Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ordem de autenticação flexível nos switches da Série EX

Os switches Junos OS oferecem suporte a 802.1X, MAC RADIUS e portal cativo como métodos de autenticação para dispositivos que precisam se conectar a uma rede. Você pode usar o recurso flexível de ordem de autenticação para especificar a ordem de métodos de autenticação que o switch usa ao tentar autenticar um cliente. Se vários métodos de autenticação forem configurados em uma única interface, quando um método de autenticação falha, o switch volta para outro método. Para obter mais informações, leia este tópico.

Configuração da ordem de autenticação flexível

Você pode usar o recurso flexível de ordem de autenticação para especificar a ordem de métodos de autenticação que o switch usa ao tentar autenticar um cliente. Se vários métodos de autenticação forem configurados em uma única interface, quando um método de autenticação falha, o switch volta para outro método.

Por padrão, o switch tenta autenticar um cliente usando a autenticação 802.1X primeiro. Se a autenticação 802.1X falhar porque não há resposta do cliente, e a autenticação MAC RADIUS estiver configurada na interface, o switch tentará autenticação usando MAC RADIUS. Se o MAC RADIUS falhar e o portal cativo estiver configurado na interface, o switch tenta autenticação usando portal cativo.

Com uma ordem de autenticação flexível, a sequência do método de autenticação usado pode ser alterada com base no tipo de clientes conectados à interface. Você pode configurar a authentication-order declaração para especificar se a autenticação 802.1X ou a autenticação MAC RADIUS devem ser o primeiro método de autenticação testado. O portal cativo é sempre o último método de autenticação tentado.

Se a autenticação MAC RADIUS estiver configurada como o primeiro método de autenticação da ordem e, em seguida, ao receber dados de qualquer cliente, o switch tenta autenticar o cliente usando a autenticação MAC RADIUS. Se a autenticação MAC RADIUS falhar, o switch usará a autenticação 802.1X para autenticar o cliente. Se a autenticação 802.1X falhar, e o portal cativo estiver configurado na interface, o switch tenta autenticação usando portal cativo.

Nota:

Se a autenticação do 802.1X e a autenticação MAC RADIUS falharem, e o portal cativo não estiver configurado na interface, o cliente terá acesso negado à LAN a menos que um método de fallback de falha de servidor esteja configurado. Consulte a configuração do fail fallback do servidor RADIUS (procedimento CLI) para obter mais informações.

Diferentes métodos de autenticação podem ser usados em paralelo em uma interface que é configurada no modo múltiplo suplicante. Portanto, se um dispositivo final for autenticado na interface usando portal cativo, outro dispositivo final conectado a essa interface ainda pode ser autenticado usando autenticação 802.1X ou MAC RADIUS.

Antes de configurar a ordem de autenticação flexível em uma interface, certifique-se de que os métodos de autenticação estejam configurados nessa interface. O switch não tenta autenticação usando um método que não está configurado na interface, mesmo que esse método esteja incluído na ordem de autenticação; o switch ignora esse método e tenta o próximo método na ordem de autenticação que é habilitada nessa interface.

Use as seguintes diretrizes ao configurar a authentication-order declaração:

  • A ordem de autenticação deve incluir pelo menos dois métodos de autenticação.

  • A autenticação 802.1X deve ser um dos métodos incluídos na ordem de autenticação.

  • Se o portal cativo estiver incluído na ordem de autenticação, ele deve ser o último método da ordem.

  • Se mac-radius-restrict estiver configurada em uma interface, a ordem de autenticação não pode ser configurada nessa interface.

Para configurar uma ordem de autenticação flexível, use uma das seguintes combinações válidas:

Nota:

A ordem de autenticação pode ser configurada globalmente usando a opção interface all , bem como localmente usando o nome da interface individual. Se a ordem de autenticação estiver configurada tanto para uma interface individual quanto para todas as interfaces, a configuração local dessa interface se sobrepõe à configuração global.

  • Para configurar a autenticação 802.1X como o primeiro método de autenticação, seguido pela autenticação MAC RADIUS e, em seguida, portal cativo:
  • Para configurar a autenticação 802.1X como o primeiro método de autenticação, seguido pelo portal cativo:
  • Para configurar a autenticação 802.1X como o primeiro método de autenticação, seguido pela autenticação MAC RADIUS:
  • Para configurar a autenticação MAC RADIUS como o primeiro método de autenticação, seguido pelo 802.1X, seguido pelo portal cativo:

Depois de configurar a ordem de autenticação, você deve usar o insert comando para fazer quaisquer modificações na ordem de autenticação. Usar o set comando não altera a ordem configurada.

Alterar a ordem de autenticação após a configuração inicial:

Por exemplo, para mudar a ordem de [mac-radius dot1x captive portal][dot1x mac-radius captive portal]:

Configuração do bloco EAPoL para manter uma sessão de autenticação existente

Quando um switch que atua como um autenticador 802.1X recebe uma mensagem EAP-Start de um cliente autenticado, o switch tenta re-autenticar o cliente usando o método 802.1X e normalmente retorna uma mensagem de solicitação de EAP, e aguarda uma resposta. Se o cliente não responder, o switch tenta re-autenticar o cliente usando MAC RADIUS ou método de portal cativo se esses métodos forem configurados. Os clientes que foram autenticados usando MAC RADIUS ou autenticação cativa de portal não são responsivos, e o tráfego é descartado na interface enquanto o switch tenta a re-autenticação.

Se você tiver configurado uma ordem de autenticação flexível na interface para que o MAC RADIUS seja o primeiro método usado para autenticar um cliente, o switch ainda volta a usar o 802.1X para re-autenticação se o cliente enviar uma mensagem EAP-Start, mesmo que o cliente tenha sido autenticado com sucesso usando a autenticação MAC RADIUS. Você pode configurar um bloco de EAPoL com uma ordem de autenticação fixa ou flexível. Se você não configurar a authentication-order declaração, a ordem será fixada por padrão. A eapol-block declaração pode ser configurada com ou sem configurar a authentication-order declaração.

Você pode configurar um switch para ignorar as mensagens EAP-Start enviadas de um cliente que foi autenticado usando autenticação MAC RADIUS ou autenticação cativa de portal usando a eapol-block declaração. Com um bloco de mensagens EAPoL em vigor, se o switch receber uma mensagem EAP-Start do cliente, ele não retornará uma mensagem de solicitação de EAP e a sessão de autenticação existente será mantida.

Nota:

Se o endpoint não tiver sido autenticado com autenticação MAC RADIUS ou autenticação cativa de portal, o bloco EAPoL não surtiu efeito. O endpoint pode autenticar usando autenticação 802.1X.

Se eapol-block estiver configurado com a opção mac-radius e depois que o cliente for autenticado com autenticação MAC RADIUS ou CWA (Autenticação central da Web), o cliente permanecerá em estado autenticado mesmo se enviar uma mensagem EAP-Start. Se eapol-block estiver configurado com a opção captive-portal , assim que o cliente for autenticado com portal cativo, o cliente permanecerá em estado autenticado mesmo que envie uma mensagem de EAP-Start.

Nota:

Esse recurso é compatível com switches EX4300 e EX9200.

Configurar um bloco de mensagens EAPoL para manter uma sessão de autenticação existente:

  • Para configurar o bloco EAPoL para um cliente autenticado usando a autenticação MAC RADIUS:
  • Para configurar o bloco EAPoL para um cliente autenticado usando autenticação cativa do portal: