Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticação 802.1X

Padrão IEEE 802.1X para controle de acesso de rede baseado em porta e protege AS LANs Ethernet contra acesso de usuários não autorizados. Ele bloqueia todo o tráfego de e para um suplicante (cliente) na interface até que as credenciais do suplicante sejam apresentadas e combinadas no servidor de autenticação (um servidor RADIUS). Quando o suplicante é autenticado, o switch para de bloquear o acesso e abre a interface ao suplicante. Leia este tópico para obter mais informações.

Visão geral do 802.1X para switches

Como funciona a autenticação 802.1X

A autenticação 802.1X funciona usando uma entidade de acesso de porta autenticadora (o switch) para bloquear o tráfego de entrada de um suplicante (dispositivo final) na porta até que as credenciais do suplicante sejam apresentadas e correspondam ao servidor de autenticação (um servidor RADIUS). Quando autenticado, o switch para de bloquear o tráfego e abre a porta para o suplicante.

O dispositivo final é autenticado em modo suplicante único , modo suplicante de segurança única ou modo suplicante múltiplo :

  • suplicante único— autentica apenas o primeiro dispositivo final. Todos os outros dispositivos finais que se conectam mais tarde à porta têm acesso total sem nenhuma autenticação adicional. Eles efetivamente se aproveitam da autenticação do dispositivo de primeira ponta.

  • suplicante de segurança única — permite que apenas um dispositivo final se conecte à porta. Nenhum outro dispositivo final pode se conectar até que o primeiro dispositivo seja conectado.

  • múltiplos suplicantes — permite que vários dispositivos finais se conectem à porta. Cada dispositivo final é autenticado individualmente.

O acesso à rede pode ser ainda mais definido usando VLANs e filtros de firewall, ambos atuando como filtros para separar e combinar grupos de dispositivos finais com as áreas da LAN que eles precisam. Por exemplo, você pode configurar VLANs para lidar com diferentes categorias de falhas de autenticação, dependendo de:

  • Se o dispositivo final está habilitado para 802.1X ou não.

  • Se a autenticação MAC RADIUS está configurada ou não nas interfaces de switch às quais os hosts estão conectados.

  • Se o servidor de autenticação RADIUS fica indisponível ou envia uma mensagem de rejeição de acesso RADIUS. Veja a configuração de falha de falha do servidor RADIUS (procedimento de CLI).

Visão geral dos recursos do 802.1X

Os seguintes recursos do 802.1X são compatíveis com switches Ethernet da Juniper Networks:

  • VLAN convidado — fornece acesso limitado a uma LAN, normalmente apenas para a Internet, para dispositivos finais não responsável que não estejam habilitados para 802.1X quando a autenticação MAC RADIUS não está configurada nas interfaces de switch às quais os hosts estão conectados. Além disso, um VLAN convidado pode ser usado para fornecer acesso limitado a uma LAN para usuários convidados. Normalmente, o VLAN convidado fornece acesso apenas à Internet e aos dispositivos finais de outros hóspedes.

  • VLAN rejeitado por servidor — oferece acesso limitado a uma LAN, normalmente apenas para a Internet, para dispositivos finais responsivos habilitados para 802.1X, mas que enviaram as credenciais erradas. Se o dispositivo final autenticado usando o VLAN rejeitado por servidor for um telefone IP, o tráfego de voz não será permitido.

  • VLAN com falha no servidor — oferece acesso limitado a uma LAN, normalmente apenas para a Internet, para dispositivos finais 802.1X durante um intervalo de tempo do servidor RADIUS.

  • VLAN dinâmico — permite que um dispositivo final, após a autenticação, seja um membro de um VLAN dinamicamente.

  • VLAN privado — permite a configuração da autenticação 802.1X em interfaces que são membros de VLANs privadas (PVLANs).

  • Mudanças dinâmicas em uma sessão de usuário — permite que o administrador do switch encerre uma sessão já autenticada. Esse recurso é baseado no suporte da Mensagem de Desconexão RADIUS definida na RFC 3576.

  • VoIP VLAN — oferece suporte a telefones IP. A implementação de um VLAN de voz em um telefone IP é específica do fornecedor. Se o telefone estiver habilitado para 802.1X, ele será autenticado como qualquer outro suplicante. Se o telefone não estiver habilitado para 802.1X, mas tiver outro dispositivo compatível com 802.1X conectado à porta de dados, esse dispositivo é autenticado e o tráfego VoIP pode fluir de e para o telefone (desde que a interface esteja configurada em um único modo suplicante e não no modo suplicante seguro único).

    Nota:

    A configuração de um VLAN VoIP em interfaces privadas de VLAN (PVLAN) não é compatível.

  • Contabilidade RADIUS — Envia informações contábeis para o servidor de contabilidade RADIUS. As informações de contabilidade são enviadas ao servidor sempre que um assinante faz login ou faz login e sempre que um assinante ativa ou desativa uma assinatura.

  • Atributos do servidor RADIUS para 802.1X — O Juniper-Switching-Filter é um atributo específico do fornecedor (VSA) que pode ser configurado no servidor RADIUS para definir ainda mais o acesso de um suplicante durante o processo de autenticação 802.1X. Configurar atributos centralmente no servidor de autenticação evita a necessidade de configurar esses mesmos atributos na forma de filtros de firewall em cada switch na LAN ao qual o suplicante pode se conectar à LAN. Esse recurso é baseado no RLI 4583, AAA RADIUS BRAS VSA Support.

Os recursos a seguir são compatíveis para autenticar dispositivos que não estejam habilitados para 802.1X:

  • Bypass MAC estático — fornece um mecanismo de bypass para autenticar dispositivos que não estão habilitados para 802.1X (como impressoras). O bypass MAC estático conecta esses dispositivos a portas habilitadas para 802.1X, ignorando a autenticação 802.1X.

  • Autenticação MAC RADIUS — fornece um meio de permitir que hosts que não estejam habilitados para 802.1X acessem a LAN. O MAC-RADIUS simula a funcionalidade suplicante do dispositivo cliente, usando o endereço MAC do cliente como nome de usuário e senha.

Autenticação 802.1X em portas de tronco

A partir do Junos OS Release 18.3R1, você pode configurar a autenticação 802.1X em interfaces de tronco, o que permite ao dispositivo de acesso de rede (NAS) autenticar um ponto de acesso (AP) ou outro dispositivo de Camada 2 conectado. Um AP ou switch conectado ao NAS oferecerá suporte a várias VLANs, por isso deve se conectar a uma porta-tronco. Permitir a autenticação do 802.1X na interface do tronco protege o NAS de uma falha de segurança na qual um invasor pode desconectar o AP e conectar um laptop para ter acesso gratuito à rede para todas as VLANs configuradas.

Observe as seguintes restrições ao configurar a autenticação 802.1X em interfaces de tronco.

  • Apenas modos suplicantes únicos e seguros são suportados em interfaces de tronco.

  • Você deve configurar a autenticação 802.1X localmente na interface do tronco. Se você configurar a autenticação 802.1X globalmente usando o set protocol dot1x interface all comando, a configuração não será aplicada à interface do tronco.

  • O VLANS dinâmico não é compatível com interfaces de tronco.

  • VLAN convidado e VLAN rejeitado por servidor não são compatíveis com interfaces de tronco.

  • O retorno de falha do servidor para clientes VoIP não é compatível com interfaces de tronco (server-fail-voip).

  • A autenticação na porta tronco não é compatível com o portal cativo.

  • A autenticação na porta do tronco não é compatível com interfaces agregadas.

  • A configuração da autenticação 802.1X em interfaces que são membros de VLANs privadas (PVLANs) não tem suporte em portas de tronco.

Autenticação 802.1X em interfaces de Camada 3

A partir do Junos OS Release 20.2R1, você pode configurar a autenticação 802.1X em interfaces de camada 3. Observe as seguintes restrições ao configurar a autenticação 802.1X em interfaces de camada 3:

  • Apenas clientes capazes de EAP são suportados.

  • Apenas um único modo suplicante é suportado.

  • Você deve configurar a autenticação 802.1X localmente em interfaces de camada 3. Se você configurar a autenticação 802.1X globalmente usando o set protocol dot1x interface all comando, a configuração não será aplicada a interfaces de camada 3.

  • O suporte para interfaces de camada 3 não inclui IRB ou sub-interfaces.

  • VLAN convidado, VLAN rejeitado por servidor e VLAN com falha no servidor não são suportados.

  • O retorno de falha do servidor para clientes VoIP não é compatível (server-fail-voip).

  • Apenas os seguintes atributos são aceitos do servidor de autenticação como parte de mensagens RADIUS de aceitação de acesso ou COA para clientes autenticados em interfaces de camada 3:

    • Nome do usuário

    • Intervalo de sessão

    • ID de estação de ligação

    • Acct-Session-ID

    • Nas-Port-Id

    • Port-Bounce

Configuração das configurações da interface 802.1X (procedimento de CLI)

A autenticação do IEEE 802.1X oferece segurança de borda de rede, protegendo LANs Ethernet contra acesso de usuário não autorizado, bloqueando todo o tráfego de e para um suplicante (cliente) na interface até que as credenciais do suplicante sejam apresentadas e combinadas no servidor de autenticação (um servidor RADIUS). Quando o suplicante é autenticado, o switch para de bloquear o acesso e abre a interface ao suplicante.

Nota:

Antes de começar, especifique o servidor RADIUS ou servidores a serem usados como servidor de autenticação. Consulte especificar as conexões do servidor RADIUS nos switches (procedimento de CLI).

Para configurar o 802.1X em uma interface:

  1. Configure o modo suplicante como single (autentica o primeiro suplicante), single-secure (autentica apenas um suplicante) ou multiple (autentica vários suplicantes):
    Nota:

    O modo suplicante múltiplo não é compatível com interfaces de tronco.

  2. Habilite a reauthenção e especifique o intervalo de reauthenção:
  3. Configure o valor de tempo limite da interface para a resposta do suplicante:
  4. Configure o tempo limite para a interface antes que ela reenconsencie uma solicitação de autenticação ao servidor RADIUS:
  5. Configure quanto tempo, em segundos, a interface espera antes de retransmitir as PDUs EAPOL iniciais para o suplicante:
  6. Configure o número máximo de vezes em que um pacote de solicitação de EAPOL é retransmitido no suplicante antes do tempo de sessão de autenticação:
  7. Configure o número de vezes que o switch tenta autenticar a porta após uma falha inicial. A porta permanece em estado de espera durante o período de silêncio após a tentativa de autenticação.
  8. Defina a negação server-fail para que o servidor não falhe.
Nota:

Essa configuração especifica o número de tentativas antes que o switch coloque a interface em um estado HELD .

Entender as mudanças iniciadas pelo RADIUS em uma sessão de usuário autorizado

Ao usar um serviço de autenticação baseado em um modelo RADIUS cliente/servidor, as solicitações normalmente são iniciadas pelo cliente e enviadas ao servidor RADIUS. Existem casos em que uma solicitação pode ser iniciada pelo servidor e enviada ao cliente, a fim de modificar dinamicamente uma sessão de usuário autenticada já em andamento. O cliente que recebe e processa as mensagens é o switch, que atua como o servidor de acesso de rede, ou NAS. O servidor pode enviar ao switch uma mensagem desconectada solicitando o encerramento de uma sessão ou uma mensagem de Alteração de Autorização (CoA) solicitando a modificação dos atributos de autorização de sessão.

O switch ouve solicitações RADIUS não solicitadas na porta UPD 3799 e aceita solicitações apenas de uma fonte confiável. A autorização para enviar uma solicitação de Desconexão ou CoA é determinada com base no endereço de origem e no segredo compartilhado correspondente, que deve ser configurado no switch e no servidor RADIUS. Para obter mais informações sobre a configuração do endereço de origem e o segredo compartilhado no switch, consulte Exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.

Desconectar mensagens

O servidor RADIUS envia uma mensagem de desconectamento-solicitação ao switch para encerrar uma sessão do usuário e descartar todo o contexto de sessão associado. O switch responde a um pacote desconectar-solicitação com uma mensagem Disconnect-ACK se a solicitação for bem sucedida, ou seja, todo o contexto de sessão associado é descartado e a sessão do usuário não está mais conectada, ou com um pacote Disconnect-NAK se a solicitação falhar, ou seja, o autenticador é incapaz de desconectar a sessão e descartar todo o contexto da sessão associado.

Nas mensagens de solicitação de desconexão, os atributos RADIUS são usados para identificar com exclusividade o switch (NAS) e a sessão do usuário. A combinação de atributos de identificação nas e atributos de identificação de sessão incluídos na mensagem deve corresponder a pelo menos uma sessão para que a solicitação seja bem-sucedida; caso contrário, o switch responde com uma mensagem Desconecte-NAK. Uma mensagem desconectada pode conter apenas atributos nas e identificação de sessão; se quaisquer outros atributos forem incluídos, o switch responderá com uma mensagem Desconectar-NAK.

Mudança de mensagens de autorização

As mensagens de alteração de autorização (CoA) contêm informações para modificar dinamicamente os atributos de autorização de uma sessão de usuário para alterar o nível de autorização. Isso ocorre como parte de um processo de autenticação em duas etapas, no qual o endpoint é autenticado pela primeira vez usando a autenticação MAC RADIUS e, em seguida, é perfilado com base no tipo de dispositivo. A mensagem de CoA é usada para aplicar uma política de aplicação apropriada para o dispositivo, normalmente alterando os filtros de dados ou o VLAN.

O switch responde a uma mensagem de CoA com uma mensagem CoA-ACK se a mudança de autorização for bem sucedida, ou uma mensagem com CoA-NAK se a mudança não for bem sucedida. Se uma ou mais alterações de autorização especificadas em uma mensagem de CoA-Request não puderem ser realizadas, o switch responderá com uma mensagem CoA-NAK.

Nas mensagens de CoA-Request, os atributos RADIUS são usados para identificar com exclusividade o switch (agindo como o NAS) e a sessão do usuário. A combinação de atributos de identificação nas e atributos de identificação de sessão incluídos na mensagem deve corresponder aos atributos de identificação de pelo menos uma sessão para que a solicitação seja bem-sucedida; caso contrário, o switch responde com uma mensagem CoA-NAK.

Os pacotes de CoA-Request também incluem os atributos de autorização de sessão que serão modificados se a solicitação for aceita. Os atributos de autorização de sessão suportados estão listados abaixo. A mensagem da CoA pode conter qualquer um desses atributos. Se algum atributo não for incluído como parte da mensagem de solicitação de CoA, o NAS assume que o valor desse atributo deve permanecer inalterado.

  • ID de filtro

  • ID do grupo privado de túneis

  • Filtro de comutação da Juniper

  • Juniper-VoIP-VLAN

  • Intervalo de sessão

Salto na porta de solicitação da CoA

Quando uma mensagem de CoA é usada para alterar o VLAN para um host autenticado, dispositivos finais como impressoras não têm um mecanismo para detectar a mudança de VLAN, para que eles não renovem o leasing para seu endereço DHCP no novo VLAN. A partir do Junos OS Release 17.3, o recurso de salto de porta pode ser usado para forçar o dispositivo final a iniciar a re-negociação do DHCP, causando uma aba de enlace na porta autenticada.

O comando para rebater a porta é enviado do servidor RADIUS usando um atributo específico do fornecedor (VSA) da Juniper Networks. A porta é saltada se o seguinte par de valor de atributo VSA for recebido na mensagem CoA do servidor RADIUS:

  • Juniper-AV-Pair = "Port-Bounce"

Para habilitar o recurso de salto de porta, você deve atualizar o arquivo de dicionário Junos (juniper.dct) no servidor RADIUS com o Juniper-AV-Pair VSA. Localize o arquivo do dicionário e adicione o seguinte texto ao arquivo:

Para obter mais informações sobre a adição do VSA, consulte a documentação do FreeRADIUS.

Você pode desabilitar o recurso configurando a ignore-port-bounce declaração no nível [edit protocols dot1x authenticator interface interface-name] de hierachy.

Códigos de causa de erro

Quando uma desconexão ou operação de CoA não tiver sucesso, um atributo de causa de erro (atributo RADIUS 101) pode ser incluído na mensagem de resposta enviada pelo NAS ao servidor para fornecer detalhes sobre a causa do problema. Se o erro detectado não for mapeado para um dos valores de atributos de causa de erro suportados, o roteador envia a mensagem sem um atributo de causa de erro. Consulte Tabela 1 as descrições de códigos de causa de erro que podem ser incluídos em mensagens de resposta enviadas do NAS.

Tabela 1: Códigos de causa de erro (atributo RADIUS 101)

Código

Value

Descrição

201

Contexto de sessão residual removido

Enviado em resposta a uma mensagem desconectar-solicitação se uma ou mais sessões de usuário não estiverem mais ativas, mas o contexto de sessão residual foi encontrado e removido com sucesso. Este código é enviado apenas dentro de uma mensagem Desconecte-ACK.

401

Atributo não suportado

A solicitação contém um atributo que não é suportado (por exemplo, um atributo de terceiros).

402

Atributo ausente

Um atributo crítico (por exemplo, o atributo de identificação da sessão) está ausente de uma solicitação.

403

Incompatibilidade de identificação do NAS

A solicitação contém um ou mais atributos de identificação nas que não correspondem à identidade do NAS que recebe a solicitação.

404

Solicitação inválida

Algum outro aspecto da solicitação é inválido — por exemplo, se um ou mais atributos não forem formatados corretamente.

405

Serviço sem suporte

O atributo Tipo de Serviço incluído na solicitação contém um valor inválido ou sem suporte.

406

Extensão sem suporte

A entidade que recebe a solicitação (seja um NAS ou um proxy RADIUS) não aceita solicitações iniciadas pelo RADIUS.

407

Valor de atributo inválido

A solicitação contém um atributo com um valor não suportado.

501

Administrativamente proibido

O NAS está configurado para proibir a honra de mensagens de solicitação de desconexão ou coa-solicitação para a sessão especificada.

503

Contexto de sessão não encontrado

O contexto da sessão identificado na solicitação não existe no NAS.

504

Contexto de sessão não removível

O assinante identificado por atributos na solicitação pertence a um componente que não é compatível. Este código é enviado apenas dentro de uma mensagem Disconnect-NAK.

506

Recursos indisponíveis

Uma solicitação não pôde ser honrada devido à falta de recursos nas disponíveis (como memória).

507

Solicitação iniciada

A mensagem de solicitação de CoA inclui um atributo do tipo de serviço com um valor de Somente Autorizado.

508

Seleção de várias sessões sem suporte

Os atributos de identificação da sessão incluídos na solicitação correspondem a várias sessões, mas o NAS não aceita solicitações aplicáveis a várias sessões.

Filtragem de suplicantes 802.1X usando atributos de servidor RADIUS

Existem duas maneiras de configurar o servidor RADIUS com filtros de firewall de porta (filtros de firewall de Camada 2):

  • Inclua um ou mais termos de filtro no atributo Juniper-Switching-Filter. O atributo Juniper-Switching-Filter é um atributo específico do fornecedor (VSA) listado sob o atributo ID número 48 no dicionário Juniper no servidor RADIUS. Use este VSA para configurar condições de filtro simples para usuários autenticados 802.1X. Nada precisa ser configurado no switch; toda a configuração está no servidor RADIUS.

