Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación de portal cautivo

Puede controlar el acceso a la red a través de un conmutador mediante varias autentificaciones diferentes. Los conmutadores Junos OS admiten 802.1X, MAC RADIUS y portal cautivo como métodos de autenticación para dispositivos que requieren conectarse a una red. Puede configurar la autenticación de portal cautivo en un conmutador para redirigir las solicitudes del explorador web a una página de inicio de sesión que requiera que el usuario escriba un nombre de usuario y una contraseña. Para obtener más información, lea este tema.

Ejemplo: Configuración de la autenticación de portal cautivo en un conmutador de la serie EX

Puede configurar la autenticación de portal cautivo (en adelante, portal cautivo) en un conmutador para redirigir las solicitudes del explorador web a una página de inicio de sesión que requiera que el usuario introduzca un nombre de usuario y una contraseña. Tras una autenticación exitosa, el usuario puede continuar con la solicitud de página original y el acceso posterior a la red.

En este ejemplo se describe cómo configurar un portal cautivo en un conmutador de la serie EX:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador de la serie EX compatible con un portal cautivo

  • Junos OS versión 10.1 o posterior para conmutadores serie EX

Antes de comenzar, asegúrese de contar con lo siguiente:

Descripción general y topología

En este ejemplo se muestra la configuración necesaria en el conmutador para habilitar el portal cautivo en una interfaz. Para permitir que una impresora conectada a la interfaz del portal cautivo acceda a la LAN sin pasar por el portal cautivo, agregue su dirección MAC a la lista de autenticación permitida. Las direcciones MAC de esta lista tienen acceso permitido en la interfaz sin portal cautivo.

Topología

La topología de este ejemplo consta de un conmutador de la serie EX conectado a un servidor de autenticación RADIUS. Una interfaz en el conmutador está configurada para el portal cautivo. En este ejemplo, la interfaz se configura en modo suplicante múltiple.

Configuración

Para configurar el portal cautivo en el conmutador:

Configuración rápida de CLI

Para configurar rápidamente el portal cautivo en el conmutador después de completar las tareas de la sección Requisitos, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar el portal cautivo en el conmutador:

  1. Defina la dirección IP del servidor, el número de puerto de autenticación del servidor y configure la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor:

  2. Configure el orden de autenticación, haciendo que el primer método de autenticación:radius

  3. Configure la dirección IP del servidor que se intentará para autenticar al solicitante:

  4. Habilite el acceso HTTP en el conmutador:

  5. Para crear un canal seguro para el acceso web al conmutador, configure el portal cautivo para HTTPS:

    Nota:

    Puede habilitar HTTP sin habilitar HTTPS, pero recomendamos HTTPS por motivos de seguridad.

    Procedimiento paso a paso
    1. Asocie el certificado de seguridad con el servidor web y habilite el acceso HTTPS en el conmutador:

    2. Configure el portal cautivo para usar HTTPS:

  6. Habilite una interfaz para el portal cautivo:

  7. Especifique el nombre del perfil de acceso que se utilizará para la autenticación del portal cautivo:

  8. (Opcional) Permitir que clientes específicos omitan el portal cautivo:

    Nota:

    Si el cliente ya está conectado al conmutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el comando después de agregar su dirección MAC a la lista de permitidos.clear captive-portal mac-address mac-address De lo contrario, la nueva entrada para la dirección MAC no se agregará a la tabla de conmutación Ethernet y no se permitirá la omisión de autenticación.

    Nota:

    Opcionalmente, puede usar para limitar el ámbito a la interfaz.set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0

  9. (Opcional) Para redirigir a los clientes a una página especificada en lugar de a la página que solicitaron originalmente, configure la dirección URL posterior a la autenticación:

Resultados

Mostrar los resultados de la configuración:

Verificación

Para confirmar que el portal cautivo está configurado y funciona correctamente, realice estas tareas:

Comprobación de que el portal cautivo está habilitado en la interfaz

Propósito

Verifique que el portal cautivo esté configurado en la interfaz ge-0/0/10.

Acción

Utilice el comando del modo operativo:show captive-portal interface interface-name detail

Significado

El resultado confirma que el portal cautivo está configurado en la interfaz ge-0/0/10 con la configuración predeterminada para número de reintentos, período de silencio, tiempo de espera de sesión CP y tiempo de espera del servidor.

Comprobar que el portal cautivo funciona correctamente

Propósito

Compruebe que el portal cautivo funciona en el conmutador.

Acción

Conecte un cliente a la interfaz ge-0/0/10. Desde el cliente, abra un navegador web y solicite una página web. Debe mostrarse la página de inicio de sesión del portal cautivo que diseñó . Después de introducir su información de inicio de sesión y autenticarse en el servidor RADIUS, el explorador web debe mostrar la página que solicitó o la URL posterior a la autenticación que configuró.

