Ejemplo: Configuración de 802.1X en salas de conferencias para proporcionar acceso a Internet a los visitantes corporativos en un enrutador serie MX
A partir de Junos OS versión 14.2, 802.1X en enrutadores serie MX ofrece acceso LAN a los usuarios que no tienen credenciales en la base de datos RADIUS. Estos usuarios, conocidos como invitados, se autentican y normalmente se les proporciona acceso a Internet.
En este ejemplo se describe cómo crear una VLAN invitada y configurar la autenticación 802.1X para ella.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 14.2 o posterior para enrutadores MX240, MX480 o MX960 que se ejecutan en modo LAN mejorado.
Un enrutador que actúa como entidad de acceso a puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como la base de datos de backend y contiene información de credenciales para hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de conectar el servidor al enrutador, asegúrese de que tiene lo siguiente:
Configurado el modo LAN mejorado en el enrutador.
Realizó puentes básicos y configuración de VLAN en el enrutador.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
El enrutador de la serie MX actúa como entidad de acceso de puerto (PAE) autenticador. Bloquea todo el tráfico y actúa como una puerta de control hasta que el servidor autentica el suplicante (cliente). A todos los demás usuarios y dispositivos se les niega el acceso.
Considere un enrutador de la serie MX que funcione como un puerto de autenticación. Se conecta mediante la interfaz ge-0/0/10 a través de la red IP a un servidor RADIUS. El enrutador también está vinculado a una sala de conferencias mediante la interfaz, ge-0/0/1, a una impresora que usa la interfaz, ge-0/0/20, a un concentrador que usa la interfaz, ge-0/0/8, y a dos suplicantes o clientes a través de interfaces, ge-0/0/2 y ge-0/0/9 respectivamente.
| Propiedad | Configuración |
|---|---|
Hardware del enrutador |
enrutador serie MX |
Nombre de VLAN |
default |
Un servidor RADIUS |
Base de datos de backend con una dirección de 10.0.0.100 conexión al conmutador en el puerto ge-0/0/10 |
En este ejemplo, la interfaz de ge-0/0/1 acceso proporciona conectividad LAN en la sala de conferencias. Configure esta interfaz de acceso para proporcionar conectividad LAN a los visitantes de la sala de conferencias que no están autenticados por la VLAN corporativa.
Configuración de una VLAN invitada que incluye autenticación 802.1X
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente una VLAN invitada, con autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans bridge-domain-name vlan-id 300 set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Procedimiento paso a paso
Para configurar una VLAN invitada que incluya autenticación 802.1X en enrutadores serie MX:
Configure el ID de VLAN para la VLAN invitada:
[edit] user@switch# set bridge-domains bridge-domain-name vlan-id 300
Configure la VLAN invitada bajo protocolos dot1x:
[edit] user@switch# set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-bridge-domain {
bridge-domain-name;
}
}
}
}
}
}
}
bridge-domains {
bridge-domain-name {
vlan-id 300;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Comprobar que la VLAN de invitado está configurada
Propósito
Compruebe que se creó la VLAN invitada y que se produjo un error en la autenticación de una interfaz y se movió a la VLAN invitada.
Acción
Utilice los comandos del modo operativo:
user@switch> show bridge-domain
Instance Bridging Domain Type
Primary Table Active
vs1 dynamic bridge
bridge.0 2
vs1 guest bridge
bridge.0 0
vs1 guest-vlan bridge
bridge.0 0
vs1 vlan_dyn bridge
bridge.0 0
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El resultado del show bridge domain comando muestra bridge-domain-name como el nombre de la VLAN y el ID de VLAN como 300.
El resultado del show dot1x interface ge-0/0/1.0 detail comando muestra el nombre de dominio de puente, lo que indica que un suplicante en esta interfaz falló la autenticación 802.1X y se pasó a través del nombre de dominio de puente.