Orden de autenticación flexible en conmutadores de la serie EX
Los conmutadores Junos OS admiten 802.1X, MAC RADIUS y portal cautivo como métodos de autenticación para dispositivos que requieren conectarse a una red. Puede utilizar la característica de orden de autenticación flexible para especificar el orden de los métodos de autenticación que utiliza el conmutador al intentar autenticar un cliente. Si se configuran varios métodos de autenticación en una sola interfaz, cuando se produce un error en un método de autenticación, el conmutador recurre a otro método. Para obtener más información, lea este tema.
Configuración del orden de autenticación flexible
Puede utilizar la característica de orden de autenticación flexible para especificar el orden de los métodos de autenticación que utiliza el conmutador al intentar autenticar un cliente. Si se configuran varios métodos de autenticación en una sola interfaz, cuando se produce un error en un método de autenticación, el conmutador recurre a otro método.
De forma predeterminada, el conmutador intenta autenticar primero un cliente mediante la autenticación 802.1X. Si se produce un error en la autenticación 802.1X porque no hay respuesta del cliente y la autenticación MAC RADIUS está configurada en la interfaz, el conmutador intentará autenticarse mediante MAC RADIUS. Si MAC RADIUS falla y el portal cautivo está configurado en la interfaz, el conmutador intenta la autenticación mediante el portal cautivo.
Con un orden de autenticación flexible, la secuencia del método de autenticación utilizado se puede cambiar según el tipo de clientes conectados a la interfaz. Puede configurar la instrucción para especificar si la autenticación 802.1X o la autenticación MAC RADIUS deben ser el primer método de autenticación que se intente.authentication-order El portal cautivo es siempre el último método de autenticación que se intenta.
Si la autenticación MAC RADIUS está configurada como el primer método de autenticación del orden, al recibir datos de cualquier cliente, el conmutador intenta autenticar el cliente mediante la autenticación MAC RADIUS. Si se produce un error en la autenticación MAC RADIUS, el conmutador utiliza la autenticación 802.1X para autenticar al cliente. Si se produce un error en la autenticación 802.1X y el portal cautivo está configurado en la interfaz, el conmutador intenta la autenticación mediante el portal cautivo.
Si la autenticación 802.1X y la autenticación MAC RADIUS fallan, y el portal cautivo no está configurado en la interfaz, se deniega al cliente el acceso a la LAN a menos que se configure un método de reserva de error del servidor. Consulte Configuración de la reserva de errores del servidor RADIUS (procedimiento de CLI) para obtener más información.Configuración de la reserva de error del servidor RADIUS (procedimiento de la CLI)
Se pueden utilizar diferentes métodos de autenticación en paralelo en una interfaz configurada en modo de súplica múltiple. Por lo tanto, si un dispositivo final se autentica en la interfaz mediante el portal cautivo, se puede seguir autenticando otro dispositivo final conectado a esa interfaz mediante la autenticación 802.1X o MAC RADIUS.
Antes de configurar el orden de autenticación flexible en una interfaz, asegúrese de que los métodos de autenticación estén configurados en esa interfaz. El conmutador no intenta autenticarse mediante un método que no está configurado en la interfaz, incluso si ese método está incluido en el orden de autenticación; El modificador pasa por alto ese método e intenta el método siguiente en el orden de autenticación habilitado en esa interfaz.
Utilice las instrucciones siguientes al configurar la instrucción:authentication-order
El orden de autenticación debe incluir al menos dos métodos de autenticación.
La autenticación 802.1X debe ser uno de los métodos incluidos en el orden de autenticación.
Si el portal cautivo se incluye en el orden de autenticación, debe ser el último método del pedido.
Si está configurado en una interfaz, el orden de autenticación no se puede configurar en esa interfaz.
mac-radius-restrict
Para configurar un orden de autenticación flexible, utilice una de las siguientes combinaciones válidas:
El orden de autenticación se puede configurar globalmente usando la opción, así como localmente usando el nombre de interfaz individual.interface all Si el orden de autenticación está configurado tanto para una interfaz individual como para todas las interfaces, la configuración local de esa interfaz invalida la configuración global.
Después de configurar el orden de autenticación, debe utilizar el comando para realizar cualquier modificación en el orden de autenticación.insert El uso del comando no cambia el orden configurado.set
Para cambiar el orden de autenticación después de la configuración inicial:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order authentication-method before authentication-method
Por ejemplo, para cambiar el orden de a :[mac-radius dot1x captive portal][dot1x mac-radius captive portal]
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order dot1x before mac-radius
Consulte también
Configuración del bloque EAPoL para mantener una sesión de autenticación existente
Cuando un conmutador que actúa como autenticador 802.1X recibe un mensaje EAP-Start de un cliente autenticado, el conmutador intenta volver a autenticar al cliente mediante el método 802.1X y normalmente devuelve un mensaje EAP-Request y espera una respuesta. Si el cliente no responde, el conmutador intenta volver a autenticar al cliente mediante MAC RADIUS o el método del portal cautivo si estos métodos estaban configurados. Los clientes que se han autenticado mediante MAC RADIUS o la autenticación de portal cautivo no responden y el tráfico se deja caer en la interfaz cuando el conmutador intenta volver a autenticarse.
Si ha configurado un orden de autenticación flexible en la interfaz para que MAC RADIUS sea el primer método utilizado para autenticar a un cliente, el conmutador seguirá utilizando 802.1X para la reautenticación si el cliente envía un mensaje EAP-Start, incluso si el cliente se autenticó correctamente mediante la autenticación MAC RADIUS. Puede configurar un bloque EAPoL con un orden de autenticación fijo o flexible. Si no configura la instrucción, el orden se fija de forma predeterminada.authentication-order La instrucción se puede configurar con o sin la configuración de la instrucción.eapol-blockauthentication-order
Puede configurar un conmutador para omitir los mensajes EAP-Start enviados desde un cliente que se haya autenticado mediante la autenticación MAC RADIUS o la autenticación de portal cautivo mediante la instrucción.eapol-block Con un bloque de mensajes EAPoL en efecto, si el conmutador recibe un mensaje EAP-Start del cliente, no devuelve un mensaje EAP-Request y se mantiene la sesión de autenticación existente.
Si el extremo no se autenticó con autenticación MAC RADIUS o autenticación de portal cautivo, el bloque EAPoL no surte efecto. El extremo puede autenticarse mediante la autenticación 802.1X.
Si está configurado con la opción, una vez que el cliente se autentica con autenticación MAC RADIUS o CWA (autenticación web central), el cliente permanece en estado autenticado incluso si envía un mensaje EAP-Start.eapol-blockmac-radius Si está configurado con la opción, una vez que el cliente se autentica con el portal cautivo, el cliente permanece en estado autenticado incluso si envía un mensaje EAP-Start.eapol-blockcaptive-portal
Esta función es compatible con los conmutadores EX4300 y EX9200.
Para configurar un bloque de mensajes EAPoL para mantener una sesión de autenticación existente: