Ejemplo: Configurar el 802.1X en salas de conferencias para proporcionar acceso a Internet a los visitantes corporativos en un conmutador de la serie EX
802.1X en conmutadores de la serie EX proporciona acceso LAN a usuarios que no tienen credenciales en la base de datos RADIUS. Estos usuarios, denominados invitados, se autentican y suelen proporcionar acceso a Internet.
En este ejemplo, se describe cómo crear una VLAN invitada y configurar la autenticación 802.1X para ella.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a conmutadores QFX5100.
Junos OS versión 9.0 o posterior para conmutadores de la serie EX
Un conmutador de la serie EX que actúa como una entidad de acceso de puerto (PAE). Las interfaces del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como la base de datos de back-end y contiene información de credenciales para hosts (supplicantes) que tienen permiso para conectarse a la red.
Antes de configurar la autenticación vlan invitada, asegúrese de tener lo siguiente:
Se realizó la configuración inicial del conmutador. Consulte Conexión y configuración de un conmutador de la serie EX (procedimiento de CLI).
Realización de puentes básicos y configuración de VLAN en el conmutador. Consulte la documentación que describe la configuración de puentes básicos y una VLAN para el conmutador. Si usa un conmutador que admita el estilo de configuración Enhanced Layer 2 Software (ELS), consulte Ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX con soporte ELS o ejemplo: Configuración de puentes básicos y una VLAN en conmutadores. Para todos los demás conmutadores, consulte Ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Nota:Para obtener más información sobre ELS, consulte: Uso de la CLI de software de capa 2 mejorada
Descripción general y topología
Como parte del control de acceso de red basado en puertos (PNAC) IEEE 802.1X, puede proporcionar acceso de red limitado a supplicantes que no pertenecen a un grupo de autenticación VLAN mediante la configuración de autenticación para una VLAN invitada. Por lo general, el acceso vlan invitado se utiliza para proporcionar acceso a Internet a los visitantes de un sitio corporativo. Sin embargo, también puede usar la función VLAN invitado para proporcionar acceso a una VLAN con recursos limitados para suplicantes que no logran la autenticación 802.1X en una LAN corporativa.
Esta figura también se aplica a los conmutadores QFX5100.
Topología
Figura 1 muestra la sala de conferencias conectada al conmutador en la interfaz ge-0/0/1.
| Propiedad | Configuración |
|---|---|
Hardware del conmutador |
Conmutador EX4200, interfaces de 24 Gigabit Ethernet: 8 interfaces PoE (ge-0/0/0 a través ge-0/0/7) y 16 interfaces no PoE (ge-0/0/8 a través ge-0/0/23) |
Nombres de VLAN e ID de etiquetas |
salesetiqueta 100supportetiqueta 200 guest-vlanetiqueta 300 |
Un servidor RADIUS |
Base de datos de back-end conectada al conmutador a través de la interfaz ge-0/0/10 |
En este ejemplo, la interfaz ge-0/0/1 de acceso proporciona conectividad LAN en la sala de conferencias. Configure esta interfaz de acceso para proporcionar conectividad LAN a los visitantes de la sala de conferencias que no están autenticados por la VLAN corporativa.
Configuración de una VLAN invitada que incluye autenticación 802.1X
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente una VLAN invitada, con autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador:
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
Procedimiento paso a paso
Para configurar una VLAN invitada que incluya autenticación 802.1X en un conmutador de la serie EX:
Configure el ID de VLAN para la VLAN invitada:
[edit] user@switch# set vlans guest-vlan vlan-id 300
Configure la VLAN invitada en el dot1x protocolo:
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-vlan {
guest-vlan;
}
}
}
}
}
}
vlans {
guest-vlan {
vlan-id 300;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar que la VLAN invitada está configurada
Propósito
Compruebe que se crea la VLAN invitada y que una interfaz ha fallado en la autenticación y se ha trasladado a la VLAN invitada.
En conmutadores que ejecutan Junos OS para la serie EX con compatibilidad con ELS, la salida del show vlans comando contendrá información adicional. Si el conmutador ejecuta software compatible con ELS, consulte mostrar vlan. Para obtener más información sobre ELS, consulte Uso de la CLI mejorada de software de capa 2.
Acción
Ejecute los comandos del modo operativo:
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/3.0*
dynamic 40
None
guest 30
None
guest—vlan 300
ge-0/0/1.0*
vlan_dyn
None
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Guest VLAN
Authenticated VLAN: guest-vlan
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El resultado del show vlans comando se muestra guest-vlan como el nombre de la VLAN y el ID de VLAN como 300.
El resultado del show dot1x interface ge-0/0/1.0 detail comando muestra el Guest VLAN membership campo, lo que indica que un suplicante en esta interfaz falló la autenticación 802.1X y se pasó a través del guest-vlan.