Solución de problemas

Para solucionar problemas del portal cautivo, realice estas tareas:

Solución de problemas del portal cautivo

Problema

El conmutador no devuelve la página de inicio de sesión del portal cautivo cuando un usuario conectado a una interfaz de portal cautivo en el conmutador solicita una página web.

Solución

Puede examinar los contadores ARP, DHCP, HTTPS y DNS; si uno o más de estos contadores no se incrementan, esto proporciona una indicación de dónde radica el problema. Por ejemplo, si el cliente no puede obtener una dirección IP, compruebe la interfaz del conmutador para determinar si el contador DHCP se incrementa; si el contador se incrementa, el conmutador recibió el paquete DHCP.

Configuración de la autenticación del portal cautivo (procedimiento de la CLI)

Configure la autenticación de portal cautivo (en adelante, portal cautivo) en un conmutador de la serie EX para que los usuarios conectados al conmutador se autentiquen antes de que se les permita acceder a la red. Cuando el usuario solicita una página web, se muestra una página de inicio de sesión que requiere que el usuario ingrese un nombre de usuario y una contraseña. Tras una autenticación exitosa, el usuario puede continuar con la solicitud de página original y el acceso posterior a la red.

Antes de comenzar, asegúrese de contar con lo siguiente:

En este tema verá las siguientes secciones:

Configuración del acceso seguro para el portal cautivo

Para configurar el acceso seguro para el portal cautivo:

  1. Habilite el acceso HTTP en el conmutador:
  2. Asocie el certificado de seguridad con el servidor web y habilite el acceso HTTPS en el conmutador:
    Nota:

    Puede habilitar HTTP sin HTTPS, pero recomendamos HTTPS por motivos de seguridad.

  3. Configure el portal cautivo para usar HTTPS:

Habilitación de una interfaz para el portal cautivo

Para habilitar una interfaz para el portal cautivo:

Por ejemplo, para habilitar el portal cautivo en la interfaz ge-0/0/10:

Configuración de la omisión de autenticación del portal cautivo

Para permitir que clientes específicos omitan el portal cautivo:

Por ejemplo, para permitir que clientes específicos omitan el portal cautivo:

Nota:

Opcionalmente, puede usar para limitar el ámbito a la interfaz.set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0

Nota:

Si el cliente ya está conectado al conmutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el comando después de agregar su dirección MAC a la lista de permitidos.clear captive-portal mac-address mac-address De lo contrario, la nueva entrada para la dirección MAC no se agregará a la tabla de conmutación Ethernet y no se permitirá la omisión de autenticación.

Diseño de una página de inicio de sesión de autenticación de portal cautivo en conmutadores

Puede configurar la autenticación de portal cautivo en el conmutador para redirigir todas las solicitudes del explorador web a una página de inicio de sesión que requiera que los usuarios ingresen un nombre de usuario y una contraseña antes de que se les permita el acceso. Tras una autenticación exitosa, los usuarios pueden acceder a la red y son redirigidos a la página original solicitada.

Junos OS proporciona una plantilla personalizable para la ventana del portal cautivo que le permite diseñar y modificar fácilmente el aspecto de la página de inicio de sesión del portal cautivo. Puede modificar los elementos de diseño de la plantilla para cambiar el aspecto de la página de inicio de sesión del portal cautivo y para agregar instrucciones o información a la página. También puede modificar cualquiera de los elementos de diseño de una página de inicio de sesión de portal cautivo.

La primera pantalla que se muestra antes de la página de inicio de sesión cautivo requiere que el usuario lea los términos y condiciones de uso. Al hacer clic en el botón Aceptar, el usuario puede acceder a la página de inicio de sesión del portal cautivo.

Figura 1 muestra un ejemplo de una página de inicio de sesión de portal cautivo:

Figura 1: Ejemplo de una página de inicio de sesión de portal cautivoEjemplo de una página de inicio de sesión de portal cautivo

Tabla 1 Resume los elementos configurables de una página de inicio de sesión de portal cautivo.

Tabla 1: Elementos configurables de una página de inicio de sesión de portal cautivo
Elemento Declaración de CLI Description

Color de fondo del pie de página

footer-bgcolor hex-color

Código hexadecimal HTML para el color de fondo del pie de página de inicio de sesión del portal cautivo.

Mensaje de pie de página

footer-message text-string

Texto que se muestra en el pie de página de la página de inicio de sesión del portal cautivo. Puede incluir información de derechos de autor, vínculos e información adicional, como instrucciones de ayuda, avisos legales o una política de privacidad.

