que tenham inserido credenciais de login incorretas. Esses usuários podem ter acesso lan limitado.

No entanto, essa configuração de redução é complicada pelo fato de que o súplico OAC e o RADIUS servidor estão usando EAP-TTLS. A EAP-TTLS cria um túnel criptografado seguro entre o servidor e o dispositivo final para concluir o processo de autenticação. Quando o usuário entra em credenciais de login incorretas, o servidor RADIUS envia mensagens de falha do EAP diretamente para o cliente por meio deste túnel. A mensagem de falha do EAP faz com que o cliente reinicie o procedimento de autenticação, de forma que o processo de autenticação 802.1X do switch desfaça a sessão estabelecida com o switch usando a VLAN recusada pelo servidor. Você pode permitir que a conexão correl continue configurando:

  • eapol-block— Ative o relógio de bloqueio EAPoL na interface 802.1X configurada para pertencer à VLAN recusada pelo servidor. O relógio de bloqueio faz com que a entidade de acesso à porta de autenticação ignore as mensagens de início do EAP do cliente, tentando reinicializar o procedimento de autenticação.

    Nota:

    O temporizador de bloqueio EAPoL é acionado apenas após o número configurado de reattempts permitidos (usando a opção) na retries interface 802.1X ter sido exaurido. Você pode configurar para especificar o número de vezes que o retries switch tenta autenticar a porta após uma falha inicial. O padrão é de três ressaltos.

  • block-interval— Configure o tempo que você deseja que o temporizador de bloqueio EAPoL continue a ignorar as mensagens de início do EAP. Caso você não configure o intervalo de bloco, o temporizador de bloqueio EAPoL padrão para 120 segundos.

Quando a interface 802.1X ignora as mensagens de início do EAP do cliente, o switch permite que a sessão correl existente estabelecida por meio da VLAN recusada pelo servidor permaneça aberta.

Essas opções de configuração aplicam-se a modos de autenticação individuais, seguros e múltiplos. Neste exemplo, a interface 802.1X está configurada em um único modo de súplica.

Figura 3 mostra um switch série EX conectando um dispositivo final OAC a um servidor RADIUS e indica os protocolos sendo usados para conectar as entidades de rede.

Nota:

Essa figura também se aplica a QFX5100 switches.

Figura 3: Switch série EX conectando OAC ao RADIUS servidor usando autenticação EAP-TTLSSwitch série EX conectando OAC ao RADIUS servidor usando autenticação EAP-TTLS

Topologia

Tabela 4 descreve os componentes nesta implantação OAC:.

Tabela 4: Componentes da implantação de OAC
Propriedade Configurações

Hardware de switch

Switch da Série EX

Vlans

default

server-reject-vlan: O nome VLAN é remedial E VLAN ID é 700

interface 802.1X

ge-0/0/8

Súplico OAC

EAP-TTLS

Um RADIUS de autenticação

EAP-TTLS

Configuração

Procedimento

Configuração rápida CLI

Para configurar rapidamente as opções de rebaixamento para súplicas EAP-TTLS e OAC, copie os seguintes comandos e os confique na janela do terminal do switch:

Procedimento passo a passo

Para configurar as opções de rebaixamento para EAP-TTLS e súplicas OAC:

Dica:

Neste exemplo, o switch tem apenas um VLAN recusado pelo servidor. Portanto, a configuração especifica eapol-block e block-interval logo depois server-reject-vlan . No entanto, se você tiver configurado várias VLANs no switch, você deve incluir o nome VLAN ou iD VLAN diretamente depois para indicar qual server-reject-vlan VLAN está sendo modificada.

  1. Configure uma VLAN que funcionará como a VLAN recusada pelo servidor para fornecer acesso lan limitado para usuários que tenham inserido credenciais de login incorretas:

  2. Configure o número de vezes que o cliente deve ser solicitado a solicitar nome de usuário e senha antes que um login incorreto seja direcionado ao VLAN rejeitado pelo servidor:

  3. Configure a interface de autenticador 802.1X para usar a VLAN recusada pelo servidor como uma reação a logins incorretos:

  4. Ative o relógio de bloqueio EAPoL na interface 802.1X configurada para pertencer à VLAN recusada pelo servidor.

  5. Configure o tempo de permanência do bloco EAPoL:

Resultados

Veja os resultados da configuração:

Verificação

Para confirmar se a configuração e as opções de reação estão funcionando corretamente, realize essa tarefa:

Verificar a configuração da interface 802.1X

Propósito

Verificar se a interface 802.1X está configurada com as opções desejadas.

Ação
Significado

A show dot1x ge-0/0/8 detail saída de comando mostra que a interface está no estado e que está usando o ge-0/0/8Authenticatedremedial VLAN.

Monitoramento da autenticação 802.1X

Propósito

Nota:

Esse tópico se aplica apenas ao pacote de aplicativos J-Web.