  • Configure um filtro de firewall local em cada switch e aplique esse filtro de firewall aos usuários autenticado através do servidor RADIUS. Use este método para filtros mais complexos. O filtro de firewall deve ser configurado em cada switch.

    Nota:

    Se a configuração do filtro de firewall for modificada depois que os usuários forem autenticados usando a autenticação 802.1X, a sessão de autenticação 802.1X estabelecida deve ser encerrada e restabelecida para que as mudanças de configuração do filtro de firewall entrem em vigor.

Este tópico inclui as seguintes tarefas:

Configuração de filtros de firewall no servidor RADIUS

Você pode configurar condições de filtro simples usando o atributo Juniper-Switching-Filter no dicionário Juniper no servidor RADIUS. Esses filtros são enviados para um switch sempre que um novo usuário é autenticado com sucesso. Os filtros são criados e aplicados em todos os switches da Série EX que autenticam os usuários por meio desse servidor RADIUS sem a necessidade de configurar qualquer coisa em cada switch individual.

Nota:

Este procedimento descreve o uso do software FreeRADIUS para configurar o VSA do filtro de comutação juniper. Para obter informações específicas sobre a configuração do servidor, consulte a documentação AAA incluída no servidor.

Para configurar o atributo Juniper-Switching-Filter, insira um ou mais termos de filtro usando o CLI para o servidor RADIUS. Cada termo de filtro consiste em condições de correspondência com uma ação correspondente. Insira os termos do filtro fechados dentro das cotações (" ") usando a seguinte sintaxe:

Mais de uma condição de correspondência pode ser incluída em um termo de filtro. Quando várias condições são especificadas em um termo de filtro, todas elas devem ser cumpridas para que o pacote corresponda ao termo filtro. Por exemplo, o termo filtro a seguir requer um pacote que corresponda ao endereço IP de destino e ao endereço MAC de destino para atender aos critérios de termo:

Vários termos de filtro devem ser separados com vírgulas — por exemplo:

Consulte as condições e ações do VSA com filtro de comutação da Juniper para definições de condições e ações de correspondência.

Nota:

Nos switches EX9200 e no Junos Fusion Enterprise com o EX9200 como dispositivo agregado, o filtro de firewall dinâmico é aplicado estritamente para todos os pacotes IP. Se o filtro estiver configurado para permitir apenas um endereço IP de destino específico, os pacotes com outros endereços IP conforme o IP de destino serão descartados de acordo com as regras do filtro. Isso inclui quaisquer pacotes de protocolo IP, como DHCP, IGMP e pacotes ARP.

Para configurar condições de correspondência no servidor RADIUS:

  1. Verifique se o dicionário Juniper é carregado em seu servidor RADIUS e inclui o atributo Juniper-Switching-Filter de filtragem (atributo ID 48):
  2. Insira as condições e ações da partida. Por exemplo:
    • Negar a autenticação com base na tag 802.1Q (aqui, a tag 802.1Q é 10):

      Para cada usuário relevante, adicione o Juniper-Switching-Filter atributo:

    • Negar acesso com base em um endereço IP de destino:

      Para cada usuário relevante, adicione o Juniper-Switching-Filter atributo:

    • Definir a prioridade de perda de pacotes (PLP) com high base em um endereço MAC de destino e no protocolo IP:

      Para cada usuário relevante, adicione o Juniper-Switching-Filter atributo:

      Nota:

      Para que a opção forwarding-class seja aplicada, a classe de encaminhamento deve ser configurada no switch e na prioridade de perda de pacote especificada. Se não estiver configurado no switch, essa opção será ignorada. Você deve especificar a classe de encaminhamento e a prioridade de perda de pacotes.

  3. Pare e reinicie o processo RADIUS para ativar a configuração.

Aplicar um filtro de firewall configurado localmente do servidor RADIUS

Você pode aplicar um filtro de firewall de porta (filtro de firewall de Camada 2) às políticas do usuário centralmente a partir do servidor RADIUS. O servidor RADIUS pode então especificar os filtros de firewall que devem ser aplicados a cada usuário que solicita autenticação, reduzindo a necessidade de configurar o mesmo filtro de firewall em vários switches. Use este método quando o filtro de firewall contém um grande número de condições ou você deseja usar condições diferentes para o mesmo filtro em switches diferentes. Os filtros de firewall precisam ser configurados em cada switch.

Para obter mais informações sobre filtros de firewall, consulte a visão geral dos filtros de firewall para switches da Série EX.

Para aplicar um filtro de firewall de porta centralmente do servidor RADIUS:

Nota:

Se os filtros de firewall de porta também forem configurados localmente para a interface, os filtros de firewall configurados usando VSAs têm precedência se eles entrarem em conflito com os filtros de firewall de porta configurados localmente. Se não houver conflitos, eles são fundidos.

  1. Crie o filtro de firewall no switch local. Consulte configurando filtros de firewall (procedimento de CLI) para obter mais informações sobre a configuração de um filtro de firewall de porta.
  2. No servidor RADIUS, abra o users arquivo para exibir os perfis de usuário locais dos dispositivos finais aos quais você deseja aplicar o filtro:

  3. Aplique o filtro em cada perfil de usuário adicionando o atributo Filter-ID com o nome do filtro como o valor do atributo:

    Por exemplo, o perfil do usuário abaixo inclui supplicant1 o atributo Filter-ID com o nome filter1do filtro:

    Nota:

    Vários filtros não são suportados em uma única interface. No entanto, você pode suportar vários filtros para vários usuários que estão conectados ao switch na mesma interface, configurando um único filtro com políticas para cada um desses usuários.

  4. Pare e reinicie o processo RADIUS para ativar a configuração.

Exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX

802.1X é o padrão IEEE para controle de acesso de rede (PNAC) baseado em porta. Você usa o 802.1X para controlar o acesso à rede. Apenas usuários e dispositivos que fornecem credenciais verificadas em um banco de dados de usuários podem ter acesso à rede. Você pode usar um servidor RADIUS como banco de dados do usuário para autenticação 802.1X, bem como para autenticação MAC RADIUS.

