Descripción general del 802.1X para enrutadores de la serie MX en modo LAN mejorado
A partir de junos os versión 14.2, IEEE 802.1X ofrece seguridad de borde de red y protege las LAN Ethernet de acceso de usuarios no autorizados. La compatibilidad se implementa para controlar el acceso a la red a través de un enrutador serie MX mediante el uso de varios métodos de autenticación diferentes, como 802.1X, MAC RADIUS o un portal cautivo.
Esta funcionalidad se admite en los siguientes MPC en enrutadores MX240, MX480 y MX960 en modo LAN mejorado:
MPC4E con dos puertos 100 Gigabit Ethernet y ocho puertos 10 Gigabit Ethernet
MPC4E con treinta y dos puertos Ethernet de 10 Gigabit
MPC3E que contiene un MIC Ethernet de 40 Gigabit de 2 puertos con QSFP+
MPC1E con cuarenta puertos de 1 Gigabit Ethernet o veinte puertos de 1 Gigabit Ethernet
Debe reiniciar el enrutador cuando configure o elimine el modo LAN mejorada en el enrutador. Configurar la network-services lan opción implica que el sistema se está ejecutando en el modo IP mejorado. Cuando configure un dispositivo para que funcione en modo MX-LAN, solo se muestran en la interfaz de CLI las instrucciones de configuración compatibles y los comandos operativos show disponibles para habilitar o ver en este modo. Si el sistema contiene parámetros que no se admiten en el modo MX-LAN en un archivo de configuración, no puede confirmar esos atributos no compatibles. Debe quitar las configuraciones que no son compatibles y, a continuación, confirmar la configuración. Después de la confirmación de CLI correcta, es necesario reiniciar el sistema para que los atributos sean efectivos. De manera similar, si quita la network-services lan instrucción, el sistema no se ejecuta en modo MX-LAN. Por lo tanto, se muestran todas las configuraciones que se admiten fuera del modo MX-LAN y están disponibles para su definición en la interfaz de CLI. Si el archivo de configuración contiene valores que solo se admiten en el modo MX-LAN, debe quitar esos atributos antes de confirmar la configuración. Después de la confirmación correcta de CLI, se necesitará un reinicio del sistema para que la configuración de CLI tenga efecto. La configuración de cli de última generación de la capa 2 se admite en el modo MX-LAN. Como resultado, el formato típico de la serie MX de las configuraciones de CLI puede diferir en el modo MX-LAN.
Esta funcionalidad se admite en una combinación de chasis virtual serie MX que funciona en modo LAN mejorada (ingresando la network-services lan instrucción en el [edit chassis] nivel de jerarquía). El control de acceso de red basado en puertos se admite en enrutadores MX240, MX480 y MX960 con MPC tanto en modo MX-LAN como en modo no MX-LAN (con otros modos de servicios de red compatibles en MPC en estos enrutadores). Para configurar el protocolo PNAC (control de acceso de red basado en puertos) IEEE 802.1x en interfaces Ethernet, debe configurar la authenticator instrucción en el [edit protocols authentication-access- control] nivel jerárquico. También puede configurar la autenticación de portal cautivo en un enrutador para que los usuarios conectados al conmutador se autentifiquen antes de tener acceso a la red. También puede configurar El servicio de control de acceso de Junos Pulse como la política de acceso para autenticar y autorizar a los usuarios conectados al conmutador para la admisión a la red y para el acceso a recursos de red protegidos mediante la uac-policy instrucción.
Cómo funciona la autenticación 802.1X
La autenticación 802.1X funciona mediante Authenticator Port Access Entity un (el conmutador) para bloquear todo el tráfico hacia y desde un suplicante (dispositivo final) en el puerto hasta que las credenciales del suplicante se presentan y coinciden en el Authentication server (un servidor RADIUS). Cuando se autentica, el conmutador deja de bloquear el tráfico y abre el puerto al suplicante.
El dispositivo final se autentica en modo single , single-secure modo o multiple modo:
single— Autentica solo el dispositivo del primer extremo. A todos los demás dispositivos finales que se conectan más tarde al puerto se les permite el acceso completo sin ninguna autenticación adicional. De hecho, se "reservan" en la autenticación de los dispositivos finales.
single-secure— Permite que solo un dispositivo final se conecte al puerto. Ningún otro dispositivo final puede conectarse hasta que la primera sesión se cierra.
multiple— Permite que varios dispositivos finales se conecten al puerto. Cada dispositivo final se autenticará individualmente.
El acceso a la red se puede definir aún más mediante VLAN y filtros de firewall, que actúan como filtros para separar y hacer coincidir grupos de dispositivos finales con las áreas de la LAN que requieren. Por ejemplo, puede configurar VLAN para controlar diferentes categorías de errores de autenticación según:
Si el dispositivo final está habilitado para 802.1X o no.
Si la autenticación MAC RADIUS se ha configurado o no en las interfaces de conmutador a las que están conectados los hosts.
Si el servidor de autenticación RADIUS deja de estar disponible o envía un mensaje RADIUS de rechazo de acceso. Consulte Configuración de reserva por error del servidor RADIUS (procedimiento de CLI).
Descripción general de las características de 802.1X
Las funciones 802.1X disponibles en los enrutadores de la serie MX dependen del conmutador que esté utilizando.
Las características de 802.1X en los enrutadores de la serie MX de Juniper Networks son:
VLAN invitado: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales que no responden y que no están habilitados con la 802.1X cuando la autenticación MAC RADIUS no se ha configurado en las interfaces de conmutador a las que están conectados los hosts. Además, se puede usar una VLAN invitada para proporcionar acceso limitado a una LAN para los usuarios invitados. Por lo general, la VLAN de invitado solo proporciona acceso a Internet y a los dispositivos finales de otros invitados.
VLAN de rechazo de servidor: ofrece acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales responsivos que están habilitados con 802.1X pero que han enviado las credenciales incorrectas.
VLAN con error del servidor: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales 802.1X durante un tiempo de espera del servidor RADIUS.
VLAN dinámica: permite que un dispositivo final, después de la autenticación, sea miembro de una VLAN dinámicamente.
VLAN privada: permite la configuración de la autenticación 802.1X en interfaces que son miembros de VLAN privadas (PVLAN).
Cambios dinámicos en una sesión de usuario: permite al administrador del conmutador finalizar una sesión ya autenticada. Esta función se basa en la compatibilidad con el mensaje de desconexión RADIUS definido en RFC 3576.
Contabilidad RADIUS: envía información de contabilidad al servidor de contabilidad RADIUS. La información de contabilidad se envía al servidor cada vez que un suscriptor inicia sesión o cierra sesión y cada vez que un suscriptor activa o desactiva una suscripción.
Funciones compatibles relacionadas con la autenticación 802.1X
802.1X no sustituye a otras tecnologías de seguridad. 802.1X funciona junto con funciones de seguridad de puerto, como el espiado DHCP, la inspección dinámica de ARP (DAI) y la limitación de MAC, para protegerse de la suplantación.
Las funciones compatibles relacionadas con la autenticación incluyen:
Omisión mac estática: proporciona un mecanismo de omisión para autenticar dispositivos que no están habilitados para 802.1X (como las impresoras). El bypass MAC estático conecta estos dispositivos a puertos habilitados para 802.1X, sin pasar por la autenticación 802.1X.
Autenticación MAC RADIUS: proporciona un medio para habilitar o deshabilitar la autenticación MAC independientemente de si la autenticación 802.1X está habilitada.