Ejemplo: Configurar 802.1X en las salas de conferencias para ofrecer acceso a Internet a los visitantes corporativos en un conmutador de la serie EX
802.1X en conmutadores de la serie EX ofrece acceso LAN a usuarios que no tienen credenciales en la base de datos RADIUS. Estos usuarios, conocidos como invitados, se autentican y normalmente se les proporciona acceso a Internet.
En este ejemplo se describe cómo crear una VLAN invitada y configurar la autenticación 802.1X para ella.
Requisitos
En este ejemplo, se usan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Junos OS versión 9.0 o posterior para conmutadores serie EX
Un conmutador de la serie EX que actúa como una entidad de acceso de puerto (PAE). Las interfaces del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como la base de datos de backend y contiene información de credenciales para hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de configurar la autenticación de VLAN invitado, asegúrese de que dispone de lo siguiente:
Llevó a cabo la configuración inicial del conmutador. Consulte Conexión y configuración de conmutadores de la serie EX (procedimiento de la CLI).
Realizó puentes básicos y configuración de VLAN en el conmutador. Consulte la documentación que describe la configuración de puentes básicos y una VLAN para el conmutador. Si utiliza un conmutador compatible con el estilo de configuración Enhanced Layer 2 Software (ELS), consulte ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX con soporte ELS o ejemplo: Configurar puentes básicos y una VLAN en conmutadores. Para todos los demás conmutadores, consulte ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Nota:Para obtener más información acerca de ELS, consulte: Uso de la CLI de software de capa 2 mejorada
Descripción general y topología
Como parte del control de acceso de red basado en puertos (PNAC) IEEE 802.1X, puede proporcionar acceso de red limitado a los suplicantes que no pertenecen a un grupo de autenticación de VLAN mediante la configuración de la autenticación para una VLAN invitada. Normalmente, el acceso VLAN invitado se utiliza para proporcionar acceso a Internet a los visitantes de un sitio corporativo. Sin embargo, también puede usar la función VLAN invitado para proporcionar acceso a una VLAN con recursos limitados a los suplicantes que fallan la autenticación 802.1X en una LAN corporativa.
Esta figura también se aplica a los conmutadores QFX5100.
Topología
Figura 1 muestra la sala de conferencias conectada al conmutador en la interfaz ge-0/0/1.
| Propiedad | Configuración |
|---|---|
Hardware del conmutador |
Conmutador EX4200, 24 interfaces Gigabit Ethernet: 8 interfaces PoE (ge-0/0/0 a través ge-0/0/7) y 16 interfaces no PoE (ge-0/0/8 a través ge-0/0/23) |
Nombres de VLAN e ID de etiqueta |
salesetiqueta 100supportetiqueta 200 guest-vlanetiqueta 300 |
Un servidor RADIUS |
Base de datos de backend conectada al conmutador a través de una interfaz ge-0/0/10 |
En este ejemplo, la interfaz de ge-0/0/1 acceso proporciona conectividad LAN en la sala de conferencias. Configure esta interfaz de acceso para proporcionar conectividad LAN a los visitantes de la sala de conferencias que no están autenticados por la VLAN corporativa.
Configuración de una VLAN invitada que incluye autenticación 802.1X
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente una VLAN invitada, con autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
Procedimiento paso a paso
Para configurar una VLAN invitada que incluya autenticación 802.1X en un conmutador de la serie EX:
Configure el ID de VLAN para la VLAN invitada:
[edit] user@switch# set vlans guest-vlan vlan-id 300
Configure la VLAN invitada bajo dot1x protocolo:
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-vlan {
guest-vlan;
}
}
}
}
}
}
vlans {
guest-vlan {
vlan-id 300;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar que la VLAN invitada esté configurada
Propósito
Compruebe que se creó la VLAN invitada y que se produjo un error en la autenticación de una interfaz y se movió a la VLAN invitada.
En conmutadores que ejecutan Junos OS para la serie EX compatibles con ELS, la salida del show vlans comando contendrá información adicional. Si el conmutador ejecuta software compatible con ELS, consulte mostrar vlan. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Acción
Emita los comandos del modo operativo:
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/3.0*
dynamic 40
None
guest 30
None
guest—vlan 300
ge-0/0/1.0*
vlan_dyn
None
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Guest VLAN
Authenticated VLAN: guest-vlan
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El resultado del show vlans comando se muestra guest-vlan como el nombre de la VLAN y el ID de VLAN como 300.
El resultado del show dot1x interface ge-0/0/1.0 detail comando muestra el Guest VLAN membership campo, lo que indica que un suplicante en esta interfaz falló la autenticación 802.1X y se pasó a través de la guest-vlan.