Este exemplo descreve como conectar um servidor RADIUS a um switch da Série EX e configurá-lo para 802.1X:

Requisitos

Este exemplo usa os seguintes componentes de software e hardware:

  • Junos OS Versão 9.0 ou posterior para switches da Série EX

  • Um switch da Série EX atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.

  • Um servidor de autenticação RADIUS que oferece suporte a 802.1X. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.

Antes de conectar o servidor ao switch, certifique-se de que tem:

Visão geral e topologia

O switch da Série EX funciona como um PAE autenticador. Ele bloqueia todo o tráfego e funciona como um portão de controle até que o suplicante (cliente) seja autenticado pelo servidor. Todos os outros usuários e dispositivos têm acesso negado.

Figura 1 mostra um switch EX4200 conectado aos dispositivos listados em Tabela 2.

Figura 1: Topologia para configuraçãoTopologia para configuração
Tabela 2: Componentes da topologia
Propriedade Configurações

Hardware do switch

Switch de acesso EX4200, 24 portas Ethernet Gigabit: 8 portas PoE (ge-0/0/0 até ge-0/0/7) e 16 portas não PoE (ge-0/0/8 até ge-0/0/23)

Nome de VLAN

Padrão

Um servidor RADIUS

Banco de dados de back-end com um endereço 10.0.0.100 conectado ao switch na porta ge-0/0/10

Neste exemplo, conecte o servidor RADIUS à porta de acesso ge-0/0/10 no switch EX4200. O switch funciona como o autenticador e encaminha credenciais do suplicante para o banco de dados do usuário no servidor RADIUS. Você deve configurar a conectividade entre o EX4200 e o servidor RADIUS especificando o endereço do servidor e configurando a senha secreta. Essas informações estão configuradas em um perfil de acesso no switch.

Nota:

Para obter mais informações sobre serviços de autenticação, autorização e contabilidade (AAA), consulte o Guia de configuração básica do sistema Junos OS.

Configuração

Procedimento

Configuração rápida de CLI

Para conectar rapidamente o servidor RADIUS ao switch, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento passo a passo

Para conectar o servidor RADIUS ao switch:

  1. Defina o endereço dos servidores e configure a senha secreta. A senha secreta no switch deve combinar com a senha secreta no servidor:

  2. Configure a ordem de autenticação, fazendo radius o primeiro método de autenticação:

  3. Configure uma lista de endereços IP de servidor a serem testados em ordem sequencial para autenticar o suplicante:

Resultados

Exibir os resultados da configuração:

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verifique se o switch e o servidor RADIUS estão devidamente conectados

Propósito

Verifique se o servidor RADIUS está conectado ao switch na porta especificada.

Ação

Ping no servidor RADIUS para verificar a conexão entre o switch e o servidor:

Significado

Os pacotes de solicitação de eco do ICMP são enviados do switch para o servidor alvo em 10.0.0.100 para testar se o servidor é alcançável em toda a rede IP. As respostas de eco do ICMP estão sendo retornadas do servidor, verificando se o switch e o servidor estão conectados.

Entender filtros dinâmicos com base em atributos RADIUS

Você pode usar atributos de servidor RADIUS para implementar filtros de firewall de porta em um servidor de autenticação RADIUS. Esses filtros podem ser aplicados dinamicamente a suplicantes que solicitam a autenticação por meio desse servidor. Os atributos do servidor RADIUS são campos de texto claro encapsulados em mensagens de aceitação de acesso enviadas do servidor de autenticação ao switch quando um suplicante conectado ao switch é autenticado com sucesso. O switch, atuando como autenticador, usa as informações nos atributos RADIUS para aplicar os filtros relacionados ao suplicante. Os filtros dinâmicos podem ser aplicados a várias portas no mesmo switch ou a vários switches que usam o mesmo servidor de autenticação, fornecendo controle de acesso centralizado para a rede.

Você pode definir filtros de firewall diretamente no servidor RADIUS usando o atributo Juniper-Switching-Filter, que é um atributo RADIUS específico da Juniper Networks, também conhecido como um atributo específico do fornecedor (VSA). Os VSAs são descritos na RFC 2138, Dial de autenticação remota no serviço do usuário (RADIUS). O VSA do filtro de comutação juniper está listado sob o atributo ID número 48 no dicionário Juniper no servidor RADIUS, com o ID do fornecedor definido para o ID da Juniper Networks número 2636. Usando esse atributo, você define filtros no servidor de autenticação, que são aplicados em todos os switches que autenticam suplicantes por meio desse servidor. Esse método elimina a necessidade de configurar os mesmos filtros em vários switches.

Como alternativa, você pode aplicar um filtro de firewall de porta a várias portas no mesmo switch usando o atributo Filter-ID, que é O ID de atributo RADIUS número 11. Para usar o atributo Filter-ID, você deve primeiro configurar um filtro no switch e, em seguida, adicionar o nome do filtro às políticas de usuário no servidor RADIUS como o valor do atributo Filter-ID. Quando um suplicante definido em uma dessas políticas é autenticado pelo servidor RADIUS, o filtro é aplicado na porta do switch que foi autenticada para o suplicante. Use esse método quando o filtro de firewall tiver condições complexas ou se quiser usar condições diferentes para o mesmo filtro em switches diferentes. O filtro nomeado no atributo Filter-ID deve ser configurado localmente no switch no nível [edit firewall family ethernet-switching filter] de hierarquia.

Os VSAs são suportados apenas para configurações suplicantes únicas de 802.1X e várias configurações suplicantes.

Entender a atribuição dinâmica de VLAN usando atributos RADIUS

As VLANs podem ser atribuídas dinamicamente por um servidor RADIUS para suplicantes que solicitam a autenticação 802.1X por meio desse servidor. Você configura o VLAN no servidor RADIUS usando atributos de servidor RADIUS, que são campos de texto claro encapsulados em mensagens enviadas do servidor de autenticação ao switch quando um suplicante conectado à autenticação de solicitações do switch. O switch, atuando como autenticador, usa as informações nos atributos RADIUS para atribuir o VLAN ao suplicante. Com base nos resultados da autenticação, um suplicante que começou a autenticação em um VLAN pode ser atribuído a outro VLAN.

A autenticação bem-sucedida exige que o nome VLAN ID ou VLAN esteja configurado no switch atuando como autenticador 802.1X, e que corresponda ao nome VLAN ID ou VLAN enviado pelo servidor RADIUS durante a autenticação. Se nenhum deles existir, o dispositivo final não será autenticado. Se um VLAN convidado for estabelecido, o dispositivo final não autorizado é automaticamente transferido para o VLAN convidado.