El texto predeterminado que se muestra en el pie de página es Copyright @2010, Juniper Networks Inc.

Color del texto del pie de página

footer- text-color color

Color del texto en el pie de página. El color predeterminado es blanco.

Color de fondo del encabezado del formulario

form-header-bgcolor hex-color

El código hexadecimal HTML para el color de fondo de la barra de encabezado en la parte superior del área del formulario de la página de inicio de sesión del portal cautivo.

Mensaje de encabezado de formulario

form-header-message text-string

Texto que se muestra en el encabezado de la página de inicio de sesión del portal cautivo. El texto predeterminado es .Captive Portal User Authentication

Color del texto del encabezado del formulario

form-header- text- color color

Color del texto en el encabezado del formulario. El color predeterminado es negro.

Etiqueta del botón de restablecimiento del formulario

form-reset-label label-name

Con el botón, el usuario puede borrar los campos de nombre de usuario y contraseña del formulario.Reset

Etiqueta del botón de envío de formulario

form-submit-label label-name

Usando el botón, el usuario puede enviar la información de inicio de sesión.Login

Color de fondo del encabezado

header-bgcolor hex-color

El código hexadecimal HTML para el color de fondo del encabezado de la página de inicio de sesión del portal cautivo.

Logotipo del encabezado

header-logo filename

Nombre de archivo del archivo que contiene la imagen del logotipo que desea que aparezca en el encabezado de la página de inicio de sesión del portal cautivo. El archivo de imagen puede estar en formato GIF, JPEG o PNG.

Puede cargar un archivo de imagen de logotipo en el conmutador. Copie el logotipo en el directorio /var/tmp del conmutador (durante la confirmación, los archivos se guardan en ubicaciones persistentes).

Si no especifica una imagen de logotipo, se muestra el logotipo de Juniper Networks.

Mensaje de encabezado

header-message text-string

Texto mostrado en el encabezado de la página. El texto predeterminado es .User Authentication

Color del texto del encabezado

header-text- colorcolor

Color del texto en el encabezado. El color predeterminado es blanco.

URL posterior a la autenticación

post-authentication-url url

URL a la que se dirigen los usuarios en la autenticación correcta. De forma predeterminada, los usuarios son dirigidos a la página que habían solicitado originalmente.

Para diseñar la página de inicio de sesión del portal cautivo:

  1. (Opcional) Cargue el archivo de imagen de su logotipo en el conmutador:
  2. Configure las opciones personalizadas para especificar los colores de fondo y el texto que se muestra en la página del portal cautivo:

Ahora puede confirmar la configuración.

Nota:

Para las opciones personalizadas que no especifique, se utilizará el valor predeterminado.

Configuración de la autenticación de portal cautivo (procedimiento de la CLI) en un conmutador de la serie EX con soporte ELS

Nota:

Esta tarea utiliza Junos OS para conmutadores compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte Configuración de la autenticación del portal cautivo (procedimiento de la CLI). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Configure la autenticación de portal cautivo (en adelante, portal cautivo) en un conmutador para que los usuarios conectados al conmutador se autentiquen antes de que se les permita acceder a la red. Cuando el usuario solicita una página web, se muestra una página de inicio de sesión que requiere que el usuario ingrese un nombre de usuario y una contraseña. Tras una autenticación exitosa, el usuario puede continuar con la solicitud de página original y el acceso posterior a la red.

Antes de comenzar, asegúrese de contar con lo siguiente:

En este tema verá las siguientes secciones:

Configuración del acceso seguro para el portal cautivo

Para configurar el acceso seguro para el portal cautivo:

  1. Asocie el certificado de seguridad con el servidor web y habilite HTTPS en el conmutador:
    Nota:

    Puede habilitar HTTP en lugar de HTTPS, pero recomendamos HTTPS por motivos de seguridad.

  2. Configure el portal cautivo para usar HTTPS:

Habilitación de una interfaz para el portal cautivo

Para habilitar una interfaz para su uso con autenticación de portal cautivo:

Configuración de la omisión de autenticación del portal cautivo

Puede permitir que clientes específicos omitan la autenticación del portal cautivo:

Nota:

Opcionalmente, puede usar para limitar el ámbito a la interfaz.set switch-options authentication-whitelist mac-address interface interface-name

Nota:

Si el cliente ya está conectado al conmutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el comando después de agregar su dirección MAC a la lista de permitidos.clear captive-portal mac-address session-mac-addr De lo contrario, la nueva entrada para la dirección MAC no se agrega a la tabla de conmutación Ethernet y no se permite la omisión de autenticación.

