Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de 802.1X para enrutadores de la serie MX en modo LAN mejorado

A partir de Junos OS versión 14.2, IEEE 802.1X proporciona seguridad de borde de red, protegiendo las LAN Ethernet del acceso no autorizado de usuarios. La compatibilidad se implementa para controlar el acceso a la red a través de un enrutador de la serie MX mediante varios métodos de autenticación diferentes, como 802.1X, MAC RADIUS o un portal cautivo.

Esta funcionalidad es compatible con los siguientes MPC en enrutadores MX240, MX480 y MX960 en modo LAN mejorado:

  • MPC4E con dos puertos 100 Gigabit Ethernet y ocho puertos 10 Gigabit Ethernet

  • MPC4E con treinta y dos puertos 10 Gigabit Ethernet

  • MPC3E que contiene un MIC de 2 puertos y 40 Gigabit Ethernet con QSFP+

  • MPC1E con cuarenta puertos 1 Gigabit Ethernet o veinte puertos 1 Gigabit Ethernet

Debe reiniciar el enrutador cuando configure o elimine el modo LAN mejorado en el enrutador. La configuración de la opción implica que el sistema se está ejecutando en el modo IP mejorado.network-services lan Cuando configura un dispositivo para que funcione en modo MX-LAN, en la interfaz de la CLI solo se muestran las instrucciones de configuración compatibles y los comandos operational show que están disponibles para habilitarse o visualizarse en este modo. Si el sistema contiene parámetros que no son compatibles con el modo MX-LAN en un archivo de configuración, no puede confirmar esos atributos no compatibles. Debe quitar la configuración que no sea compatible y, a continuación, confirmar la configuración. Después de la confirmación correcta de la CLI, es necesario reiniciar el sistema para que los atributos sean efectivos. Del mismo modo, si quita la instrucción, el sistema no se ejecuta en modo MX-LAN.network-services lan Por lo tanto, todas las configuraciones compatibles fuera del modo MX-LAN se muestran y están disponibles para su definición en la interfaz de la CLI. Si el archivo de configuración contiene valores que solo se admiten en el modo MX-LAN, debe quitar esos atributos antes de confirmar la configuración. Después de la confirmación correcta de la CLI, será necesario reiniciar el sistema para que la configuración de CLI surta efecto. Los valores de configuración de la CLI de próxima generación de capa 2 se admiten en el modo MX-LAN. Como resultado, el formato típico de la serie MX de las configuraciones de CLI puede diferir en el modo MX-LAN.

Esta funcionalidad se admite en una combinación de chasis virtual de la serie MX que funciona en modo LAN mejorado (introduciendo la instrucción en el nivel de jerarquía).network-services lan[edit chassis] El control de acceso a la red basado en puertos se admite en enrutadores MX240, MX480 y MX960 con MPC tanto en el modo MX-LAN como en el modo no MX-LAN (con otros modos de servicios de red admitidos en MPC en estos enrutadores). Para configurar el protocolo de control de acceso a la red basado en puerto (PNAC) IEEE 802.1x en interfaces Ethernet, debe configurar la instrucción en el nivel de jerarquía.authenticator[edit protocols authentication-access- control] También puede configurar la autenticación de portal cautivo en un enrutador para que los usuarios conectados al conmutador se autentiquen antes de que se les permita acceder a la red. También puede configurar el servicio de control de acceso de Junos Pulse como la política de acceso para autenticar y autorizar a los usuarios conectados al conmutador para la admisión a la red y para el acceso a los recursos de red protegidos mediante la instrucción.uac-policy

Cómo funciona la autenticación 802.1X

La autenticación 802.1X funciona mediante el uso de un (el conmutador) para bloquear todo el tráfico hacia y desde un suplicante (dispositivo final) en el puerto hasta que las credenciales del suplicante se presenten y coincidan en el (un servidor RADIUS).Authenticator Port Access EntityAuthentication server Cuando se autentica, el conmutador deja de bloquear el tráfico y abre el puerto al solicitante.