A versão 14.1X53-A2 do pacote J-Web Application não tem suporte para autenticação 802.1X em EX4600 switches.

Use o recurso de monitoramento para exibir detalhes de usuários e usuários autenticados que falharam na autenticação.

Ação

Para exibir detalhes de autenticação na interface J-Web, selecione > MonitoringSecurity > 802.1X .

Para exibir detalhes de autenticação na CLI, insira os seguintes comandos:

  • show dot1x interface detail | display xml

  • show dot1x interface detail <interface> | display xml

  • show dot1x auth-failed-users

Significado

Os detalhes exibidos incluem:

  • Uma lista de usuários autenticados.

  • O número de usuários conectados.

  • Uma lista de usuários que falharam na autenticação.

Você também pode especificar uma interface para a qual os detalhes devem ser exibidos.

Verificação da autenticação 802.1X

Propósito

Verificar se os súplicas estão sendo autenticados em uma interface em um switch com a interface configurada para autenticação 802.1X e exibir o método de autenticação usado.

Ação

Exibir informações detalhadas sobre uma interface configurada para 802.1X (aqui, a interface é ge-0/0/16):

Significado

A saída de amostra do show dot1x interface detail comando mostra que o é Number of connected supplicants 1. O súplico que foi autenticado e agora está conectado à LAN é conhecido como no servidor RADIUS user5 e tem o endereço 00:30:48:8C:66:BD MAC. O súplico foi autenticado por meio do método de autenticação 802.1X chamado RADIUS autenticação, conforme indicado Radius na saída. Quando RADIUS autenticação é usada, o súplico está configurado no servidor RADIUS, o servidor RADIUS comunica isso ao switch e o switch abre o acesso da LAN na interface à qual o súplico está conectado. A saída da amostra também mostra que o súplico está conectado ao v200 VLAN.

Outros métodos de autenticação 802.1X suportados em switches da Série EX, além de RADIUS autenticação são:

  • VLAN convidado — um host não responsivo tem acesso guest-VLAN.

  • MAC Radius — um host não responsivo é autenticado com base em seu endereço MAC. O endereço MAC está configurado conforme permitido no servidor RADIUS, o servidor RADIUS notifica o switch de que o endereço MAC é um endereço permitido, e o switch dá acesso à LAN ao host não responsivo na interface ao qual está conectado.

  • Negação de falha de servidor — se os servidores RADIUS tempo de insabitável, todos os súplicas ficam sem acesso à LAN, impedindo que o tráfego do súplico atravesse a interface. Esse é o padrão.

  • Permissão para falha de servidor — Quando o servidor RADIUS está indisponível, um súplico ainda tem acesso à LAN como se o súplica fosse autenticado com sucesso pelo servidor RADIUS.

  • Cache de uso com falha de servidor — se os servidores RADIUS tempo de reatenção, os súplicas previamente autenticados recebem acesso LAN, mas novos súplicas são impedidos de acessar a LAN.

  • VLAN com falha de servidor — Um súplico está configurado para ser transferido para uma VLAN especificada caso o servidor RADIUS esteja indisponível para reabilitar o súplico. (A VLAN já deve existir no switch.)

Autenticação de solução de problemas de dispositivos end em switches da Série EX

Problema

Descrição

Os dispositivos fim configurados com endereços MAC estáticos perdem a conexão com o switch depois que o comando clear dot1x interface é executado para limpar todos os endereços MAC aprendidos.

Antes de limpar endereços MAC:

Para limpar endereços MAC:

Após limpar endereços MAC:

Observe que não há dispositivos fim na lista de bypass de autenticação.

Causa

Os endereços MAC estáticos são tratados da mesma forma que outros endereços MAC aprendidos em uma interface. Quando o comando clear dot1x interface é executado, ele elimina todos os endereços MAC aprendidos da interface, incluindo a lista de bypass MAC estático (também conhecida como lista de exclusão).

Solução

Se você executar o comando clear dot1x interfaces para uma interface que tenha endereços MAC estáticos configurados para bypass de autenticação, adicione os endereços MAC estáticos à lista de bypass MAC estático.

Tabela de histórico de liberação
Versão
Descrição
20.2R1
A partir da versão 20.2R1 Junos OS, você pode configurar autenticação 802.1X em interfaces de camada 3
18.4R1
A partir do Junos OS Release 18.3R1, você pode configurar autenticação 802.1X nas interfaces de tronco, o que permite ao dispositivo de acesso à rede (NAS) autenticar um ponto de acesso (AP) ou outro dispositivo conectado de Camada 2.
17.3R1
A partir da Versão 17.3 do Junos OS, o recurso de salto de porta pode ser usado para obrigar o dispositivo final a iniciar a re-negociação do DHCP, causando um retalho de enlace na porta autenticada.
14.1X53-A2
A versão 14.1X53-A2 do pacote J-Web Application não tem suporte para autenticação 802.1X em EX4600 switches.