Ejemplo: Configuración de la autenticación de portal cautivo en un enrutador de la serie MX
A partir de Junos OS versión 14.2, puede configurar la autenticación de portal cautivo (en adelante, portal cautivo) en un enrutador para redirigir las solicitudes del explorador web a una página de inicio de sesión que requiera que el usuario introduzca un nombre de usuario y una contraseña. Tras una autenticación exitosa, el usuario puede continuar con la solicitud de página original y el acceso posterior a la red.
En este ejemplo se describe cómo configurar un portal cautivo en un enrutador de la serie MX:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un enrutador de la serie MX compatible con el portal cautivo
Junos OS versión 14.2 o posterior para enrutadores serie MX
Antes de comenzar, asegúrese de contar con lo siguiente:
Se realizó la configuración básica de puentes y VLAN en el enrutador.
Generó un certificado SSL y lo instaló en el enrutador.
Acceso básico configurado entre el enrutador de la serie MX y el servidor RADIUS.
Diseñó su página de inicio de sesión del portal cautivo. .
Descripción general y topología
En este ejemplo se muestra la configuración necesaria en el enrutador para habilitar el portal cautivo en una interfaz. Para permitir que una impresora conectada a la interfaz del portal cautivo acceda a la LAN sin pasar por el portal cautivo, agregue su dirección MAC a la lista de autenticación permitida. Las direcciones MAC de esta lista tienen acceso permitido en la interfaz sin portal cautivo.
Topología
La topología de este ejemplo consta de un enrutador de la serie MX conectado a un servidor de autenticación RADIUS. Una interfaz en el enrutador está configurada para el portal cautivo. En este ejemplo, la interfaz se configura en modo suplicante múltiple.
Configuración
Para configurar el portal cautivo en el enrutador:
Configuración rápida de CLI
Para configurar rápidamente el portal cautivo en el enrutador después de completar las tareas de la sección Requisitos, copie los siguientes comandos y péguelos en la ventana terminal del enrutador:
[edit] set system services web-management http set system services web-management https local-certificate my-signed-cert set protocols captive-portal-custom-options secure-authentication https set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple set protocols authentication-access-control static 00:10:12:e0:28:22 set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
Procedimiento
Procedimiento paso a paso
Para configurar el portal cautivo en el enrutador:
Habilite el acceso HTTP en el enrutador:
[edit] user@router# set system services web-management http
Para crear un canal seguro para el acceso web al enrutador, configure el portal cautivo para HTTPS:
Nota:Puede habilitar HTTP sin habilitar HTTPS, pero recomendamos HTTPS por motivos de seguridad.
Procedimiento paso a paso
Asocie el certificado de seguridad con el servidor web y habilite el acceso HTTPS en el enrutador:
[edit] user@router# set system services web-management https local-certificate my-signed-cert
Configure el portal cautivo para usar HTTPS:
[edit] user@router# set protocols captive-portal-custom-options secure-authentication https
Habilite una interfaz para el portal cautivo:
[edit] user@router# set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple
(Opcional) Permitir que clientes específicos omitan el portal cautivo:
Nota:Si el cliente ya está conectado al enrutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el
clear captive-portal mac-address mac-addresscomando después de agregar su dirección MAC a la lista de permitidos. De lo contrario, la nueva entrada para la dirección MAC no se agregará a la tabla de enrutadores Ethernet y no se permitirá la omisión de autenticación.[edit] user@router# set protocols authentication-access-control static 00:10:12:e0:28:22
Nota:Opcionalmente, puede usar para limitar el ámbito a la interfaz.
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0(Opcional) Para redirigir a los clientes a una página especificada en lugar de a la página que solicitaron originalmente, configure la dirección URL posterior a la autenticación:
[edit services captive-portal] user@router# set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
Resultados
Mostrar los resultados de la configuración:
[edit]
user@router> show
system {
services {
web-management {
http;
https {
local-certificate my-signed-cert;
}
}
}
}
security {
certificates {
local {
my-signed-cert {
"-----BEGIN RSA PRIVATE KEY-----\nMIICXwIBAAKBgQDk8sUggnXdDUmr7T vLv63yJq/LRpDASfIDZlX3z9ZDe1Kfk5C9\nr/tkyvzv
...
Pt5YmvWDoGo0mSjoE/liH0BqYdh9YGqv3T2IEUfflSTQQHEOShS0ogWDHF\ nnyOb1O/vQtjk20X9NVQg JHBwidssY9eRp\n-----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
}
protocols {
authentication-access-control {
static 00:10:12:e0:28:22/48;
interface {
ge-0/0/10.0 {
supplicant multiple;
}
}
custom-captive-portal-options {
secure-authentication https;
post-authentication-url http://www.my-home-page.com;
}
}
Verificación
Para confirmar que el portal cautivo está configurado y funciona correctamente, realice estas tareas:
- Comprobación de que el portal cautivo está habilitado en la interfaz
- Comprobar que el portal cautivo funciona correctamente
Comprobación de que el portal cautivo está habilitado en la interfaz
Propósito
Verifique que el portal cautivo esté configurado en la interfaz ge-0/0/10.
Acción
Utilice el comando show captive-portal interface interface-name detaildel modo operativo:
user@router> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
Significado
El resultado confirma que el portal cautivo está configurado en la interfaz ge-0/0/10 con la configuración predeterminada para número de reintentos, período de silencio, tiempo de espera de sesión CP y tiempo de espera del servidor.
Comprobar que el portal cautivo funciona correctamente
Propósito
Compruebe que el portal cautivo funciona en el enrutador.
Acción
Conecte un cliente a la interfaz ge-0/0/10. Desde el cliente, abra un navegador web y solicite una página web. Debe mostrarse la página de inicio de sesión del portal cautivo que diseñó . Después de introducir su información de inicio de sesión y autenticarse en el servidor RADIUS, el explorador web debe mostrar la página que solicitó o la URL posterior a la autenticación que configuró.
Solución de problemas
Para solucionar problemas del portal cautivo, realice estas tareas:
Solución de problemas del portal cautivo
Problema
El enrutador no devuelve la página de inicio de sesión del portal cautivo cuando un usuario conectado a una interfaz de portal cautivo en el enrutador solicita una página Web.
Solución
Puede examinar los contadores ARP, DHCP, HTTPS y DNS; si uno o más de estos contadores no se incrementan, esto proporciona una indicación de dónde radica el problema. Por ejemplo, si el cliente no puede obtener una dirección IP, compruebe la interfaz del enrutador para determinar si el contador DHCP se incrementa; si el contador se incrementa, el enrutador recibió el paquete DHCP.
user@router> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.