Os atributos do servidor RADIUS usados para atribuição dinâmica de VLAN descritos na RFC 2868, RADIUS Attributes for Tunnel Protocol Support.

  • Tipo de túnel — definido como atributo RADIUS tipo 64. O valor deve ser definido para VLAN.

  • Tipo de túnel-médio — definido como atributo RADIUS tipo 65. O valor deve ser definido para IEEE-802.

  • Tunnel-Private-Group-ID — Definido como atributo RADIUS tipo 81. O valor deve ser definido para O ID VLAN ou o nome VLAN.

Para obter mais informações sobre a configuração de VLANs dinâmicas em seu servidor RADIUS, consulte a documentação do servidor RADIUS.

Entendendo as VLANs convidadas para 802.1X em switches

As VLANs convidadas podem ser configuradas em switches que estão usando a autenticação 802.1X para fornecer acesso limitado — normalmente apenas para a Internet — para hóspedes corporativos. O VLAN convidado é usado como um recuo quando:

  • O suplicante não está habilitado para 802.1X e não responde a mensagens EAP.

  • A autenticação do MAC RADIUS não foi configurada nas interfaces de switch às quais o suplicante está conectado.

  • O portal cativo não foi configurado nas interfaces de switch às quais o suplicante está conectado.

Um VLAN convidado não é usado para suplicantes que enviam credenciais incorretas. Esses suplicantes são direcionados ao VLAN rejeitado por servidor.

Para dispositivos finais que não estejam habilitados para 802.1X, um VLAN convidado pode permitir acesso limitado a um servidor do qual o dispositivo final não habilitado para 802.1X pode baixar o software suplicante e tentar a autenticação novamente.

Exemplo: Configuração de opções de autenticação 802.1X quando o servidor RADIUS está indisponível para um switch da Série EX

O fail fallback do servidor permite especificar como os suplicantes 802.1X conectados ao switch são suportados se o servidor de autenticação RADIUS ficar indisponível.

Você usa o 802.1X para controlar o acesso à rede. Apenas usuários e dispositivos (suplicantes) que fornecem credenciais verificadas em um banco de dados de usuários podem ter acesso à rede. Você usa um servidor RADIUS como banco de dados do usuário.

Este exemplo descreve como configurar uma interface para mover um suplicante para um VLAN no caso de um tempo limite do servidor RADIUS:

Requisitos

Este exemplo usa os seguintes componentes de software e hardware:

Nota:

Esse exemplo também se aplica aos switches QFX5100.

  • Junos OS Versão 9.3 ou posterior para switches da Série EX

  • Um switch da Série EX atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.

  • Um servidor de autenticação RADIUS que oferece suporte a 802.1X. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.

Antes de conectar o servidor ao switch, certifique-se de que tem:

Visão geral e topologia

Um tempo limite de servidor RADIUS ocorre se nenhum servidor RADIUS de autenticação for alcançável quando um suplicante faz login e tenta acessar a LAN. Usando o fail fallback do servidor, você configura opções alternativas para suplicantes que tentam acesso lan. Você pode configurar o switch para aceitar ou negar o acesso a suplicantes ou manter o acesso já concedido a suplicantes antes do intervalo do servidor RADIUS. Além disso, você pode configurar o switch para mover suplicantes para um VLAN específico se um tempo limite RADIUS ocorrer.

Figura 2 mostra a topologia usada para este exemplo. O servidor RADIUS está conectado ao switch EX4200 na porta ge-0/0/10de acesso. O switch atua como a entidade de acesso à porta autenticadora (PAE) e encaminha credenciais do suplicante ao banco de dados do usuário no servidor RADIUS. O switch bloqueia todo o tráfego e funciona como um portão de controle até que o suplicante seja autenticado pelo servidor de autenticação. Um suplicante está conectado ao switch por meio da interface ge-0/0/1.

Nota:

Esse número também se aplica aos switches QFX5100.

Figura 2: Topologia para configurar opções 802.1XTopologia para configurar opções 802.1X

Tabela 3 descreve os componentes desta topologia.

Tabela 3: Componentes da topologia
Propriedade Configurações

Hardware do switch

Switch de acesso EX4200, 24 portas Ethernet Gigabit: 16 portas não PoE e 8 portas PoE.

Nomes de VLAN

default VLAN

vlan-sf VLAN

Suplicante

Suplicante tentando acesso na interface ge-0/0/1

Um servidor RADIUS

Banco de dados back-end com um endereço de 10.0.0.100 conectado ao switch na porta ge-0/0/10

Neste exemplo, configure a interface ge-0/0/1 para mover um suplicante tentando acesso à LAN durante um intervalo RADIUS para outro VLAN. Um tempo limite RADIUS impede a troca normal de mensagens EAP que transportam informações do servidor RADIUS até o switch e permitem a autenticação de um suplicante. O VLAN padrão está configurado na interface ge-0/0/1. Quando um tempo limite RADIUS ocorrer, os suplicantes na interface serão transferidos do VLAN padrão para o VLAN chamado vlan-sf.

Topologia

Configuração

Procedimento

Configuração rápida de CLI

Para configurar rapidamente a falha do servidor no switch, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento passo a passo

Configurar uma interface para desviar suplicantes para um VLAN específico quando ocorre um tempo limite RADIUS (aqui, o VLAN é vlan-sf):

  1. Defina o VLAN para quais suplicantes são desviados:

Resultados

Exibir os resultados da configuração:

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando se os suplicantes são transferidos para um VLAN alternativo durante um intervalo RADIUS

Propósito

Verifique se a interface move suplicantes para um VLAN alternativo durante um intervalo RADIUS.

Nota:

Nos switches que executam o Junos OS para a Série EX com suporte para ELS, a saída para o show vlans comando conterá informações adicionais. Se o seu switch executa um software que oferece suporte ao ELS, veja o show vlans. Para obter detalhes do ELS, veja usando o CLI aprimorado de software de Camada 2

Ação

Exibir as VLANs configuradas no switch; a interface ge-0/0/1.0 é um membro do default VLAN:

Exibir informações de protocolo 802.1X no switch para visualizar suplicantes autenticados na interface ge-0/0/1.0:

Ocorre um intervalo de tempo do servidor RADIUS. Exibir a tabela de comutação Ethernet para mostrar que o suplicante com o endereço 00:00:00:00:00:01 MAC que anteriormente acessa a LAN através do default VLAN está sendo aprendido no VLAN chamado vlan-sf:

Exibir informações do protocolo 802.1X para mostrar que a interface ge-0/0/1.0 está se conectando e abrirá o acesso LAN a suplicantes:

Significado

O show vlans comando exibe a interface ge-0/0/1.0 como um membro do default VLAN. O show dot1x interface brief comando mostra que um suplicante (abc) é autenticado na interface ge-0/0/1.0 e tem o endereço 00:00:00:00:00:01MAC. Ocorre um tempo limite de servidor RADIUS, e o servidor de autenticação não pode ser alcançado pelo switch. O show-ethernet-switching table comando mostra que o endereço 00:00:00:00:00:01 MAC é aprendido no VLAN vlan-sf. O suplicante foi transferido do default VLAN para o vlan-sf VLAN. O suplicante é então conectado à LAN por meio do VLAN chamado vlan-sf.

Exemplo: Configuração de opções de fallback em switches da Série EX para autenticação EAP-TTLS e clientes de acesso Odyssey

Para a autenticação do usuário 802.1X, os switches da Série EX oferecem suporte a servidores de autenticação RADIUS que estão usando protocolo de autenticação extensível — TLS em túnel (EAP-TTLS) para autenticar as súplicas do Odyssey Access Client (OAC). O software de rede OAC é executado em computadores endpoint (computadores desktop, laptop ou bloco de notas e dispositivos sem fio suportados) e fornece acesso seguro a redes com e sem fio.

Este exemplo descreve como configurar uma interface habilitada para 802.1X no switch para fornecer suporte de fallback para usuários do OAC que entraram em credenciais de login incorretas:

Requisitos

Este exemplo usa os seguintes componentes de software e hardware:

Nota:

Esse exemplo também se aplica aos switches QFX5100.

  • Junos OS Versão 11.2 ou posterior para switches da Série EX

  • Um switch da Série EX atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.

  • Um servidor de autenticação RADIUS que oferece suporte a 802.1X. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.

  • Um dispositivo final OAC funcionando como um suplicante.

Antes de começar a configurar a opção de retorno, garanta que você tenha:

  • Configure uma conexão entre o switch e o servidor RADIUS. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.

  • EAP-TTLS configurado no servidor. Consulte a documentação do servidor RADIUS.

  • Usuários configurados no servidor RADIUS. Consulte a documentação do servidor RADIUS.

Visão geral e topologia

OAC é um software de rede que é executado em computadores endpoint (desktop, laptop ou bloco de notas) e dispositivos sem fio suportados. A OAC oferece suporte total para o EAP, que é necessário para um acesso LAN sem fio seguro.

Nesta topologia, o OAC é implantado com um switch habilitado para 802.1X e um servidor RADIUS. O switch funciona como um ponto de aplicação na arquitetura de segurança de rede. Esta topologia:

  • Garante que apenas usuários autorizados possam se conectar.

  • Mantém a privacidade das credenciais de login.

  • Mantém a privacidade dos dados no enlace sem fio.

Este exemplo inclui a configuração de um VLAN rejeitado por servidor no switch, que pode ser usado para evitar bloqueio acidental para usuários que entraram em credenciais de login incorretas. Esses usuários podem ter acesso limitado à LAN.

No entanto, essa configuração de fallback é complicada pelo fato de que o suplicante OAC e o servidor RADIUS estão usando EAP-TTLS. O EAP-TTLS cria um túnel criptografado seguro entre o servidor e o dispositivo final para completar o processo de autenticação. Quando o usuário insira credenciais de login incorretas, o servidor RADIUS envia mensagens de falha de EAP diretamente ao cliente por meio deste túnel. A mensagem de falha de EAP faz com que o cliente reinicie o procedimento de autenticação para que o processo de autenticação 802.1X do switch derrube a sessão estabelecida com o switch usando o VLAN rejeitado pelo servidor. Você pode permitir que a conexão corretiva continue configurando:

  • eapol-block— Habilite o temporizador de bloqueio EAPoL na interface 802.1X configurada para pertencer ao VLAN rejeitado por servidor. O timer de bloqueio faz com que a entidade de acesso à porta de autenticação ignore as mensagens de início do EAP do cliente, tentando reiniciar o procedimento de autenticação.

    Nota:

    O temporizador de bloco EAPoL só é acionado após o esgotamento do número configurado de reattempts (usando a opção retries ) na interface 802.1X. Você pode configurar retries para especificar o número de vezes que o switch tenta autenticar a porta após uma falha inicial. O padrão é três retries.

  • block-interval— Configure a quantidade de tempo que deseja que o timer de bloqueio EAPoL continue a ignorar as mensagens de início do EAP. Se você não configurar o intervalo de blocos, o timer de bloqueio EAPoL será padrão para 120 segundos.

Quando a interface 802.1X ignora as mensagens de início do EAP do cliente, o switch permite que a sessão corretiva existente estabelecida por meio do VLAN rejeitado pelo servidor permaneça aberta.

Essas opções de configuração aplicam-se a modos de autenticação únicos, seguros e múltiplos suplicantes. Neste exemplo, a interface 802.1X está configurada em um único modo suplicante.

Figura 3 mostra um switch da Série EX conectando um dispositivo final OAC a um servidor RADIUS, e indica os protocolos que estão sendo usados para conectar as entidades de rede.

Nota:

Esse número também se aplica aos switches QFX5100.

Figura 3: Switch da Série EX conectando o OAC ao servidor RADIUS usando autenticação EAP-TTLSSwitch da Série EX conectando o OAC ao servidor RADIUS usando autenticação EAP-TTLS

Topologia

Tabela 4 descreve os componentes nesta implantação de OAC:.

Tabela 4: Componentes da implantação do OAC
Propriedade Configurações

Hardware do switch

Switch da Série EX

Vlans

default

server-reject-vlan: O nome VLAN é remedial e O ID VLAN 700

Interface 802.1X

ge-0/0/8

Suplicante de OAC

EAP-TTLS

Um servidor de autenticação RADIUS

EAP-TTLS

Configuração

Procedimento

Configuração rápida de CLI

Para configurar rapidamente as opções de fallback para suplicantes EAP-TTLS e OAC, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento passo a passo

Para configurar as opções de fallback para suplicantes EAP-TTLS e OAC:

Dica:

Neste exemplo, o switch tem apenas um VLAN rejeitado por servidor. Portanto, a configuração especifica eapol-block e block-interval logo depois server-reject-vlan. No entanto, se você tiver configurado várias VLANs no switch, você deve incluir o nome VLAN ou O ID VLAN diretamente depois server-reject-vlan para indicar qual VLAN está sendo modificado.

