Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Ejemplo Conexión de un servidor RADIUS para 802.1 X a un conmutador de serie EX

 

802.1 x es el estándar de IEEE para el control de acceso de red basado en puertos (PNAC). Utiliza 802.1 X para controlar el acceso a la red. Solo se permite el acceso a la red a los usuarios y dispositivos que proporcionan credenciales comprobados en una base de datos de usuario. Puede usar un servidor RADIUS como base de datos de usuario para autenticación de 802.1 X, así como para la autenticación de RADIUS MAC.

En este ejemplo se describe cómo conectar un servidor RADIUS a un conmutador de la serie EX y configurarlo para 802.1 X:

Aplicables

En este ejemplo se utilizan los siguientes componentes de software y hardware:

  • Junos OS versión 9,0 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX que actúe como una entidad de acceso a puertos (PAE) del autenticador. Los puertos del autenticador PAE forman una puerta de control que bloquea todo el tráfico entrante y no de los suplicantes hasta que se autentiquen.

  • Uno RADIUS servidor de autenticación compatible con 802.1 X. El servidor de autenticación actúa como la base de datos del servidor y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de conectar el servidor al conmutador, asegúrese de que dispone de:

Descripción general y topología

El conmutador de la serie EX actúa como un autenticador PAE. Bloquea todo el tráfico y actúa como puerta de control hasta que el solicitante (cliente) lo autentica. Se deniega el acceso a todos los demás usuarios y dispositivos.

Figura 1muestra un conmutador EX4200 que está conectado a los dispositivos enumerados Tabla 1en la.

Figura 1: Topología para la configuración
Topología para la configuración

Tabla 1: Componentes de la topología

InspectorConfiguraciones

Cambiar el hardware

Conmutador de EX4200 de acceso, 24 puertos Gigabit Ethernet: 8 puertos de PoE (GE-0/0/0 a GE-0/0/7) y 16 puertos no de PoE (GE-0/0/8 a GE-0/0/23)

Nombre de VLAN

predeterminada

Un servidor RADIUS

Base de datos back-end con una dirección 10.0.0.100 conectado al conmutador en el puerto ge-0/0/10

En este ejemplo, conecte el servidor RADIUS para tener acceso al puerto GE-0/0/10 en el conmutador EX4200. El conmutador funciona como el autenticador y reenvía las credenciales del suplicante a la base de datos de usuario del servidor de RADIUS. Debe configurar la conectividad entre el EX4200 y el servidor RADIUS especificando la dirección del servidor y configurando la contraseña secreta. Esta información se configura en un perfil de acceso del conmutador.

Nota

Para obtener más información acerca de los servicios de autenticación, autorización y contabilidad (AAA), consulte la Guía de configuración de Junos os fundamentos del sistema.

Automática

Configuración rápida de CLI

Para conectar rápidamente el servidor RADIUS al conmutador, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

[edit]


set access radius-server 10.0.0.100 secret juniper
set access radius-server 10.0.0.200 secret juniper
set access profile profile1 authentication-order radius
set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]

Procedimiento detallado

Para conectar el servidor RADIUS al conmutador:

  1. Defina la dirección de los servidores y configure la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor:
    [edit]

    user@switch# set access radius-server 10.0.0.100 secret juniper
    user@switch# set access radius-server 10.0.0.200 secret juniper
  2. Configure el orden de autenticación, haciendo RADIUS el primer método de autenticación:
    [edit]

    user@switch# set access profile profile1 authentication-order radius
  3. Configure una lista de direcciones IP del servidor para que se intente en orden secuencial para autenticar al solicitante:
    [edit]

    user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]

Resultados

Mostrar los resultados de la configuración:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Compruebe que el conmutador y el servidor RADIUS están conectados correctamente

Finalidad

Compruebe que el servidor RADIUS está conectado al conmutador en el puerto especificado.

Acción

Haga ping al servidor RADIUS para comprobar la conexión entre el conmutador y el servidor:

user@switch> ping 10.0.0.100

Significado

Los paquetes de solicitud de eco ICMP se envían desde el conmutador al servidor de destino en 10.0.0.100 para comprobar si se puede tener acceso al servidor a través de la red IP. Las respuestas de eco ICMP se devuelven desde el servidor, comprobando que el conmutador y el servidor estén conectados.