Ejemplo: Configuración del 802.1X en salas de conferencias para proporcionar acceso a Internet a los visitantes corporativos en un enrutador de la serie MX
A partir de Junos OS versión 14.2, 802.1X en enrutadores serie MX proporciona acceso LAN a los usuarios que no tienen credenciales en la base de datos RADIUS. Estos usuarios, denominados invitados, se autentican y, por lo general, se les proporciona acceso a Internet.
En este ejemplo se describe cómo crear una VLAN invitada y configurar la autenticación 802.1X para ella.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 14.2 o posterior para enrutadores MX240, MX480 o MX960 que se ejecutan en modo LAN mejorado.
Un enrutador que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de conectar el servidor al enrutador, asegúrese de que dispone de:
Se configuró el modo LAN mejorado en el enrutador.
Se realizó la configuración básica de puentes y VLAN en el enrutador.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
El enrutador de la serie MX actúa como una entidad de acceso de puerto (PAE) autenticadora. Bloquea todo el tráfico y actúa como una puerta de control hasta que el suplicante (cliente) es autenticado por el servidor. A todos los demás usuarios y dispositivos se les niega el acceso.
Considere un enrutador de la serie MX que funciona como un puerto de autenticación. Se conecta mediante la interfaz, ge-0/0/10, a través de la red IP a un servidor RADIUS. El enrutador también está vinculado a una sala de conferencias que utiliza la interfaz, ge-0/0/1, a una impresora que utiliza la interfaz, ge-0/0/20, a un concentrador que utiliza la interfaz, ge-0/0/8, y a dos suplicantes o clientes a través de interfaces, ge-0/0/2 y ge-0/0/9 respectivamente.
| Propiedad | Configuraciones |
|---|---|
Hardware del enrutador |
Enrutador serie MX |
Nombre de VLAN |
default |
Un servidor RADIUS |
Base de datos backend con una dirección de conectado al conmutador en el puerto 10.0.0.100ge-0/0/10 |
En este ejemplo, la interfaz de acceso proporciona conectividad LAN en la sala de conferencias.ge-0/0/1 Configure esta interfaz de acceso para proporcionar conectividad LAN a los visitantes de la sala de conferencias que no estén autenticados por la VLAN corporativa.
Configuración de una VLAN invitada que incluye autenticación 802.1X
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente una VLAN invitada, con autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans bridge-domain-name vlan-id 300 set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Procedimiento paso a paso
Para configurar una VLAN de invitado que incluya autenticación 802.1X en enrutadores de la serie MX:
Configure el ID de VLAN para la VLAN invitada:
[edit] user@switch# set bridge-domains bridge-domain-name vlan-id 300
Configure la VLAN invitada en los protocolos dot1x:
[edit] user@switch# set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-bridge-domain {
bridge-domain-name;
}
}
}
}
}
}
}
bridge-domains {
bridge-domain-name {
vlan-id 300;
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de que la VLAN de invitado está configurada
Propósito
Compruebe que se haya creado la VLAN invitada y que se haya producido un error en la autenticación de la interfaz y se haya movido a la VLAN invitada.
Acción
Utilice los comandos del modo operativo:
user@switch> show bridge-domain
Instance Bridging Domain Type
Primary Table Active
vs1 dynamic bridge
bridge.0 2
vs1 guest bridge
bridge.0 0
vs1 guest-vlan bridge
bridge.0 0
vs1 vlan_dyn bridge
bridge.0 0
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El resultado del comando muestra bridge-domain-name como el nombre de la VLAN y el ID de VLAN como .show bridge domain300
El resultado del comando muestra el nombre de dominio del puente, lo que indica que un suplicante en esta interfaz falló la autenticación 802.1X y se pasó al nombre de dominio del puente.show dot1x interface ge-0/0/1.0 detail
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.