Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Ordem de autenticação flexível nos switches da Série EX

Os switches Junos OS oferecem suporte a 802.1X, MAC RADIUS e portal cativo como métodos de autenticação para dispositivos que precisam se conectar a uma rede. Você pode usar o recurso flexível de ordem de autenticação para especificar a ordem de métodos de autenticação que o switch usa ao tentar autenticar um cliente. Se vários métodos de autenticação forem configurados em uma única interface, quando um método de autenticação falha, o switch volta para outro método. Para obter mais informações, leia este tópico.

Configuração da ordem de autenticação flexível

Você pode usar o recurso flexível de ordem de autenticação para especificar a ordem de métodos de autenticação que o switch usa ao tentar autenticar um cliente. Se vários métodos de autenticação forem configurados em uma única interface, quando um método de autenticação falha, o switch volta para outro método.

Por padrão, o switch tenta autenticar um cliente usando a autenticação 802.1X primeiro. Se a autenticação 802.1X falhar porque não há resposta do cliente, e a autenticação MAC RADIUS estiver configurada na interface, o switch tentará autenticação usando MAC RADIUS. Se o MAC RADIUS falhar e o portal cativo estiver configurado na interface, o switch tenta autenticação usando portal cativo.

Com uma ordem de autenticação flexível, a sequência do método de autenticação usado pode ser alterada com base no tipo de clientes conectados à interface. Você pode configurar a declaração para especificar se a autenticação 802.1X ou a autenticação MAC RADIUS devem ser o primeiro método de autenticação testado.authentication-order O portal cativo é sempre o último método de autenticação tentado.

Se a autenticação MAC RADIUS estiver configurada como o primeiro método de autenticação da ordem e, em seguida, ao receber dados de qualquer cliente, o switch tenta autenticar o cliente usando a autenticação MAC RADIUS. Se a autenticação MAC RADIUS falhar, o switch usará a autenticação 802.1X para autenticar o cliente. Se a autenticação 802.1X falhar, e o portal cativo estiver configurado na interface, o switch tenta autenticação usando portal cativo.

Nota:

Se a autenticação do 802.1X e a autenticação MAC RADIUS falharem, e o portal cativo não estiver configurado na interface, o cliente terá acesso negado à LAN a menos que um método de fallback de falha de servidor esteja configurado. Consulte a configuração do fail fallback do servidor RADIUS (procedimento CLI) para obter mais informações.Configuração do fail fallback do servidor RADIUS (procedimento CLI)

Diferentes métodos de autenticação podem ser usados em paralelo em uma interface que é configurada no modo múltiplo suplicante. Portanto, se um dispositivo final for autenticado na interface usando portal cativo, outro dispositivo final conectado a essa interface ainda pode ser autenticado usando autenticação 802.1X ou MAC RADIUS.

Antes de configurar a ordem de autenticação flexível em uma interface, certifique-se de que os métodos de autenticação estejam configurados nessa interface. O switch não tenta autenticação usando um método que não está configurado na interface, mesmo que esse método esteja incluído na ordem de autenticação; o switch ignora esse método e tenta o próximo método na ordem de autenticação que é habilitada nessa interface.

Use as seguintes diretrizes ao configurar a declaração:authentication-order

  • A ordem de autenticação deve incluir pelo menos dois métodos de autenticação.

  • A autenticação 802.1X deve ser um dos métodos incluídos na ordem de autenticação.

  • Se o portal cativo estiver incluído na ordem de autenticação, ele deve ser o último método da ordem.

  • Se estiver configurada em uma interface, a ordem de autenticação não pode ser configurada nessa interface.mac-radius-restrict

Para configurar uma ordem de autenticação flexível, use uma das seguintes combinações válidas:

Nota:

A ordem de autenticação pode ser configurada globalmente usando a opção , bem como localmente usando o nome da interface individual.interface all Se a ordem de autenticação estiver configurada tanto para uma interface individual quanto para todas as interfaces, a configuração local dessa interface se sobrepõe à configuração global.

  • Para configurar a autenticação 802.1X como o primeiro método de autenticação, seguido pela autenticação MAC RADIUS e, em seguida, portal cativo:
  • Para configurar a autenticação 802.1X como o primeiro método de autenticação, seguido pelo portal cativo:
  • Para configurar a autenticação 802.1X como o primeiro método de autenticação, seguido pela autenticação MAC RADIUS:
  • Para configurar a autenticação MAC RADIUS como o primeiro método de autenticação, seguido pelo 802.1X, seguido pelo portal cativo:

Depois de configurar a ordem de autenticação, você deve usar o comando para fazer quaisquer modificações na ordem de autenticação.insert Usar o comando não altera a ordem configurada.set

Alterar a ordem de autenticação após a configuração inicial:

Por exemplo, para mudar a ordem de :[mac-radius dot1x captive portal][dot1x mac-radius captive portal]

Consulte também

Configuração do bloco EAPoL para manter uma sessão de autenticação existente

Quando um switch que atua como um autenticador 802.1X recebe uma mensagem EAP-Start de um cliente autenticado, o switch tenta re-autenticar o cliente usando o método 802.1X e normalmente retorna uma mensagem de solicitação de EAP, e aguarda uma resposta. Se o cliente não responder, o switch tenta re-autenticar o cliente usando MAC RADIUS ou método de portal cativo se esses métodos forem configurados. Os clientes que foram autenticados usando MAC RADIUS ou autenticação cativa de portal não são responsivos, e o tráfego é descartado na interface enquanto o switch tenta a re-autenticação.

Se você tiver configurado uma ordem de autenticação flexível na interface para que o MAC RADIUS seja o primeiro método usado para autenticar um cliente, o switch ainda volta a usar o 802.1X para re-autenticação se o cliente enviar uma mensagem EAP-Start, mesmo que o cliente tenha sido autenticado com sucesso usando a autenticação MAC RADIUS. Você pode configurar um bloco de EAPoL com uma ordem de autenticação fixa ou flexível. Se você não configurar a declaração, a ordem será fixada por padrão.authentication-order A declaração pode ser configurada com ou sem configurar a declaração.eapol-blockauthentication-order

Você pode configurar um switch para ignorar as mensagens EAP-Start enviadas de um cliente que foi autenticado usando autenticação MAC RADIUS ou autenticação cativa de portal usando a declaração.eapol-block Com um bloco de mensagens EAPoL em vigor, se o switch receber uma mensagem EAP-Start do cliente, ele não retornará uma mensagem de solicitação de EAP e a sessão de autenticação existente será mantida.

Nota:

Se o endpoint não tiver sido autenticado com autenticação MAC RADIUS ou autenticação cativa de portal, o bloco EAPoL não surtiu efeito. O endpoint pode autenticar usando autenticação 802.1X.

Se estiver configurado com a opção e depois que o cliente for autenticado com autenticação MAC RADIUS ou CWA (Autenticação central da Web), o cliente permanecerá em estado autenticado mesmo se enviar uma mensagem EAP-Start.eapol-blockmac-radius Se estiver configurado com a opção , assim que o cliente for autenticado com portal cativo, o cliente permanecerá em estado autenticado mesmo que envie uma mensagem de EAP-Start.eapol-blockcaptive-portal

Nota:

Esse recurso é compatível com switches EX4300 e EX9200.

Configurar um bloco de mensagens EAPoL para manter uma sessão de autenticação existente:

  • Para configurar o bloco EAPoL para um cliente autenticado usando a autenticação MAC RADIUS:
  • Para configurar o bloco EAPoL para um cliente autenticado usando autenticação cativa do portal:

Consulte também

Tópicos relacionados