Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configurar el 802.1X en salas de conferencias para proporcionar acceso a Internet a los visitantes corporativos en un conmutador de la serie EX

802.1X en conmutadores de la serie EX proporciona acceso LAN a usuarios que no tienen credenciales en la base de datos RADIUS. Estos usuarios, denominados invitados, se autentican y suelen proporcionar acceso a Internet.

En este ejemplo, se describe cómo crear una VLAN invitada y configurar la autenticación 802.1X para ella.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a conmutadores QFX5100.

  • Junos OS versión 9.0 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX que actúa como una entidad de acceso de puerto (PAE). Las interfaces del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.

  • Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como la base de datos de back-end y contiene información de credenciales para hosts (supplicantes) que tienen permiso para conectarse a la red.

Antes de configurar la autenticación vlan invitada, asegúrese de tener lo siguiente:

Descripción general y topología

Como parte del control de acceso de red basado en puertos (PNAC) IEEE 802.1X, puede proporcionar acceso de red limitado a supplicantes que no pertenecen a un grupo de autenticación VLAN mediante la configuración de autenticación para una VLAN invitada. Por lo general, el acceso vlan invitado se utiliza para proporcionar acceso a Internet a los visitantes de un sitio corporativo. Sin embargo, también puede usar la función VLAN invitado para proporcionar acceso a una VLAN con recursos limitados para suplicantes que no logran la autenticación 802.1X en una LAN corporativa.

Nota:

Esta figura también se aplica a los conmutadores QFX5100.

Topología

Figura 1 muestra la sala de conferencias conectada al conmutador en la interfaz ge-0/0/1.

Figura 1: Ejemplo de topología para VLAN invitadaEjemplo de topología para VLAN invitada
Tabla 1: Componentes de la topología de VLAN invitada
Propiedad Configuración

Hardware del conmutador

Conmutador EX4200, interfaces de 24 Gigabit Ethernet: 8 interfaces PoE (ge-0/0/0 a través ge-0/0/7) y 16 interfaces no PoE (ge-0/0/8 a través ge-0/0/23)

Nombres de VLAN e ID de etiquetas

salesetiqueta 100supportetiqueta 200

guest-vlanetiqueta 300

Un servidor RADIUS

Base de datos de back-end conectada al conmutador a través de la interfaz ge-0/0/10

En este ejemplo, la interfaz ge-0/0/1 de acceso proporciona conectividad LAN en la sala de conferencias. Configure esta interfaz de acceso para proporcionar conectividad LAN a los visitantes de la sala de conferencias que no están autenticados por la VLAN corporativa.

Configuración de una VLAN invitada que incluye autenticación 802.1X

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente una VLAN invitada, con autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador:

Procedimiento paso a paso

Para configurar una VLAN invitada que incluya autenticación 802.1X en un conmutador de la serie EX:

  1. Configure el ID de VLAN para la VLAN invitada:

  2. Configure la VLAN invitada en el dot1x protocolo:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que la VLAN invitada está configurada

Propósito

Compruebe que se crea la VLAN invitada y que una interfaz ha fallado en la autenticación y se ha trasladado a la VLAN invitada.

Nota:

En conmutadores que ejecutan Junos OS para la serie EX con compatibilidad con ELS, la salida del show vlans comando contendrá información adicional. Si el conmutador ejecuta software compatible con ELS, consulte mostrar vlan. Para obtener más información sobre ELS, consulte Uso de la CLI mejorada de software de capa 2.

Acción

Ejecute los comandos del modo operativo:

Significado

El resultado del show vlans comando se muestra guest-vlan como el nombre de la VLAN y el ID de VLAN como 300.

El resultado del show dot1x interface ge-0/0/1.0 detail comando muestra el Guest VLAN membership campo, lo que indica que un suplicante en esta interfaz falló la autenticación 802.1X y se pasó a través del guest-vlan.