Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

interface (802.1X)

Syntax

Hierarchy Level

Description

Configure IEEE autenticación 802.1X para el control de acceso de red basado en puertos para todas las interfaces o para interfaces específicas.

Options

(todas | [ nombres de interfaz ])

Configure una lista de nombres de interfaces o todas las interfaces para la autenticación 802.1x.

deshabilite

Deshabilite la autenticación 802.1 X en una interfaz especificada o en todas las interfaces.

  • Predeterminada la autenticación de 802.1 x está deshabilitada en todas las interfaces.

guest-bridge-domain guest-bridge-domain

(Solo serie MX) Especifique el identificador de etiqueta de dominio de puente o el nombre del dominio de puente invitado al que se mueve una interfaz cuando no hay supplicantes 802.1X conectados en la interfaz. El dominio de puente especificado ya debe existir en el dispositivo.

guest-vlan (vlan-id |nombre vlan

(Solo en las series EX, QFX y SRX) Especifique el identificador de etiqueta VLAN o el nombre de la VLAN de invitado a la cual se mueve una interfaz cuando no haya supplicantes 802.1X conectados en la interfaz. La VLAN especificada ya debe existir en el dispositivo. Las VLAN de invitado se pueden configurar en dispositivos que utilizan autenticación 802.1X para proporcionar acceso limitado (por lo general, solo a Internet) para invitados corporativos. Una VLAN invitada no se utiliza para los suplicantes que envían Credenciales incorrectas. Esos suplicantes se dirigen a la VLAN de servidor-rechazo en su lugar.

ignore-Port-Bounce

Ignore el comando Port-Bounce incluido en una solicitud de cambio de autorización (CoA). Las solicitudes de CoA son mensajes de RADIUS que se utilizan para modificar dinámicamente una sesión de usuario autenticada que ya está en curso. Las solicitudes de CoA se envían desde el servidor de autenticación, autorización y contabilidad (AAA) al dispositivo y se utilizan normalmente para cambiar la VLAN para el host según la generación de perfiles del dispositivo. Los dispositivos finales, como las impresoras, no tienen un mecanismo para detectar el cambio en la VLAN, por lo que no renuevan la concesión de su dirección DHCP en la nueva VLAN. El comando port-bounce se usa para forzar que el dispositivo final inicie la renegoción de DHCP causando una solapación de vínculo en el puerto autenticado.

  • Predeterminada El comando port-bounce se admite de forma predeterminada. Si no configura la instrucción, el dispositivo responde a un comando de rebote de puerto si marca el vínculo para volver a iniciar la negociación ignore-port-bounce DHCP para el dispositivo final.

número de solicitudes máximas

Especifique la cantidad máxima de veces que un paquete de solicitud DE EAPoL se retransmite al suplicante antes de que la sesión de autenticación esté en espera.

  • Varían 1 a 10

  • Predeterminada 2

sin reauauteticación | segundos de reauaunticación

Desactive la reautentificación o configure el número de segundos antes de que el tiempo de espera de la sesión de autenticación 802.1X y el cliente debe volver a conectar la autenticación.

Nota:

Si el servidor de autenticación envía al cliente un tiempo de espera de sesión de autenticación, esto tiene prioridad sobre el valor reauthentication configurado localmente mediante la instrucción. El valor de tiempo de espera de sesión se envía desde el servidor al cliente como un atributo del mensaje de RADIUS aceptación de acceso.

  • Varían 1 a 65.535 segundos

  • Predeterminada La reautenticación está habilitada durante 3600 segundos hasta que el cliente puede intentar volver a autenticar.

autenticación sin etiquetas para mac

No permita que una dirección MAC etiquetada para la RADIUS autenticación.

segundos en período de tranquilidad

Especifique el número de segundos durante los que la interfaz permanece en estado de espera después de un intento de autenticación fallido por un suplicante antes de volver a enlazar la autenticación.

  • Varían 0 a 65.535 segundos

  • Predeterminada 60 segundos

redirect-url redirect-url

Especifique una dirección URL que redireccione los hosts no autenticados a un servidor de autenticación Web central (CWA). CWA Server proporciona un portal web en el que el usuario puede introducir un nombre de usuario y una contraseña. Si el servidor de CWA valida estas credenciales, el usuario se autentica y se le permite acceder a la red.

La dirección URL de redireccionamiento para la autenticación Web central puede configurarse de forma centralizada en el servidor AAA o localmente en el conmutador. Utilice la redirect-url instrucción para configurar la dirección URL de redireccionamiento localmente en la interfaz que conecta el host al conmutador.

La URL de redireccionamiento y el filtro de Firewall dinámico deben estar presentes para que se desencadene el proceso de autenticación de web central. Para obtener más información acerca de la configuración de la dirección URL de redireccionamiento y el filtro de Firewall dinámico para la autenticación Web central, consulte Configuración de la autenticación Web central.

Nota:

Cuando el filtro Dynamic Firewall se configura con el atributo Special Filter-ID JNPR_RSVD_FILTER_CWA, la URL de CWA redireccionamiento debe incluir la dirección IP del servidor AAA, por ejemplo https://10.10.10.10,.

  • Sintaxis La dirección URL de redireccionamiento debe usar el protocolo HTTP o HTTPS e incluir una dirección IP o un nombre de sitio Web. A continuación, se muestran ejemplos de formatos de URL de redirección válidos:

    • http://www.example.com

    • https://www.example.com

    • http://10.10.10.10

    • https://10.10.10.10

    • http://www.example.com/login.html

    • https://www.example.com/login.html

    • http://10.10.10.10/login.html

    • https://10.10.10.10/login.html

  • Predeterminada Habilitar. De forma predeterminada, la dirección URL de redireccionamiento no está habilitada para la autenticación Web central.

número de solicitud-recuento de reintentos

Configure el servidor de autenticación para que inste al envío de una solicitud EAP al supplicante. Esto puede ayudar a evitar un tiempo de espera de la sesión de autenticación debido a un supplicante no responde. La cantidad de reintentos se basa en el valor configurado.

  • Varían De 1 a 10 reintentos

  • Predeterminada 2 reintentos

número de reintentos

Especifique el número de veces que el dispositivo intenta autenticar el puerto después de un error inicial. Cuando se supera el límite, el puerto espera para volver a conectar la autenticación durante el número de segundos especificados con la opción configurada en el quiet-period mismo nivel de jerarquía.

  • Varían De 1 a 10 reintentos

  • Predeterminada 3 intentos

error del servidor (| dominio de puente-dominio de puente | permitir | uso-caché | vlan-name vlan-name)

Especifique cómo se admiten los dispositivos finales conectados a un dispositivo si RADIUS servidor de autenticación deja de estar disponible. La reserva de errores del servidor se desencadena con mayor frecuencia durante la reautenticación cuando el servidor que ya está configurado y en uso RADIUS se vuelve inaccesible. Sin embargo, la falla en el servidor también se puede desencadenar mediante el intento inicial de autenticación de un RADIUS servidor.

Debe especificar una acción que el dispositivo se aplique a los dispositivos finales cuando los servidores de autenticación no estén disponibles. El dispositivo puede aceptar o denegar el acceso a los supplicantes o mantener el acceso ya concedido a los supplicantes antes de que RADIUS se produjo el tiempo de espera de espera. También puede configurar el conmutador para mover los supplicantes a un dominio de VLAN o de puente específico. El dominio de VLAN o de puente ya debe estar configurado en el dispositivo.

Nota:

La server-fail instrucción se expresa específicamente para el tráfico de datos. Para el tráfico etiquetado con VoIP, use la server-fail-voip instrucción. La misma interfaz puede tener configurada server-fail una server-fail-voip VLAN y una VLAN.

  • Valores dominio de puente: (solo serie MX) Mueva el supplicante de la interfaz al dominio de puente especificado por este nombre o identificador numérico. Esta acción sólo está permitida si es el primer solicitante que se conecta a una interfaz. Si un suplicante autenticado ya está conectado, entonces el supplicante no se mueve al dominio de puente y no se autentica. El dominio de puente ya debe estar configurado en el dispositivo.

    deny: fuerza que la autenticación de suplicante falle. Ningún tráfico fluirá a través de la interfaz.

    permit: fuerza la autenticación de suplicante para que tenga éxito. El tráfico fluirá a través de la interfaz como si el servidor RADIUS le autenticara correctamente.

    use-cache: fuerza la autenticación de suplicante para que tenga éxito solo si se autentificó con éxito anteriormente. Esta acción garantiza que los solicitantes ya autenticados no se vean afectados.

    vlan-name—(solo en la serie EX, QFX o SRX) Mueva el supplicante en la interfaz a la VLAN especificada por este nombre o identificador numérico. Esta acción sólo está permitida si es el primer solicitante que se conecta a la interfaz. Si un suplicante autenticado ya está conectado, el solicitante no se moverá a la VLAN ni se autenticará. La VLAN ya debe estar configurada en el dispositivo.

  • Predeterminada Si el RADIUS de autenticación deja de estar disponible, el dispositivo final no se autentica y se le niega el acceso a la red.

server-fail-voip (denegar | permitir | uso-caché | vlan-name vlan-name)

(EX, solo serie QFX) Especifique cómo se admite el envío de tráfico de voz de los clientes VoIP si RADIUS servidor de autenticación deja de estar disponible. La reserva de errores del servidor se desencadena con mayor frecuencia durante la reautenticación cuando el servidor que ya está configurado y en uso RADIUS se vuelve inaccesible. Sin embargo, la falla de reserva del servidor también se puede desencadenar mediante el intento inicial de autenticación de un cliente VoIP mediante el RADIUS servidor.

Debe especificar una acción que el conmutador se aplique a los clientes VoIP cuando los servidores de autenticación no estén disponibles. El conmutador puede aceptar o denegar el acceso a clientes VoIP o mantener el acceso que ya se había concedido a los clientes antes de que RADIUS se produjo el tiempo de espera. También puede configurar el conmutador para mover los clientes VoIP a una VLAN específica. La VLAN ya debe estar configurada en el conmutador.

La server-fail-voip instrucción es específica del tráfico con etiquetas VoIP enviada por los clientes. Los clientes de VoIP aún requieren server-fail que la instrucción esté configurada para el tráfico no etiquetado que generan. Por lo tanto, cuando configure la server-fail-voip instrucción, debe configurar server-fail también la instrucción.

Nota:

Una opción distinta server-fail deny a server-fail-voip debe estar configurada para que se confirme correctamente.

  • Valores deny: fuerza que la autenticación de cliente VoIP falle. Ningún tráfico fluirá a través de la interfaz.

    permit: fuerza la autenticación de cliente VoIP para que tenga éxito. El tráfico fluirá a través de la interfaz como si el servidor RADIUS le autenticara correctamente.

    use-cache: fuerza la autenticación de cliente VoIP para que tenga éxito solo si se autentificó correctamente anteriormente. Esta acción garantiza que los clientes que ya están autenticados no se verán afectados.

    vlan-name:mueva el cliente VoIP de la interfaz a la VLAN especificada por este nombre o identificador numérico. Esta acción solo se permite si es el primer cliente VoIP que se conecta a la interfaz. Si un cliente VoIP autenticado ya está conectado, entonces el cliente VoIP no se mueve a la VLAN y no se autentica. La VLAN ya debe estar configurada en el conmutador.

  • Predeterminada Si un RADIUS de autenticación deja de estar disponible, no se autentica un cliente VoIP que comience la autenticación mediante el envío de tráfico de voz y se descarta el tráfico de voz.

segundos de tiempo de espera del servidor

Especifique la cantidad de tiempo que un puerto esperará por una respuesta al retransmitir una respuesta del supplicante al servidor de autenticación antes de que el tiempo de espera se desaprotegía e invote la acción de error del servidor.

  • Varían 1 a 60 segundos

  • Predeterminada 30 segundos

supplicante (un solo | seguro único | múltiple)

Especifique el método basado en MAC que se usa para autenticar a los clientes.

  • Valores Especifique uno de los siguientes:

    • single: autentica solo al primer cliente que se conecta a un puerto de autenticación. A todos los demás clientes que se conecten al puerto del autenticador después del primero se les permitirá acceso libre al puerto sin autenticación adicional. Si el primer cliente autenticado cierra sesión, todos los demás suplicantes quedan bloqueados hasta que un cliente vuelva a autenticarse.

    • seguridad única: autentica solo a un cliente para que se conecte a un puerto de autenticación. El host debe estar conectado directamente al conmutador.

    • multiple: autentica a varios clientes de forma individual en un puerto de autenticación. Puede configurar el número de clientes por puerto. Si también configura un número máximo de dispositivos que se pueden conectar a un puerto a través de la configuración de seguridad del puerto, se utilizará el menor de los valores configurados para determinar el número máximo de clientes permitidos por puerto.

  • Predeterminada individuales

segundos de tiempo de espera de suplicante

Especifique el número de segundos que espera una respuesta el puerto al retransmitir una solicitud del servidor de autenticación al suplicante antes de volver a enviar la solicitud.

  • Varían 1 a 60 segundos

  • Predeterminada 30 segundos

segundos de período de transmisión

Especifique el número de segundos que espera el puerto antes de retransmitir las PDU EAPoL iniciales al supplicante.

  • Varían 1 a 65.535 segundos

  • Predeterminada 30 segundos

Las sentencias restantes se explican por separado. Busque una instrucción en el Explorador de la CLI o haga clic en una instrucción vinculada de la sección sintaxis para obtener más detalles.

Required Privilege Level

Ruta: para ver esta instrucción en la configuración.control de enrutamiento: para agregar esta instrucción a la configuración.

Release Information

Instrucción introducida en Junos OS versión 9,0.

server-reject-vlan introducido en la Junos OS versión 9.3 para conmutadores de la serie EX.

eapol-block introducido en Junos OS versión 11.2.

authentication-order y redirect-url se presentó en Junos OS versión 15.1R3.

server-fail-voip introducidas en Junos OS versiones 14.1X53-D40 y 15.1R4 para conmutadores EX y serie QFX estándar.

ignore-port-bounce introducido en el Junos OS versión 17.3R1.

multi-domain introducido en la Junos OS versión 18.3R1.