  1. Configure um VLAN que funcionará como o VLAN rejeitado por servidor para fornecer acesso LAN limitado para usuários que inseriram credenciais de login incorretas:

  2. Configure o número de vezes para que o cliente seja solicitado para nome de usuário e senha antes que um login incorreto seja direcionado ao VLAN rejeitado pelo servidor:

  3. Configure a interface do autenticador 802.1X para usar o VLAN rejeitado pelo servidor como um recuo para logins incorretos:

  4. Habilite o temporizador de bloqueio EAPoL na interface 802.1X configurada para pertencer ao VLAN rejeitado por servidor.

  5. Configure a quantidade de tempo para que o bloco EAPoL permaneça em vigor:

Resultados

Verifique os resultados da configuração:

Verificação

Para confirmar que a configuração e as opções de recuo estão funcionando corretamente, execute esta tarefa:

Verificando a configuração da interface 802.1X

Propósito

Verifique se a interface 802.1X está configurada com as opções desejadas.

Ação
Significado

A show dot1x ge-0/0/8 detail saída de comando mostra que a ge-0/0/8 interface está no Authenticated estado e que está usando o remedial VLAN.

Monitoramento da autenticação 802.1X

Propósito

Nota:

Esse tópico se aplica apenas ao pacote J-Web Application.

Pacote de aplicativos J-Web Versão 14.1X53-A2 não oferece suporte à autenticação 802.1X nos switches EX4600.

A partir do Junos OS 22.1R1 Release, os switches EX4600 não têm suporte.

Use o recurso de monitoramento para exibir detalhes de usuários e usuários autenticados que falharam na autenticação.

Ação

Para exibir detalhes de autenticação na interface J-Web, selecione Monitoring > Security > 802.1X.

Para exibir detalhes de autenticação no CLI, insira os seguintes comandos:

  • show dot1x interface detail | display xml

  • show dot1x interface detail <interface> | display xml

  • show dot1x auth-failed-users

Significado

Os detalhes exibidos incluem:

  • Uma lista de usuários autenticados.

  • O número de usuários conectados.

  • Uma lista de usuários que falharam na autenticação.

Você também pode especificar uma interface para a qual os detalhes devem ser exibidos.

Verificando a autenticação 802.1X

Propósito

Verifique se os suplicantes estão sendo autenticados em uma interface em um switch com a interface configurada para autenticação 802.1X e exibir o método de autenticação que está sendo usado.

Ação

Exibir informações detalhadas sobre uma interface configurada para 802.1X (aqui, a interface é ge-0/0/16):

Significado

A saída amostral do show dot1x interface detail comando mostra que o Number of connected supplicants é 1. O suplicante que foi autenticado e agora está conectado à LAN é conhecido como user5 no servidor RADIUS e tem o endereço 00:30:48:8C:66:BDMAC. O suplicante foi autenticado por meio do método de autenticação 802.1X chamado autenticação RADIUS, conforme indicado na Radius saída. Quando a autenticação RADIUS é usada, o suplicante é configurado no servidor RADIUS, o servidor RADIUS comunica isso ao switch e o switch abre acesso LAN na interface à qual o suplicante está conectado. A saída amostral também mostra que o suplicante está conectado ao VLAN v200.

Outros métodos de autenticação 802.1X suportados em switches da Série EX, além da autenticação RADIUS, são:

  • VLAN convidado — um host não responsável recebe acesso Guest-VLAN.

  • MAC Radius — um host não responsável é autenticado com base em seu endereço MAC. O endereço MAC é configurado conforme permitido no servidor RADIUS, o servidor RADIUS notifica o switch de que o endereço MAC é um endereço permitido, e o switch concede acesso LAN ao host não responsável na interface à qual está conectado.

  • Negação de falha no servidor — se os servidores RADIUS perderem tempo, todos os suplicantes têm acesso negado à LAN, impedindo que o tráfego do suplicante atravesse a interface. Esse é o padrão.

  • Permissão de falha do servidor — quando o servidor RADIUS está indisponível, um suplicante ainda tem acesso permitido à LAN como se o suplicante tivesse sido autenticado com sucesso pelo servidor RADIUS.

  • Cache de uso com falha no servidor — se os servidores RADIUS perderem tempo durante a reauthentação, os suplicantes autenticados anteriormente receberão acesso LAN, mas novos suplicantes têm acesso LAN negado.

  • VLAN com falha no servidor — um suplicante está configurado para ser transferido para um VLAN especificado se o servidor RADIUS estiver indisponível para reauthentizar o suplicante. (O VLAN já deve existir no switch.)

Solução de problemas autenticação de dispositivos finais em switches da Série EX

Problema

Descrição

Os dispositivos finais configurados usando endereços MAC estáticos perdem a conexão com o switch depois que o comando de interface clear dot1x é executado para limpar todos os endereços MAC aprendidos.

Antes de limpar endereços MAC:

Para limpar endereços MAC:

Depois de limpar endereços MAC:

Observe que não há dispositivos finais na lista de desvios de autenticação.

Causa

Os endereços MAC estáticos são tratados da mesma forma que outros endereços MAC aprendidos em uma interface. Quando o comando de interface clear dot1x é executado, ele elimina todos os endereços MAC aprendidos da interface, incluindo a lista de bypass MAC estática (também conhecida como lista de exclusão).

Solução

Se você executar o comando de interfaces clear dot1x para uma interface que tem endereços MAC estáticos configurados para bypass de autenticação, adicione novamente os endereços MAC estáticos à lista de desvios mac estáticos.

Tabela de histórico de liberação
Versão
Descrição
20.2R1
A partir do Junos OS Release 20.2R1, você pode configurar a autenticação 802.1X em interfaces de camada 3
18.4R1
A partir do Junos OS Release 18.3R1, você pode configurar a autenticação 802.1X em interfaces de tronco, o que permite ao dispositivo de acesso de rede (NAS) autenticar um ponto de acesso (AP) ou outro dispositivo de Camada 2 conectado.
17.3R1
A partir do Junos OS Release 17.3, o recurso de salto de porta pode ser usado para forçar o dispositivo final a iniciar a re-negociação do DHCP, causando uma aba de enlace na porta autenticada.
14.1X53-A2
Pacote de aplicativos J-Web Versão 14.1X53-A2 não oferece suporte à autenticação 802.1X nos switches EX4600.