interface (802.1X)

Configure una lista de nombres de interfaz o todas las interfaces para la autenticación 802.1x.

Desactive la autenticación 802.1X en una interfaz especificada o en todas las interfaces.

• Predeterminado: La autenticación 802.1X está deshabilitada en todas las interfaces.

(Solo serie MX) Especifique el identificador de etiqueta de dominio de puente o el nombre del dominio de puente invitado al que se mueve una interfaz cuando no hay suplicantes 802.1X conectados en la interfaz. El dominio de puente especificado ya debe existir en el dispositivo.

(Solo las series EX, QFX y SRX) Especifique el identificador de etiqueta VLAN o el nombre de la VLAN invitada a la que se mueve una interfaz cuando no hay suplicantes 802.1X conectados en la interfaz. La VLAN especificada ya debe existir en el dispositivo. Las VLAN invitadas se pueden configurar en dispositivos que usen la autenticación 802.1X para proporcionar acceso limitado ,normalmente solo a Internet, para invitados corporativos. No se utiliza una VLAN invitada para los suplicantes que envían credenciales incorrectas. Esos suplicantes se dirigen a la VLAN de rechazo del servidor en su lugar.

Ignore el comando de rebote de puerto contenido en una solicitud de cambio de autorización (CoA). Las solicitudes CoA son mensajes RADIUS que se utilizan para modificar dinámicamente una sesión de usuario autenticada que ya está en curso. Las solicitudes de CoA se envían desde el servidor de autenticación, autorización y contabilidad (AAA) al dispositivo, y normalmente se utilizan para cambiar la VLAN del host según el perfil del dispositivo. Los dispositivos finales, como las impresoras, no tienen un mecanismo para detectar el cambio de VLAN, por lo que no renuevan el arrendamiento de su dirección DHCP en la nueva VLAN. El comando de rebote de puerto se utiliza para forzar al dispositivo final a iniciar la re-negociación de DHCP provocando una flap de vínculo en el puerto autenticado.

• Predeterminado: El comando port-bounce se admite de forma predeterminada. Si no configura la ignore-port-bounce instrucción, el dispositivo responde a un comando de rebote de puerto batiendo el vínculo para volver a iniciar la negociación DHCP para el dispositivo final.

Especifique la cantidad máxima de veces que se retransmite un paquete de solicitud EAPoL al suplicante antes de que se alote el tiempo de espera de la sesión de autenticación.

• Gama: del 1 al 10

• Predeterminado: 2

Desactive la reautoentificación o configure el número de segundos antes de que el tiempo de espera de la sesión de autenticación 802.1X, y el cliente debe volver a conectar la autenticación.

• Gama: De 1 a 65 535 segundos

• Predeterminado: La reautenticación está habilitada, con 3600 segundos hasta que el cliente pueda intentar autenticarse de nuevo.

No permita una dirección MAC etiquetada para la autenticación RADIUS.

Especifique el número de segundos que la interfaz permanece en estado de espera tras un intento fallido de autenticación por un suplicante antes de volver a conectar la autenticación.

• Gama: 0 a 65 535 segundos

• Predeterminado: 60 segundos

Especifique una dirección URL que redirige hosts no autenticados a un servidor de autenticación web central (CWA). El servidor CWA proporciona un portal web en el que el usuario puede ingresar un nombre de usuario y una contraseña. Si el servidor CWA valida estas credenciales, el usuario se autentica y se le permite acceder a la red.

La DIRECCIÓN URL de redireccionamiento para la autenticación web central se puede configurar centralmente en el servidor AAA o localmente en el conmutador. Use la redirect-url instrucción para configurar la DIRECCIÓN URL de redireccionamiento localmente en la interfaz que conecta el host al conmutador.

La DIRECCIÓN URL de redirección y un filtro de firewall dinámico deben estar presentes para que se active el proceso de autenticación web central. Para obtener más información acerca de cómo configurar la dirección URL de redireccionamiento y el filtro de firewall dinámico para la autenticación web central, consulte Configuración de la autenticación web central.

• Sintaxis: La URL de redirección debe usar el protocolo HTTP o HTTPS e incluir una dirección IP o un nombre de sitio web. Los siguientes son ejemplos de formatos de URL de redirección válidos:

  • Http://www.example.com/

  • https://www.example.com

  • http://10.10.10.10

  • https://10.10.10.10

  • http://www.example.com/login.html

  • https://www.example.com/login.html

  • http://10.10.10.10/login.html

  • https://10.10.10.10/login.html

• Predeterminado: Deshabilitado. La dirección URL de redirección no está habilitada para la autenticación web central de forma predeterminada.

Configure el servidor de autenticación para que vuelva a intentar enviar una solicitud EAP al suplicante. Esto puede ayudar a evitar un tiempo de espera de la sesión de autenticación debido a un suplicante que no responde. El número de reintentos se basa en el valor configurado.

• Gama: De 1 a 10 reintentos

• Predeterminado: 2 reintentos

Especifique el número de veces que el dispositivo intenta autenticar el puerto después de un error inicial. Cuando se supera el límite, el puerto espera a volver a conectar la autenticación durante el número de segundos especificado con la quiet-period opción configurada en el mismo nivel de jerarquía.

• Gama: De 1 a 10 reintentos

• Predeterminado: 3 reintentos

Especifique cómo se admiten los dispositivos finales conectados a un dispositivo si el servidor de autenticación RADIUS deja de estar disponible. La recuperación de errores del servidor se activa con mayor frecuencia durante la reautoentificación cuando el servidor RADIUS ya configurado y en uso se vuelve inasequible. Sin embargo, la devolución de errores del servidor también se puede activar mediante el intento inicial de autenticación de un suplicante a través del servidor RADIUS.

Debe especificar una acción que el dispositivo aplique a los dispositivos finales cuando los servidores de autenticación no estén disponibles. El dispositivo puede aceptar o denegar el acceso a los suplicantes o mantener el acceso ya concedido a los suplicantes antes de que se produjera el tiempo de espera RADIUS. También puede configurar el conmutador para mover los suplicantes a una VLAN específica o dominio de puente. La VLAN o dominio de puente ya debe estar configurado en el dispositivo.

• Valores: bridge-domain—(Solo serie MX) Mueva el suplicante de la interfaz al dominio de puente especificado por este nombre o identificador numérico. Esta acción solo se permite si es el primer suplicante que se conecta a una interfaz. Si un suplicante autenticado ya está conectado, el suplicante no se mueve al dominio del puente y no se autentica. El dominio de puente ya debe estar configurado en el dispositivo.

  deny— Fuerza el error de la autenticación del suplicante. Ningún tráfico fluirá a través de la interfaz.

  permit: fuerza la autenticación suplicante para que tenga éxito. El tráfico fluirá a través de la interfaz como si se autenticase correctamente por el servidor RADIUS.

  use-cache: fuerza la autenticación suplicante para que tenga éxito solo si se autentificaba correctamente anteriormente. Esta acción garantiza que los suplicantes ya autenticados no se vean afectados.

  vlan-name—(Solo serie EX, QFX o SRX) Mueva el suplicante en la interfaz a la VLAN especificada por este nombre o identificador numérico. Esta acción solo se permite si es el primer suplicante que se conecta a la interfaz. Si un suplicante autenticado ya está conectado, entonces el suplicante no se mueve a la VLAN y no se autentica. La VLAN ya debe estar configurada en el dispositivo.

• Predeterminado: Si el servidor de autenticación RADIUS deja de estar disponible, el dispositivo final no se autentica y se le niega el acceso a la red.

