Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

interface (802.1X)

Syntax

Hierarchy Level

Description

Configure la autenticación IEEE 802.1X para el control de acceso de red basado en puertos para todas las interfaces o para interfaces específicas.

Options

(todo | [ nombres de interfaz ])

Configure una lista de nombres de interfaz o todas las interfaces para la autenticación 802.1x.

Desactivar

Desactive la autenticación 802.1X en una interfaz especificada o en todas las interfaces.

  • Predeterminado: La autenticación 802.1X está deshabilitada en todas las interfaces.

guest-bridge-domain guest-bridge-domain

(solo serie MX) Especifique el identificador de etiqueta de dominio de puente o el nombre del dominio de puente invitado al que se mueve una interfaz cuando no hay supplicantes 802.1X conectados en la interfaz. El dominio de puente especificado ya debe existir en el dispositivo.

guest-vlan (vlan-id | nombre-vlan

(solo serie EX, QFX y SRX) Especifique el identificador de etiqueta VLAN o el nombre de la VLAN invitada a la que se mueve una interfaz cuando no hay supplicantes 802.1X conectados en la interfaz. La VLAN especificada ya debe existir en el dispositivo. Las VLAN invitadas se pueden configurar en dispositivos que utilizan autenticación 802.1X para proporcionar acceso limitado (normalmente solo a Internet) para invitados corporativos. No se utiliza una VLAN invitado para supplicantes que envían credenciales incorrectas. Esos suplicantes se dirigen a la VLAN de rechazo del servidor en su lugar.

ignore-port-bounce

Ignore el comando port-bounce contenido en una solicitud de cambio de autorización (CoA). Las solicitudes coA son mensajes RADIUS que se utilizan para modificar dinámicamente una sesión de usuario autenticada que ya está en curso. Las solicitudes coA se envían desde el servidor de autenticación, autorización y contabilidad (AAA) al dispositivo, y se utilizan típicamente para cambiar la VLAN para el host según la generación de perfiles del dispositivo. Los dispositivos finales, como las impresoras, no tienen un mecanismo para detectar el cambio de VLAN, por lo que no renuevan la concesión de su dirección DHCP en la nueva VLAN. El comando port-bounce se utiliza para forzar al dispositivo final a iniciar la re-negociación de DHCP provocando una solapa de vínculo en el puerto autenticado.

  • Predeterminado: El comando port-bounce se admite de forma predeterminada. Si no configura la ignore-port-bounce instrucción, el dispositivo responde a un comando de rebote de puerto marcando el vínculo para volver a iniciar la negociación DHCP para el dispositivo final.

número máximo de solicitudes

Especifique la cantidad máxima de veces que un paquete de solicitud EAPoL se retransmite al suplicante antes de que se agota el tiempo de espera de la sesión de autenticación.

  • Gama: Del 1 al 10

  • Predeterminado: 2

| sin autentificación segundos de reautorización

Deshabilite la reautorización o configure el número de segundos antes de que se agota el tiempo de espera de la sesión de autenticación 802.1X y el cliente debe volver a atacar la autenticación.

Nota:

Si el servidor de autenticación envía un tiempo de espera de sesión de autenticación al cliente, esto tiene prioridad sobre el valor configurado localmente mediante la reauthentication instrucción. El valor de tiempo de espera de la sesión se envía desde el servidor al cliente como atributo del mensaje de aceptación de acceso RADIUS.

  • Gama: De 1 a 65 535 segundos

  • Predeterminado: La reautorización está habilitada, con 3600 segundos hasta que el cliente pueda intentar autenticarse de nuevo.

sin etiqueta-mac-autentificación

No permita una dirección MAC etiquetada para la autenticación RADIUS.

segundos de período de tranquilidad

Especifique el número de segundos que la interfaz permanece en estado de espera tras un intento de autenticación fallido de un suplicante antes de volver a atacar la autenticación.

  • Gama: De 0 a 65 535 segundos

  • Predeterminado: 60 segundos

redirect-url redirect-url

Especifique una DIRECCIÓN URL que redireccionar hosts no autenticados a un servidor de autenticación web central (CWA). El servidor CWA proporciona un portal web en el que el usuario puede escribir un nombre de usuario y una contraseña. Si el servidor de CWA valida estas credenciales, el usuario se autentica y se le permite el acceso a la red.

El URL de redireccionamiento para la autenticación web central se puede configurar centralmente en el servidor AAA o localmente en el conmutador. Utilice la redirect-url instrucción para configurar la DIRECCIÓN URL de redireccionamiento localmente en la interfaz que conecta el host al conmutador.

La URL de redireccionamiento y un filtro de firewall dinámico deben estar presentes para que se active el proceso de autenticación web central. Para obtener más información acerca de cómo configurar la URL de redireccionamiento y el filtro de firewall dinámico para la autenticación web central, consulte Configurar la autenticación web central.

Nota:

Cuando se configura el filtro de firewall dinámico mediante el atributo de ID de filtro especial JNPR_RSVD_FILTER_CWA, la dirección URL de redireccionamiento de CWA debe incluir la dirección IP del servidor AAA, por ejemplo, https://10.10.10.10.

  • Sintaxis: La DIRECCIÓN URL de redireccionamiento debe usar el protocolo HTTP o HTTPS e incluir una dirección IP o un nombre de sitio web. Los siguientes son ejemplos de formatos de URL de redireccionamiento válidos:

    • http://www.example.com

    • https://www.example.com

    • http://10.10.10.10

    • https://10.10.10.10

    • http://www.example.com/login.html

    • https://www.example.com/login.html

    • http://10.10.10.10/login.html

    • https://10.10.10.10/login.html

  • Predeterminado: Deshabilitado. La DIRECCIÓN URL de redireccionamiento no está habilitada para la autenticación web central de forma predeterminada.

número de recuento de solicitudes y reintentos

Configure el servidor de autenticación para reintentar el envío de una solicitud EAP al suplicante. Esto puede ayudar a evitar un tiempo de espera de la sesión de autenticación debido a un suplicante no responde. El número de reintentos se basa en el valor configurado.

  • Gama: De 1 a 10 reintentos

  • Predeterminado: 2 reintentos

número de reintentos

Especifique la cantidad de veces que el dispositivo intenta autenticar el puerto después de una falla inicial. Cuando se supera el límite, el puerto espera para volver a atacar la autenticación por el número de segundos especificado con la quiet-period opción configurada en el mismo nivel de jerarquía.

  • Gama: De 1 a 10 reintentos

  • Predeterminado: 3 reintentos

error de servidor (| de puente-dominio de dominio de puente | permitir | use-cache | vlan-name vlan-name)

Especifique cómo se admiten los dispositivos finales conectados a un dispositivo si el servidor de autenticación RADIUS deja de estar disponible. La conmutación por error del servidor se activa con mayor frecuencia durante la reautonicación cuando el servidor RADIUS ya configurado y en uso se vuelve inaccesible. Sin embargo, la conmutación por error del servidor también se puede activar mediante el intento inicial de autenticación de un supplicante a través del servidor RADIUS.

Debe especificar una acción que el dispositivo aplique a los dispositivos finales cuando los servidores de autenticación no estén disponibles. El dispositivo puede aceptar o denegar el acceso a supplicantes o mantener el acceso ya otorgado a los suplicantes antes de que se produjera el tiempo de espera radius. También puede configurar el conmutador para mover los suplicantes a un dominio de VLAN o puente específico. El dominio de VLAN o puente ya debe estar configurado en el dispositivo.

Nota:

La server-fail instrucción es específicamente para el tráfico de datos. Para el tráfico etiquetado con VoIP, use la server-fail-voip instrucción. La misma interfaz puede tener configurada una server-fail VLAN y una server-fail-voip VLAN.

  • Valores: dominio de puente: (solo la serie MX) Mueva el suplicante de la interfaz al dominio de puente especificado por este nombre o identificador numérico. Esta acción solo se permite si es el primer suplicante que se conecta a una interfaz. Si un suplicante autenticado ya está conectado, el suplicante no se mueve al dominio de puente y no se autentica. El dominio de puente ya debe estar configurado en el dispositivo.

    deny: fuerza el error de autenticación suplicante. Ningún tráfico fluye a través de la interfaz.

    permit: fuerza la autenticación suplicante para que se realice correctamente. El tráfico fluye a través de la interfaz como si el servidor RADIUS lo autenticara correctamente.

    use-cache: fuerza la autenticación suplicante para que se realice correctamente solo si se autentificaba correctamente. Esta acción garantiza que los suplicantes ya autenticados no se verán afectados.

    vlan-name: (solo ex, QFX o serie SRX) Mueva el suplicante en la interfaz a la VLAN especificada por este nombre o identificador numérico. Esta acción solo se permite si es el primer suplicante que se conecta a la interfaz. Si un suplicante autenticado ya está conectado, el suplicante no se mueve a la VLAN y no se autentica. La VLAN ya debe estar configurada en el dispositivo.

  • Predeterminado: Si el servidor de autenticación RADIUS deja de estar disponible, el dispositivo final no se autentica y se le niega el acceso a la red.

servidor-falla-voip (denegar | permitir | use-cache | vlan-name vlan-name)

(SOLO EX, serie QFX) Especifique cómo se admiten los clientes VoIP que envían tráfico de voz si el servidor de autenticación RADIUS deja de estar disponible. La conmutación por error del servidor se activa con mayor frecuencia durante la reautonicación cuando el servidor RADIUS ya configurado y en uso se vuelve inaccesible. Sin embargo, la conmutación por error del servidor también se puede activar mediante el intento inicial de autenticación de un cliente VoIP a través del servidor RADIUS.

Debe especificar una acción que el conmutador aplique a los clientes VoIP cuando los servidores de autenticación no estén disponibles. El conmutador puede aceptar o denegar el acceso a clientes VoIP o mantener el acceso ya concedido a los clientes antes de que se produjera el tiempo de espera radius. También puede configurar el conmutador para mover los clientes VoIP a una VLAN específica. La VLAN ya debe estar configurada en el conmutador.

La server-fail-voip instrucción es específica del tráfico etiquetado con VoIP enviado por los clientes. Los clientes VoIP aún requieren que la server-fail instrucción se configure para el tráfico sin etiquetar que generan. Por lo tanto, cuando configure la server-fail-voip instrucción, también debe configurar la server-fail instrucción.

Nota:

Una opción que no server-fail deny se debe configurar para server-fail-voip que se confirme correctamente.

  • Valores: deny: fuerza la autenticación del cliente VoIP para que falle. Ningún tráfico fluye a través de la interfaz.

    permit: fuerza la autenticación del cliente VoIP para que se realice correctamente. El tráfico fluye a través de la interfaz como si el servidor RADIUS lo autenticara correctamente.

    use-cache: fuerza la autenticación de cliente VoIP para que solo se realice correctamente si se autentificaba correctamente. Esta acción garantiza que los clientes ya autenticados no se verán afectados.

    vlan-name: mueva el cliente VoIP en la interfaz a la VLAN especificada por este nombre o identificador numérico. Esta acción solo se permite si es el primer cliente VoIP que se conecta a la interfaz. Si un cliente VoIP autenticado ya está conectado, el cliente VoIP no se mueve a la VLAN y no se autentica. La VLAN ya debe estar configurada en el conmutador.

  • Predeterminado: Si un servidor de autenticación RADIUS deja de estar disponible, no se autentica un cliente VoIP que comienza la autenticación mediante el envío de tráfico de voz y se pierde el tráfico de voz.

segundos de tiempo de espera del servidor

Especifique la cantidad de tiempo que un puerto esperará una respuesta al retransmitir una respuesta desde el suplicante al servidor de autenticación antes de agotar el tiempo de espera e invocar la acción de error del servidor.

  • Gama: De 1 a 60 segundos

  • Predeterminado: 30 segundos

suplicante (| único seguro | varios)

Especifique el método basado en MAC que se usa para autenticar clientes.

  • Valores: Especifique una de las siguientes opciones:

    • único: autentica solo el primer cliente que se conecta a un puerto de autenticador. El resto de los clientes que se conectan al puerto del autenticador después del primero tienen acceso libre al puerto sin más autenticación. Si el primer cliente autenticado cierra sesión, todos los demás suplicantes se bloquean hasta que un cliente se autentifique de nuevo.

    • una sola seguridad: autentica solo un cliente para conectarse a un puerto de autenticador. El host debe estar conectado directamente al conmutador.

    • varios: autentica a varios clientes individualmente en un puerto de autenticador. Puede configurar la cantidad de clientes por puerto. Si también configura un número máximo de dispositivos que se pueden conectar a un puerto mediante la configuración de seguridad de puerto, la parte inferior de los valores configurados se utiliza para determinar la cantidad máxima de clientes permitidos por puerto.

  • Predeterminado: soltero

segundos de tiempo de espera de suplicante

Especifique el número de segundos en los que el puerto espera una respuesta al retransmitir una solicitud desde el servidor de autenticación al suplicante antes de volver a enviar la solicitud.

  • Gama: De 1 a 60 segundos

  • Predeterminado: 30 segundos

segundos de período de transmisión

Especifique el número de segundos que espera el puerto antes de retransmitir las PDU EAPoL iniciales al suplicante.

  • Gama: De 1 a 65 535 segundos

  • Predeterminado: 30 segundos

Las instrucciones restantes se explican por separado. Busque una instrucción en el Explorador de CLI o haga clic en una instrucción vinculada en la sección Sintaxis para obtener más información.

Required Privilege Level

enrutamiento: para ver esta instrucción en la configuración.control de enrutamiento: para agregar esta instrucción a la configuración.

Release Information

Instrucción introducida en la versión 9.0 de Junos OS.

server-reject-vlan introducido en la versión 9.3 de Junos OS para conmutadores de la serie EX.

eapol-block introducido en la versión 11.2 de Junos OS.

authentication-order e redirect-url introducido en la versión 15.1R3 de Junos OS.

server-fail-voip introducido en las versiones 14.1X53-D40 y 15.1R4 de Junos OS para conmutadores serie EX y QFX.

ignore-port-bounce introducido en la versión 17.3R1 de Junos OS.

multi-domain introducido en la versión 18.3R1 de Junos OS.