Ejemplo: Configuración del 802.1X en salas de conferencias para proporcionar acceso a Internet a los visitantes corporativos en un enrutador de la serie MX
A partir de Junos OS versión 14.2, 802.1X en enrutadores serie MX proporciona acceso LAN a los usuarios que no tienen credenciales en la base de datos RADIUS. Estos usuarios, denominados invitados, se autentican y, por lo general, se les proporciona acceso a Internet.
En este ejemplo se describe cómo crear una VLAN invitada y configurar la autenticación 802.1X para ella.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 14.2 o posterior para enrutadores MX240, MX480 o MX960 que se ejecutan en modo LAN mejorado.
Un enrutador que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de conectar el servidor al enrutador, asegúrese de que dispone de:
Se configuró el modo LAN mejorado en el enrutador.
Se realizó la configuración básica de puentes y VLAN en el enrutador.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
El enrutador de la serie MX actúa como una entidad de acceso de puerto (PAE) autenticadora. Bloquea todo el tráfico y actúa como una puerta de control hasta que el suplicante (cliente) es autenticado por el servidor. A todos los demás usuarios y dispositivos se les niega el acceso.
Considere un enrutador de la serie MX que funciona como un puerto de autenticación. Se conecta mediante la interfaz, ge-0/0/10, a través de la red IP a un servidor RADIUS. El enrutador también está vinculado a una sala de conferencias que utiliza la interfaz, ge-0/0/1, a una impresora que utiliza la interfaz, ge-0/0/20, a un concentrador que utiliza la interfaz, ge-0/0/8, y a dos suplicantes o clientes a través de interfaces, ge-0/0/2 y ge-0/0/9 respectivamente.
Propiedad | Configuraciones |
---|---|
Hardware del enrutador |
Enrutador serie MX |
Nombre de VLAN |
default |
Un servidor RADIUS |
Base de datos backend con una dirección de 10.0.0.100 conectado al conmutador en el puerto ge-0/0/10 |
En este ejemplo, la interfaz ge-0/0/1 de acceso proporciona conectividad LAN en la sala de conferencias. Configure esta interfaz de acceso para proporcionar conectividad LAN a los visitantes de la sala de conferencias que no estén autenticados por la VLAN corporativa.
Configuración de una VLAN invitada que incluye autenticación 802.1X
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente una VLAN invitada, con autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans bridge-domain-name vlan-id 300 set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Procedimiento paso a paso
Para configurar una VLAN de invitado que incluya autenticación 802.1X en enrutadores de la serie MX:
Configure el ID de VLAN para la VLAN invitada:
[edit] user@switch# set bridge-domains bridge-domain-name vlan-id 300
Configure la VLAN invitada en los protocolos dot1x:
[edit] user@switch# set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration protocols { dot1x { authenticator { interface { all { guest-bridge-domain { bridge-domain-name; } } } } } } } bridge-domains { bridge-domain-name { vlan-id 300; } }
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de que la VLAN de invitado está configurada
Propósito
Compruebe que se haya creado la VLAN invitada y que se haya producido un error en la autenticación de la interfaz y se haya movido a la VLAN invitada.
Acción
Utilice los comandos del modo operativo:
user@switch> show bridge-domain Instance Bridging Domain Type Primary Table Active vs1 dynamic bridge bridge.0 2 vs1 guest bridge bridge.0 0 vs1 guest-vlan bridge bridge.0 0 vs1 vlan_dyn bridge bridge.0 0 user@switch> show dot1x interface ge-0/0/1.0 detail ge-0/0/1.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: guest-vlan Number of connected supplicants: 1 Supplicant: user1, 00:00:00:00:13:23 Operational state: Authenticated Authentication method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds
Significado
El resultado del show bridge domain
comando muestra bridge-domain-name como el nombre de la VLAN y el ID de VLAN como 300.
El resultado del show dot1x interface ge-0/0/1.0 detail
comando muestra el nombre de dominio del puente, lo que indica que un suplicante en esta interfaz falló la autenticación 802.1X y se pasó al nombre de dominio del puente.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.