El dispositivo final se autentica en modo , modo o modo:singlesingle-securemultiple

  • single: autentica solo el primer dispositivo final. Todos los demás dispositivos finales que se conectan más tarde al puerto tienen acceso completo sin ninguna autenticación adicional. Efectivamente "se aprovechan" de la autenticación de los dispositivos finales.

  • single-secure: permite que solo un dispositivo final se conecte al puerto. No se permite que ningún otro dispositivo final se conecte hasta que se cierre la primera sesión.

  • multiple: permite que varios dispositivos finales se conecten al puerto. Cada dispositivo final se autenticará individualmente.

El acceso a la red se puede definir aún más mediante VLAN y filtros de firewall, que actúan como filtros para separar y hacer coincidir grupos de dispositivos finales con las áreas de la LAN que requieren. Por ejemplo, puede configurar VLAN para controlar diferentes categorías de errores de autenticación en función de:

  • Si el dispositivo final está habilitado para 802.1X o no.

  • Si se ha configurado o no la autenticación MAC RADIUS en las interfaces de conmutador a las que están conectados los hosts.

  • Si el servidor de autenticación RADIUS deja de estar disponible o envía un mensaje de rechazo de acceso RADIUS. Consulte Configuración de la reserva de errores del servidor RADIUS (procedimiento de la CLI).Configuración de la reserva de error del servidor RADIUS (procedimiento de la CLI)

Descripción general de las características de 802.1X

Nota:

Las funciones 802.1X disponibles en los enrutadores de la serie MX dependen del conmutador que esté utilizando.

Las características de 802.1X de los enrutadores de la serie MX de Juniper Networks son:

  • VLAN invitada: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales que no responden y que no están habilitados para 802.1X cuando no se ha configurado la autenticación MAC RADIUS en las interfaces del conmutador a las que están conectados los hosts. Además, se puede utilizar una VLAN invitada para proporcionar acceso limitado a una LAN para usuarios invitados. Normalmente, la VLAN de invitado proporciona acceso solo a Internet y a los dispositivos finales de otros invitados.

  • VLAN de rechazo de servidor: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales con capacidad de respuesta habilitados para 802.1X pero que enviaron credenciales incorrectas.

  • VLAN con error de servidor: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales 802.1X durante un tiempo de espera del servidor RADIUS.

  • VLAN dinámica: permite que un dispositivo final, después de la autenticación, sea miembro de una VLAN dinámicamente.

  • VLAN privada: permite configurar la autenticación 802.1X en interfaces que son miembros de VLAN privadas (PVLAN).

  • Cambios dinámicos en una sesión de usuario: permite al administrador del conmutador finalizar una sesión ya autenticada. Esta característica se basa en la compatibilidad con el mensaje de desconexión RADIUS definido en RFC 3576.

  • Contabilidad RADIUS: envía información contable al servidor de contabilidad RADIUS. La información contable se envía al servidor cada vez que un suscriptor inicia o cierra sesión y cada vez que un suscriptor activa o desactiva una suscripción.

Funciones compatibles con la autenticación 802.1X

802.1X no sustituye a otras tecnologías de seguridad. 802.1X funciona junto con funciones de seguridad de puertos, como espionaje DHCP, inspección ARP dinámica (DAI) y limitación de MAC, para protegerse contra la suplantación de identidad.

Las características admitidas relacionadas con la autenticación incluyen:

  • Derivación de MAC estática: proporciona un mecanismo de derivación para autenticar dispositivos que no están habilitados para 802.1X (como impresoras). La derivación de MAC estática conecta estos dispositivos a puertos habilitados para 802.1X, sin pasar por la autenticación 802.1X.

  • Autenticación MAC RADIUS: proporciona un medio para activar o desactivar la autenticación MAC independientemente de si la autenticación 802.1X está habilitada.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
14.2
A partir de Junos OS versión 14.2, IEEE 802.1X proporciona seguridad de borde de red, protegiendo las LAN Ethernet del acceso no autorizado de usuarios. La compatibilidad se implementa para controlar el acceso a la red a través de un enrutador de la serie MX mediante varios métodos de autenticación diferentes, como 802.1X, MAC RADIUS o un portal cautivo.