Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

authentication-order (Authenticator)

Sintaxis

Nivel de jerarquía

Descripción

Configure el orden preferido de los métodos de autenticación que utilizará el dispositivo cuando intente autenticar un cliente. Si se configuran varios métodos de autenticación en una sola interfaz, cuando se produce un error en un método de autenticación, el dispositivo vuelve a pasar a otro método. Puede configurar la instrucción para especificar si la authentication-order autenticación 802.1X o la autenticación MAC RADIUS deben ser el primer método de autenticación probado.

De forma predeterminada, el dispositivo intenta autenticar un cliente mediante la autenticación 802.1X primero. Si la autenticación 802.1X falla porque no hay respuesta del cliente y la autenticación MAC RADIUS está configurada en la interfaz, el dispositivo vuelve a la autenticación MAC RADIUS. Si MAC RADIUS falla y el portal cautivo está configurado en el dispositivo, el dispositivo vuelve a caer en el portal cautivo.

Configurar la autenticación MAC RADIUS como el primer método puede ayudar a evitar el período de espera de reserva que se produce después de realizar un intento de autenticación 802.1X para un host que no admite la autenticación 802.1X. Si la autenticación MAC RADIUS está configurada como el primer método de autenticación en una interfaz, al recibir datos de cualquier cliente en esa interfaz, el dispositivo intenta autenticar al cliente mediante la autenticación MAC RADIUS. Si la autenticación MAC RADIUS falla, el dispositivo vuelve a la autenticación 802.1X. Si la autenticación 802.1X falla y el portal cautivo está configurado en la interfaz, el dispositivo vuelve a caer en un portal cautivo.

La autenticación 802.1X siempre tiene la máxima prioridad, incluso si un cliente se ha autenticado con otro método. Si el dispositivo recibe un paquete EAP de un cliente que se ha autenticado mediante la autenticación MAC RADIUS, el dispositivo reconoce el paquete EAP y actualiza la autenticación con las credenciales de autenticación 802.1X. De manera similar, si un cliente se autentifica mediante la devolución en el portal cautivo y el dispositivo recibe un paquete EAP de ese cliente, el dispositivo intenta autenticarlo mediante la autenticación 802.1X.

El dispositivo intenta autenticar con solo métodos configurados en la interfaz. Si un método de autenticación se incluye en el orden de autenticación, pero no está configurado en la interfaz, el dispositivo ignora ese método e intenta autenticar mediante el siguiente método en el orden que está habilitado. Sin embargo, si un método está habilitado en la interfaz, pero no se incluye en el orden de autenticación, el dispositivo no intenta usar ese método. Por ejemplo, si el portal cautivo está habilitado para una interfaz, pero el orden de autenticación está configurado como [mac-radius dot1x], el método de autenticación de esa interfaz no vuelve al portal cautivo.

El orden de autenticación se puede configurar para todas las interfaces mediante la interface all opción. Si el orden de autenticación está configurado para una interfaz individual y también hay un orden de autenticación configurado para todas las interfaces, se sigue el orden de la interfaz individual. Si no hay ningún orden de autenticación configurado para una interfaz individual y hay un orden de autenticación configurado para todas las interfaces, se sigue la configuración para todas las interfaces.

Utilice las siguientes instrucciones al configurar la authentication-order instrucción:

  • El orden de autenticación debe incluir al menos dos métodos de autenticación.

  • La autenticación 802.1X debe ser uno de los métodos incluidos en el orden de autenticación.

  • Si el portal cautivo se incluye en el orden de autenticación, debe ser el último método del pedido.

  • Si mac-radius-restrict está configurado en una interfaz, el orden de autenticación no se puede configurar.

Las combinaciones válidas para authentication-order son las siguientes:

  • [dot1x mac-radius captive-portal]

  • [dot1x captive-portal]

  • [dot1x mac-radius]

  • [mac-radius dot1x captive-portal]

Predeterminado

Si authentication-order no está configurado, el dispositivo intenta autenticar el cliente utilizando primero la autenticación 802.1X, seguida de la autenticación MAC RADIUS y, luego, el portal cautivo, de la siguiente manera:

  1. Autenticación 802.1X: si 802.1X está configurado en la interfaz, el dispositivo envía solicitudes EAPoL al dispositivo final e intenta autenticar el dispositivo final mediante la autenticación 802.1X. Si el dispositivo final no responde a las solicitudes EAP, el dispositivo comprueba si la autenticación MAC RADIUS está configurada en la interfaz.

  2. Autenticación MAC RADIUS: si la autenticación MAC RADIUS está configurada en la interfaz, el dispositivo envía la dirección MAC RADIUS del dispositivo final al servidor de autenticación. Si la autenticación MAC RADIUS no está configurada, el dispositivo comprueba si el portal cautivo está configurado en la interfaz.

  3. Autenticación de portal cautivo: si el portal cautivo está configurado en la interfaz, el dispositivo intenta autenticar el dispositivo final mediante este método después de intentar cualquier otro método de autenticación configurado.

Opciones

captive-portal: configure la autenticación de portal cautivo en el orden de los métodos de autenticación en la interfaz.

dot1x— Configure la autenticación 802.1X en el orden de los métodos de autenticación en la interfaz.

mac-radius: configure la autenticación MAC RADIUS en el orden de los métodos de autenticación en la interfaz.

Nivel de privilegio requerido

enrutamiento: para ver esta instrucción en la configuración.enrutamiento-control: para agregar esta instrucción a la configuración.

Información de versión

Declaración introducida en la versión 15.1R3 de Junos OS.

Temas relacionados