(Solo serie EX, QFX) Especifique cómo se admiten los clientes VoIP que envían tráfico de voz si el servidor de autenticación RADIUS deja de estar disponible. La recuperación de errores del servidor se activa con mayor frecuencia durante la reautoentificación cuando el servidor RADIUS ya configurado y en uso se vuelve inasequible. Sin embargo, la devolución de errores del servidor también se puede activar mediante el intento inicial de autenticación de un cliente VoIP a través del servidor RADIUS.

Debe especificar una acción que el conmutador aplique a los clientes VoIP cuando los servidores de autenticación no estén disponibles. El conmutador puede aceptar o denegar el acceso a clientes VoIP o mantener el acceso ya concedido a los clientes antes de que se produjera el tiempo de espera RADIUS. También puede configurar el conmutador para mover los clientes VoIP a una VLAN específica. La VLAN ya debe estar configurada en el conmutador.

La server-fail-voip instrucción es específica para el tráfico etiquetado con VoIP que envían los clientes. Los clientes de VoIP aún requieren que la server-fail instrucción esté configurada para el tráfico sin etiquetar que generan. Por lo tanto, cuando configure la server-fail-voip instrucción también debe configurar la server-fail instrucción.

• Valores: deny— Fuerza al error en la autenticación del cliente VoIP. Ningún tráfico fluirá a través de la interfaz.

  permit: obliga a que la autenticación del cliente VoIP tenga éxito. El tráfico fluirá a través de la interfaz como si se autenticase correctamente por el servidor RADIUS.

  use-cache— Fuerza la autenticación del cliente VoIP para que tenga éxito solo si se autentificaba correctamente anteriormente. Esta acción garantiza que los clientes ya autenticados no se vean afectados.

  vlan-name: mueva el cliente VoIP de la interfaz a la VLAN especificada por este nombre o identificador numérico. Esta acción solo se permite si es el primer cliente VoIP que se conecta a la interfaz. Si un cliente VoIP autenticado ya está conectado, entonces el cliente VoIP no se mueve a la VLAN y no se autentica. La VLAN ya debe estar configurada en el conmutador.

• Predeterminado: Si un servidor de autenticación RADIUS deja de estar disponible, un cliente VoIP que comienza la autenticación mediante el envío de tráfico de voz no se autentica y el tráfico de voz se pierde.

Especifique la cantidad de tiempo que un puerto esperará una respuesta al transmitir una respuesta del suplicante al servidor de autenticación antes de interrumpir el tiempo e invocar la acción de error del servidor.

• Gama: 1 a 60 segundos

• Predeterminado: 30 segundos

Especifique el método basado en MAC que se utiliza para autenticar clientes.

• Valores: Especifique uno de los siguientes elementos:

  • single: autentica solo al primer cliente que se conecta a un puerto de autenticación. A todos los demás clientes que se conectan al puerto de autenticación después de la primera se les permite el acceso libre al puerto sin más autenticación. Si el primer cliente autenticado cierra sesión, el resto de los suplicantes se bloquean hasta que un cliente se autentifica de nuevo.

  • single-secure: autentica solo un cliente para conectarse a un puerto de autenticación. El host debe estar conectado directamente al conmutador.

  • múltiple: autentica varios clientes de forma individual en un puerto de autenticación. Puede configurar la cantidad de clientes por puerto. Si también configura una cantidad máxima de dispositivos que se pueden conectar a un puerto mediante la configuración de seguridad de puerto, se utiliza el valor más bajo de los configurados para determinar la cantidad máxima de clientes permitida por puerto.

• Predeterminado: soltero

Especifique el número de segundos que el puerto espera una respuesta al retransmitir una solicitud del servidor de autenticación al suplicante antes de volver a enviar la solicitud.

• Gama: 1 a 60 segundos

• Predeterminado: 30 segundos

Especifique el número de segundos que el puerto espera antes de retransmitir las PDU EAPoL iniciales al suplicante.

• Gama: De 1 a 65 535 segundos

• Predeterminado: 30 segundos