Ejemplo: Configuración de la autenticación de portal cautivo en un conmutador de la serie EX con soporte ELS

Nota:

En este ejemplo se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte el ejemplo: Configuración de la autenticación de portal cautivo en un conmutador de la serie EX. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Puede configurar la autenticación de portal cautivo (en adelante, portal cautivo) en un conmutador para redirigir las solicitudes del explorador web a una página de inicio de sesión que requiera que el usuario introduzca un nombre de usuario y una contraseña. Tras una autenticación exitosa, el usuario puede continuar con la solicitud de página original y el acceso posterior a la red.

En este ejemplo se describe cómo configurar un portal cautivo en un conmutador de la serie EX:

Requisitos

En este ejemplo se utilizan los siguientes componentes de software y hardware:

  • Junos OS versión 13.2X50 o posterior para conmutadores serie EX

  • Un conmutador de la serie EX compatible con ELS

Antes de comenzar, asegúrese de contar con lo siguiente:

Descripción general y topología

En este ejemplo se muestra la configuración necesaria en el conmutador para habilitar el portal cautivo en una interfaz. Para permitir que una impresora conectada a la interfaz del portal cautivo acceda a la LAN, agregue su dirección MAC a la lista de permitidos de autenticación y asígnela a una VLAN, vlan1. Las direcciones MAC de esta lista tienen acceso a la interfaz sin autenticación de portal cautivo.

Topología

La topología de este ejemplo consta de un conmutador de la serie EX conectado a un servidor de autenticación RADIUS. Una interfaz en el conmutador está configurada para el portal cautivo. En este ejemplo, la interfaz se configura en modo suplicante múltiple.

Configuración

Para configurar el portal cautivo en el conmutador:

Configuración rápida de CLI

Para configurar rápidamente el portal cautivo en el conmutador después de completar las tareas de la sección Requisitos, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso
  1. Para crear un canal seguro para el acceso web al conmutador, configure el portal cautivo para HTTPS:

    Procedimiento paso a paso
    1. Asocie el certificado de seguridad con el servidor web y habilite HTTPS en el conmutador:

      Nota:

      Puede habilitar HTTP en lugar de HTTPS, pero le recomendamos que habilite HTTPS por motivos de seguridad.

    2. Configure el portal cautivo para usar HTTPS:

  2. Habilite una interfaz para el portal cautivo:

  3. (Opcional) Permitir que clientes específicos omitan la autenticación del portal cautivo:

    Nota:

    Si el cliente ya está conectado al conmutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el comando después de agregar su dirección MAC a la lista de permitidos.clear captive-portal mac-address mac-address De lo contrario, la nueva entrada para la dirección MAC no se agregará a la tabla de conmutación Ethernet y no se permitirá la omisión de autenticación.

    Nota:

    Opcionalmente, puede usar para limitar el ámbito a la interfaz.set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0

  4. (Opcional) Para redirigir a los clientes a una página especificada en lugar de a la página que solicitaron originalmente, configure la dirección URL posterior a la autenticación:

Resultados

Mostrar los resultados de la configuración:

Verificación

Para confirmar que la autenticación del portal cautivo está configurada y funciona correctamente, realice estas tareas:

Comprobación de que el portal cautivo está habilitado en la interfaz

Propósito

Verifique que el portal cautivo esté configurado en la interfaz ge-0/0/10.

Acción

Utilice el comando del modo operativo:show captive-portal interface interface-name detail

Significado

El resultado confirma que el portal cautivo está configurado en la interfaz , con la configuración predeterminada para número de reintentos, período de silencio, tiempo de espera de sesión CP y tiempo de espera del servidor.ge-0/0/10

Comprobar que el portal cautivo funciona correctamente

Propósito

Compruebe que el portal cautivo funciona en el conmutador.

Acción

Conecte un cliente a la interfaz ge-0/0/10. Desde el cliente, abra un navegador web y solicite una página web. Debe mostrarse la página de inicio de sesión del portal cautivo que diseñó . Después de introducir su información de inicio de sesión y autenticarse en el servidor RADIUS, el explorador web debe mostrar la página que solicitó o la URL posterior a la autenticación que configuró.

Solución de problemas

Para solucionar problemas del portal cautivo, realice esta tarea:

Solución de problemas del portal cautivo

Problema

El conmutador no devuelve la página de inicio de sesión del portal cautivo cuando un usuario conectado a una interfaz de portal cautivo en el conmutador solicita una página web.

Solución

Puede examinar los contadores ARP, DHCP, HTTPS y DNS; si uno o más de estos contadores no se incrementan, esto proporciona una indicación de dónde radica el problema. Por ejemplo, si el cliente no puede obtener una dirección IP, puede comprobar la interfaz del conmutador para determinar si el contador DHCP se incrementa; si el contador se incrementa, el conmutador recibió el paquete DHCP.