Ejemplo: Configurar la autenticación de portal cautivo en un enrutador de la serie MX
A partir de Junos OS versión 14.2, puede configurar la autenticación de portal cautivo (en adelante denominado portal cautivo) en un enrutador para redirigir las solicitudes del navegador web a una página de inicio de sesión que requiera que el usuario introduzca un nombre de usuario y una contraseña. Si la autenticación se realiza correctamente, el usuario puede continuar con la solicitud de página original y el acceso posterior a la red.
En este ejemplo, se describe cómo configurar el portal cautivo en un enrutador serie MX:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un enrutador serie MX que admite portal cautivo
Junos OS versión 14.2 o posterior para enrutadores serie MX
Antes de comenzar, asegúrese de tener:
Realizó puentes básicos y configuración de VLAN en el enrutador.
Generó un certificado SSL y lo instaló en el enrutador.
Acceso básico configurado entre el enrutador de la serie MX y el servidor RADIUS.
Diseñó su página de inicio de sesión en el portal cautivo. .
Descripción general y topología
En este ejemplo, se muestra la configuración necesaria en el enrutador para habilitar el portal cautivo en una interfaz. Para permitir que una impresora conectada a la interfaz del portal cautivo acceda a la LAN sin pasar por el portal cautivo, agregue su dirección MAC a la lista de permisos de autenticación. Las direcciones MAC de esta lista tienen acceso permitido en la interfaz sin portal cautivo.
Topología
La topología de este ejemplo consta de un enrutador de la serie MX conectado a un servidor de autenticación RADIUS. Una interfaz del enrutador está configurada para el portal cautivo. En este ejemplo, la interfaz se configura en modo de suplicante múltiple.
Configuración
Para configurar el portal cautivo en el enrutador:
Configuración rápida de CLI
Para configurar rápidamente el portal cautivo en el enrutador después de completar las tareas en la sección Requisitos, copie los siguientes comandos y péguelos en la ventana terminal del enrutador:
[edit] set system services web-management http set system services web-management https local-certificate my-signed-cert set protocols captive-portal-custom-options secure-authentication https set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple set protocols authentication-access-control static 00:10:12:e0:28:22 set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
Procedimiento
Procedimiento paso a paso
Para configurar el portal cautivo en el enrutador:
Habilite el acceso HTTP en el enrutador:
[edit] user@router# set system services web-management http
Para crear un canal seguro para el acceso web al enrutador, configure el portal cautivo para HTTPS:
Nota:Puede habilitar HTTP sin habilitar HTTPS, pero recomendamos HTTPS por motivos de seguridad.
Procedimiento paso a paso
Asocie el certificado de seguridad al servidor web y habilite el acceso HTTPS en el enrutador:
[edit] user@router# set system services web-management https local-certificate my-signed-cert
Configurar el portal cautivo para usar HTTPS:
[edit] user@router# set protocols captive-portal-custom-options secure-authentication https
Habilite una interfaz para el portal cautivo:
[edit] user@router# set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple
(Opcional) Permitir que clientes específicos eviten el portal cautivo:
Nota:Si el cliente ya está conectado al enrutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el
clear captive-portal mac-address mac-addresscomando después de agregar su dirección MAC a la lista de permitidos. De lo contrario, la nueva entrada para la dirección MAC no se agregará a la tabla de enrutadores Ethernet y no se permitirá la omisión de autenticación.[edit] user@router# set protocols authentication-access-control static 00:10:12:e0:28:22
Nota:Opcionalmente, puede usar
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0para limitar el ámbito a la interfaz.(Opcional) Para redirigir a los clientes a una página especificada en lugar de la página que solicitaron originalmente, configure la DIRECCIÓN URL posterior a la autenticación:
[edit services captive-portal] user@router# set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
Resultados
Mostrar los resultados de la configuración:
[edit]
user@router> show
system {
services {
web-management {
http;
https {
local-certificate my-signed-cert;
}
}
}
}
security {
certificates {
local {
my-signed-cert {
"-----BEGIN RSA PRIVATE KEY-----\nMIICXwIBAAKBgQDk8sUggnXdDUmr7T vLv63yJq/LRpDASfIDZlX3z9ZDe1Kfk5C9\nr/tkyvzv
...
Pt5YmvWDoGo0mSjoE/liH0BqYdh9YGqv3T2IEUfflSTQQHEOShS0ogWDHF\ nnyOb1O/vQtjk20X9NVQg JHBwidssY9eRp\n-----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
}
protocols {
authentication-access-control {
static 00:10:12:e0:28:22/48;
interface {
ge-0/0/10.0 {
supplicant multiple;
}
}
custom-captive-portal-options {
secure-authentication https;
post-authentication-url http://www.my-home-page.com;
}
}
Verificación
Para confirmar que el portal cautivo está configurado y funciona correctamente, realice estas tareas:
- Verificar que el portal cautivo está habilitado en la interfaz
- Verificar que el portal cautivo funcione correctamente
Verificar que el portal cautivo está habilitado en la interfaz
Propósito
Compruebe que el portal cautivo está configurado en la interfaz ge-0/0/10.
Acción
Utilice el comando show captive-portal interface interface-name detailde modo operativo:
user@router> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
Significado
El resultado confirma que el portal cautivo está configurado en la interfaz ge-0/0/10 con la configuración predeterminada para el número de reintentos, el período silencioso, el tiempo de espera de sesión de CP y el tiempo de espera del servidor.
Verificar que el portal cautivo funcione correctamente
Propósito
Verifique que el portal cautivo funcione en el enrutador.
Acción
Conecte un cliente a la interfaz ge-0/0/10. Desde el cliente, abra un navegador web y solicite una página web. Debe mostrarse la página de inicio de sesión del portal cautivo que diseñó. Después de introducir su información de inicio de sesión y autenticarse en el servidor RADIUS, el navegador Web debe mostrar la página que solicitó o la URL posterior a la autenticación que configuró.
Solución de problemas
Para solucionar problemas del portal cautivo, realice estas tareas:
Solución de problemas del portal cautivo
Problema
El enrutador no devuelve la página de inicio de sesión del portal cautivo cuando un usuario conectado a una interfaz de portal cautivo en el enrutador solicita una página Web.
Solución
Puede examinar los contadores ARP, DHCP, HTTPS y DNS; si uno o más de estos contadores no se incrementan, esto proporciona una indicación de dónde se encuentra el problema. Por ejemplo, si el cliente no puede obtener una dirección IP, compruebe la interfaz del enrutador para determinar si el contador DHCP se está incrementando; si el contador se incrementa, el enrutador recibió el paquete DHCP.
user@router> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0