Ordem de autenticação flexível nos switches da Série EX
Os switches Junos OS oferecem suporte a 802.1X, MAC RADIUS e portal cativo como métodos de autenticação para dispositivos que precisam se conectar a uma rede. Você pode usar o recurso flexível de ordem de autenticação para especificar a ordem de métodos de autenticação que o switch usa ao tentar autenticar um cliente. Se vários métodos de autenticação forem configurados em uma única interface, quando um método de autenticação falha, o switch volta para outro método. Para obter mais informações, leia este tópico.
Configuração da ordem de autenticação flexível
Você pode usar o recurso flexível de ordem de autenticação para especificar a ordem de métodos de autenticação que o switch usa ao tentar autenticar um cliente. Se vários métodos de autenticação forem configurados em uma única interface, quando um método de autenticação falha, o switch volta para outro método.
Por padrão, o switch tenta autenticar um cliente usando a autenticação 802.1X primeiro. Se a autenticação 802.1X falhar porque não há resposta do cliente, e a autenticação MAC RADIUS estiver configurada na interface, o switch tentará autenticação usando MAC RADIUS. Se o MAC RADIUS falhar e o portal cativo estiver configurado na interface, o switch tenta autenticação usando portal cativo.
Com uma ordem de autenticação flexível, a sequência do método de autenticação usado pode ser alterada com base no tipo de clientes conectados à interface. Você pode configurar a authentication-order
declaração para especificar se a autenticação 802.1X ou a autenticação MAC RADIUS devem ser o primeiro método de autenticação testado. O portal cativo é sempre o último método de autenticação tentado.
Se a autenticação MAC RADIUS estiver configurada como o primeiro método de autenticação da ordem e, em seguida, ao receber dados de qualquer cliente, o switch tenta autenticar o cliente usando a autenticação MAC RADIUS. Se a autenticação MAC RADIUS falhar, o switch usará a autenticação 802.1X para autenticar o cliente. Se a autenticação 802.1X falhar, e o portal cativo estiver configurado na interface, o switch tenta autenticação usando portal cativo.
Se a autenticação do 802.1X e a autenticação MAC RADIUS falharem, e o portal cativo não estiver configurado na interface, o cliente terá acesso negado à LAN a menos que um método de fallback de falha de servidor esteja configurado. Consulte a configuração do fail fallback do servidor RADIUS (procedimento CLI) para obter mais informações.
Diferentes métodos de autenticação podem ser usados em paralelo em uma interface que é configurada no modo múltiplo suplicante. Portanto, se um dispositivo final for autenticado na interface usando portal cativo, outro dispositivo final conectado a essa interface ainda pode ser autenticado usando autenticação 802.1X ou MAC RADIUS.
Antes de configurar a ordem de autenticação flexível em uma interface, certifique-se de que os métodos de autenticação estejam configurados nessa interface. O switch não tenta autenticação usando um método que não está configurado na interface, mesmo que esse método esteja incluído na ordem de autenticação; o switch ignora esse método e tenta o próximo método na ordem de autenticação que é habilitada nessa interface.
Use as seguintes diretrizes ao configurar a authentication-order
declaração:
A ordem de autenticação deve incluir pelo menos dois métodos de autenticação.
A autenticação 802.1X deve ser um dos métodos incluídos na ordem de autenticação.
Se o portal cativo estiver incluído na ordem de autenticação, ele deve ser o último método da ordem.
Se
mac-radius-restrict
estiver configurada em uma interface, a ordem de autenticação não pode ser configurada nessa interface.
Para configurar uma ordem de autenticação flexível, use uma das seguintes combinações válidas:
A ordem de autenticação pode ser configurada globalmente usando a opção interface all
, bem como localmente usando o nome da interface individual. Se a ordem de autenticação estiver configurada tanto para uma interface individual quanto para todas as interfaces, a configuração local dessa interface se sobrepõe à configuração global.
Depois de configurar a ordem de autenticação, você deve usar o insert
comando para fazer quaisquer modificações na ordem de autenticação. Usar o set
comando não altera a ordem configurada.
Alterar a ordem de autenticação após a configuração inicial:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order authentication-method before authentication-method
Por exemplo, para mudar a ordem de [mac-radius dot1x captive portal]
[dot1x mac-radius captive portal]
:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order dot1x before mac-radius
Consulte também
Configuração do bloco EAPoL para manter uma sessão de autenticação existente
Quando um switch que atua como um autenticador 802.1X recebe uma mensagem EAP-Start de um cliente autenticado, o switch tenta re-autenticar o cliente usando o método 802.1X e normalmente retorna uma mensagem de solicitação de EAP, e aguarda uma resposta. Se o cliente não responder, o switch tenta re-autenticar o cliente usando MAC RADIUS ou método de portal cativo se esses métodos forem configurados. Os clientes que foram autenticados usando MAC RADIUS ou autenticação cativa de portal não são responsivos, e o tráfego é descartado na interface enquanto o switch tenta a re-autenticação.
Se você tiver configurado uma ordem de autenticação flexível na interface para que o MAC RADIUS seja o primeiro método usado para autenticar um cliente, o switch ainda volta a usar o 802.1X para re-autenticação se o cliente enviar uma mensagem EAP-Start, mesmo que o cliente tenha sido autenticado com sucesso usando a autenticação MAC RADIUS. Você pode configurar um bloco de EAPoL com uma ordem de autenticação fixa ou flexível. Se você não configurar a authentication-order
declaração, a ordem será fixada por padrão. A eapol-block
declaração pode ser configurada com ou sem configurar a authentication-order
declaração.
Você pode configurar um switch para ignorar as mensagens EAP-Start enviadas de um cliente que foi autenticado usando autenticação MAC RADIUS ou autenticação cativa de portal usando a eapol-block
declaração. Com um bloco de mensagens EAPoL em vigor, se o switch receber uma mensagem EAP-Start do cliente, ele não retornará uma mensagem de solicitação de EAP e a sessão de autenticação existente será mantida.
Se o endpoint não tiver sido autenticado com autenticação MAC RADIUS ou autenticação cativa de portal, o bloco EAPoL não surtiu efeito. O endpoint pode autenticar usando autenticação 802.1X.
Se eapol-block
estiver configurado com a opção mac-radius
e depois que o cliente for autenticado com autenticação MAC RADIUS ou CWA (Autenticação central da Web), o cliente permanecerá em estado autenticado mesmo se enviar uma mensagem EAP-Start. Se eapol-block
estiver configurado com a opção captive-portal
, assim que o cliente for autenticado com portal cativo, o cliente permanecerá em estado autenticado mesmo que envie uma mensagem de EAP-Start.
Esse recurso é compatível com switches EX4300 e EX9200.
Configurar um bloco de mensagens EAPoL para manter uma sessão de autenticação existente: