EN ESTA PÁGINA
Configuración de los ajustes de interfaz 802.1X (procedimiento de la CLI)
Descripción de los cambios iniciados por RADIUS en una sesión de usuario autorizado
Filtrado de suplicantes 802.1X mediante atributos de servidor de RADIUS
Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX
Descripción de filtros dinámicos basados en atributos de RADIUS
Descripción de la asignación dinámica de VLAN mediante atributos de RADIUS
Solución de problemas de autenticación de dispositivos finales en serie EX Conmutadores
Autenticación 802.1X
Estándar IEEE 802.1X para el control de acceso a la red basado en puertos y protege las LAN Ethernet del acceso no autorizado de los usuarios. Bloquea todo el tráfico de un suplicante (cliente) en la interfaz hasta que las credenciales del suplicante se presenten y coincidan en el servidor de autenticación (un servidor RADIUS). Cuando se autentica al suplicante, el conmutador deja de bloquear el acceso y abre la interfaz al suplicante. Lea este tema para obtener más información.
Descripción general de 802.1X para conmutadores
- Cómo funciona la autenticación 802.1X
- Descripción general de las funciones de 802.1X
- Autenticación 802.1X en puertos de troncalización
- Autenticación 802.1X en interfaces de capa 3
- Soporte 802.1X en software evolucionado de Junos OS
Cómo funciona la autenticación 802.1X
La autenticación 802.1X funciona mediante el uso de una entidad de acceso al puerto de autenticación (el conmutador) para bloquear el tráfico de entrada de un suplicante (dispositivo final) en el puerto hasta que las credenciales del suplicante se presenten y coincidan en el servidor de autenticación (un servidor RADIUS). Cuando se autentica, el conmutador deja de bloquear el tráfico y abre el puerto al suplicante.
El dispositivo final se autentica en single supplicant modo, single-secure supplicant modo o multiple supplicant modo:
-
Suplicante único: autentica solo el primer dispositivo final. Todos los demás dispositivos finales que se conecten posteriormente al puerto tendrán acceso completo sin necesidad de autentificación adicional. De hecho , se aprovechan de la autenticación del primer dispositivo final.
-
Suplicante de seguridad única: permite que solo un dispositivo final se conecte al puerto. No se permite la conexión de ningún otro dispositivo final hasta que se cierre la sesión del primer dispositivo.
-
Suplicante múltiple: permite que varios dispositivos finales se conecten al puerto. Cada dispositivo final se autentica de forma individual.
El acceso a la red se puede definir aún más mediante el uso de VLAN y filtros de firewall, los cuales actúan como filtros para separar y hacer coincidir grupos de dispositivos finales con las áreas de la LAN que requieren. Por ejemplo, puede configurar las VLAN para que controlen diferentes categorías de errores de autenticación en función de:
-
Si el dispositivo final está habilitado para 802.1X o no.
-
Si la autenticación MAC RADIUS está configurada o no en las interfaces del conmutador a las que están conectados los hosts.
-
Si el servidor de autenticación de RADIUS deja de estar disponible o envía un mensaje de rechazo de acceso de RADIUS. Consulte Configuración de la reserva de fallback del servidor RADIUS (procedimiento de la CLI).
Descripción general de las funciones de 802.1X
Las siguientes características 802.1X son compatibles con los conmutadores Ethernet de Juniper Networks:
-
VLAN invitada: proporciona acceso limitado a una LAN, generalmente solo a Internet, para dispositivos finales que no responden y que no están habilitados para 802.1X cuando la autenticación MAC RADIUS no está configurada en las interfaces de conmutador a las que están conectados los hosts. Además, se puede usar una VLAN invitada para proporcionar acceso limitado a una LAN para usuarios invitados. Por lo general, la VLAN invitada solo proporciona acceso a Internet y a los dispositivos finales de otros invitados.
-
VLAN de rechazo de servidor: proporciona acceso limitado a una LAN, generalmente solo a Internet, para dispositivos finales receptivos que están habilitados para 802.1X, pero que han enviado las credenciales incorrectas. Si el dispositivo final que se autentica mediante la VLAN de rechazo de servidor es un teléfono IP, no se permite el tráfico de voz.
-
VLAN con error de servidor: proporciona acceso limitado a una LAN, generalmente solo a Internet, para dispositivos finales 802.1X durante un tiempo de espera del servidor RADIUS.
-
VLAN dinámica: permite que un dispositivo final, después de la autenticación, sea miembro de una VLAN de forma dinámica.
-
VLAN privada: habilita la configuración de la autenticación 802.1X en interfaces que son miembros de VLAN privadas (PVLAN).
-
Cambios dinámicos en una sesión de usuario: permite al administrador del conmutador finalizar una sesión ya autenticada. Esta característica se basa en la compatibilidad con el mensaje de desconexión de RADIUS definido en RFC 3576.
-
VoIP VLAN: admite teléfonos IP. La implementación de una VLAN de voz en un teléfono IP es específica del proveedor. Si el teléfono está habilitado para 802.1X, se autentica como cualquier otro suplicante. Si el teléfono no está habilitado para 802.1X, pero tiene otro dispositivo compatible con 802.1X conectado a su puerto de datos, ese dispositivo se autentica y, luego, el tráfico VoIP puede fluir hacia y desde el teléfono (siempre y cuando la interfaz esté configurada en modo de suplicante único y no en modo de suplicante seguro único).
Nota:No se admite la configuración de una VLAN VoIP en interfaces de VLAN privadas (PVLAN).
-
Contabilidad de RADIUS: envía información de contabilidad al servidor de contabilidad de RADIUS. La información de contabilidad se envía al servidor cada vez que un suscriptor inicia o cierra sesión y cada vez que un suscriptor activa o desactiva una suscripción.
-
Atributos del servidor RADIUS para 802.1X: es
Juniper-Switching-Filterun atributo específico del proveedor (VSA) que se puede configurar en el servidor de RADIUS para definir aún más el acceso de un suplicante durante el proceso de autenticación 802.1X. La configuración centralizada de atributos en el servidor de autenticación obvia la necesidad de configurar estos mismos atributos en forma de filtros de firewall en cada conmutador de la LAN al que el suplicante pueda conectarse a la LAN. EsJuniper-Switching-Filterequivalente a la regla de filtro NAS a la que se hace referencia en el atributo 92 de RFC4849. -
Protocolo de autenticación por desafío de Microsoft versión 2 (MS-CHAPv2): habilita la autenticación de MS-CHAPv2 para clientes compatibles con 802.1X EAP.
-
Micro y macrosegmentación con GBP mediante Mist Access Assurance: puede aplicar microsegmentación y macrosegmentación en una arquitectura de LAN virtual extensible (VXLAN) mediante la política basada en grupos (GBP). GBP aprovecha la tecnología VXLAN subyacente para ofrecer un control de acceso de puntos de conexión independiente de la ubicación. Con GBP, puede implementar políticas de seguridad coherentes en todos los dominios de red de la empresa. De este modo, puede evitar configurar una gran cantidad de filtros de firewall en todos sus conmutadores y simplificar su configuración de red. El control de acceso a la red (NAC) de la nube de Juniper Mist asigna dinámicamente etiquetas GBP durante una transacción de RADIUS. Con la autenticación RADIUS 802.1X, los operadores de red pueden autenticar y autorizar automáticamente a un usuario o dispositivo y dejarlo ingresar a la red. Juniper Mist Access Assurance utiliza la identidad de usuarios y dispositivos para determinar el rol y el segmento de red que la red asigna a cada usuario. La red utiliza VLAN o GBP para agrupar a los usuarios en segmentos de red. Juniper Mist Access Assurance luego aplica políticas de red asociadas con cada segmento
Actualmente admitimos esto en EX4100, EX4400 y en el chasis virtual EX4650.
Para obtener más información, consulte Microsegmentación mediante políticas basadas en grupos.
Se admiten las siguientes características para autenticar dispositivos que no están habilitados para 802.1X:
-
Bypass de MAC estático: proporciona un mecanismo de omisión para autenticar dispositivos que no están habilitados para 802.1X (como impresoras). La omisión de MAC estática conecta estos dispositivos a puertos habilitados para 802.1X, omitiendo la autenticación 802.1X.
-
Autenticación MAC RADIUS: proporciona un medio para permitir que los hosts que no están habilitados para 802.1X accedan a la LAN. MAC-RADIUS simula la funcionalidad de suplicante del dispositivo cliente utilizando la dirección MAC del cliente como nombre de usuario y contraseña.
Autenticación 802.1X en puertos de troncalización
A partir de Junos OS versión 18.3R1, puede configurar la autenticación 802.1X en interfaces troncales, lo que permite que el dispositivo de acceso a la red (NAS) autentique un punto de acceso (AP) u otro dispositivo de capa 2 conectado. Un AP o conmutador conectado al NAS admitirá varias VLAN, por lo que debe conectarse a un puerto de troncalización. Habilitar la autenticación 802.1X en la interfaz troncal protege el NAS de una brecha de seguridad en la que un atacante podría desconectar el AP y conectar una computadora portátil para obtener acceso libre a la red para todas las VLAN configuradas.
Tenga en cuenta las siguientes advertencias al configurar la autenticación 802.1X en interfaces troncales.
-
Solo se admiten los modos de suplicante único y único seguro en las interfaces troncales.
-
Debe configurar la autenticación 802.1X localmente en la interfaz troncal. Si configura la autenticación 802.1X globalmente mediante el
set protocol dot1x interface allcomando, la configuración no se aplica a la interfaz troncal. -
Las VLAN dinámicas no se admiten en interfaces troncales.
-
La VLAN invitada y la VLAN de rechazo de servidor no se admiten en interfaces troncales.
-
La reserva de fallo del servidor para clientes VoIP no se admite en interfaces troncalizadas (
server-fail-voip). -
Server-fail (permit, use-cache, vlan-name), Server-reject (vlan vlan-name)no son compatibles con clientes EAP-TLS. -
La autenticación en el puerto de troncalización no se admite mediante el portal cautivo.
-
La autenticación en el puerto de troncalización no se admite en interfaces agregadas.
-
La configuración de la autenticación 802.1X en interfaces que son miembros de VLAN privadas (PVLAN) no se admite en los puertos de troncalización.
Autenticación 802.1X en interfaces de capa 3
A partir de Junos OS versión 20.2R1, puede configurar la autenticación 802.1X en interfaces de capa 3. Tenga en cuenta las siguientes advertencias al configurar la autenticación 802.1X en interfaces de capa 3:
-
Solo se admiten clientes compatibles con EAP.
-
Solo se admite el modo de suplicante único.
-
Debe configurar la autenticación 802.1X localmente en las interfaces de capa 3. Si configura la autenticación 802.1X globalmente mediante el comando, la configuración no se aplica a las
set protocol dot1x interface allinterfaces de capa 3. -
La compatibilidad con interfaces de capa 3 no incluye IRB ni subinterfaces.
-
No se admiten VLAN invitada, VLAN de rechazo de servidor y VLAN de error de servidor.
-
No se admite la reserva de fallo del servidor para clientes VoIP (
server-fail-voip). -
Solo se aceptan los siguientes atributos del servidor de autenticación como parte de los mensajes de aceptación de acceso o COA de RADIUS para clientes autenticados en interfaces de capa 3:
-
Nombre de usuario
-
Tiempo de espera de sesión
-
ID de la estación de llamadas
-
ID de sesión de cuenta
-
ID de puerto NAS
-
Rebote de puerto
-
Soporte 802.1X en software evolucionado de Junos OS
A partir de Junos OS Evolved versión 22.3R1, puede configurar la autenticación 802.1X en interfaces de capa 2. Siga las advertencias que se aplican para la autenticación 802.1X en interfaces de capa 2.
-
Las características no compatibles incluyen:
-
VLAN invitada, VLAN de rechazo de servidor y VLAN de servidor fallido
-
Fallback de servidor para clientes VoIP (server-fail-voip)
-
VLAN dinámica
-
Autenticación en interfaces de capa 2 mediante el portal cautivo y la autenticación web central (CWA).
-
-
Los atributos no compatibles del servidor de autenticación de los mensajes de aceptación de acceso o COA de RADIUS para clientes autenticados en interfaces de capa 2 incluyen:
-
ip-mac-session-binding
-
redireccionamiento de Juniper-CWA
-
Filtro de conmutación de Juniper
-
ID de filtro
-
tipo mediano de túnel
-
Juniper-VoIP-VLAN
-
nombre-de-vlan-de-salida
-
ID de VLAN de salida
-
tipo túnel
-
ID de grupo privado de túnel
-
-
Si IRB está en el dominio de puente, los puertos habilitados para 802.1x no descartan el tráfico enrutado para los modos de súplica único seguro y múltiple, incluso si el usuario no está autenticado. Los puertos habilitados para 802.1X en la interfaz de capa 2 descartan el tráfico enrutado solo para la configuración del modo de suplicante único.
Ver también
Autenticación 802.1X en interfaces de capa 2
Descripción general
El estándar IEEE 802.1X para el control de acceso a la red basado en puertos (PNAC) proporciona un mecanismo para autenticar a los usuarios de dispositivos conectados a un puerto LAN. El estándar 802.1X verifica las credenciales del usuario en una base de datos de usuarios local o remota. El mecanismo de autenticación permite que solo los usuarios con las credenciales correctas accedan a la red. Deniega el acceso a todos los demás usuarios, controlando así el acceso a la red.
Los tres componentes básicos de una red con autenticación 802.1X son:
-
Entidad de acceso al puerto de autenticación (PAE): puerto de conmutador o enrutador al que se conecta un cliente. Los PAE autenticadores forman la puerta de control que bloquea todo el tráfico hacia y desde los clientes hasta que 802.1X autentica a los clientes.
-
Suplicantes: clientes que intentan acceder a la red y necesitan ser autenticados. Los suplicantes se conectan a los PAE de autenticación.
-
Servidor de autenticación: la base de datos back-end que contiene información sobre los usuarios a los que se les permite conectarse a la red. Cuando un suplicante intenta iniciar sesión, 802.1X envía sus credenciales a este servidor para su autenticación.
Después de que el servidor de autenticación autentica las credenciales del solicitante, el dispositivo deja de bloquear el acceso en el PAE. El dispositivo abre la interfaz al suplicante y le permite acceder a la red. Usted (el administrador de red) puede configurar 802.1X en interfaces de capa 2 (L2).
El estándar IEEE 802.1X le permite utilizar cualquier servidor de autenticación para la autenticación de cliente. Los servidores RADIUS se usan con mayor frecuencia porque son fáciles de configurar. Los servidores de RADIUS también ofrecen la opción de definir atributos propios o específicos del proveedor. El dispositivo y el servidor pueden intercambiar estos atributos.
Beneficios
-
Autentique a los usuarios.
-
Evite que actores malignos accedan a su red.
-
Controle el acceso a la red.
Configuración
Configuración de los ajustes de interfaz 802.1X (procedimiento de la CLI)
La autenticación IEEE 802.1X proporciona seguridad de borde de red, protegiendo las LAN Ethernet del acceso no autorizado de los usuarios mediante el bloqueo de todo el tráfico hacia y desde un suplicante (cliente) en la interfaz hasta que las credenciales del suplicante se presenten y coincidan en el authentication server servidor (un servidor RADIUS). Cuando se autentica al suplicante, el conmutador deja de bloquear el acceso y abre la interfaz al suplicante.
También puede especificar una lista de exclusión 802.1X para especificar los suplicantes que pueden omitir la autenticación y conectarse automáticamente a la LAN. Consulte Configuración de la anulación de MAC estática de 802.1X y la autenticación MAC RADIUS (procedimiento de la CLI).
No puede configurar la autenticación de usuario 802.1X en interfaces que se han habilitado para la tunelización Q-in-Q.
Antes de comenzar, especifique el servidor o servidores de RADIUS que se utilizarán como servidor de autenticación. Consulte Especificación de conexiones de servidor RADIUS en conmutadores (procedimiento de CLI).
Para configurar 802.1X en una interfaz:
Si los servidores de autenticación de RADIUS dejan de estar disponibles o no son accesibles, se activa la reserva de fallo del servidor. De forma predeterminada, la deny opción se configura en server-fail, lo que fuerza a fallar la autenticación del suplicante. Sin embargo, hay otras opciones que puede configurar como acciones que se deben realizar para los dispositivos finales que esperan autenticación cuando se agota el tiempo de espera del servidor.
Para obtener más información, consulte interfaz (802.1X)
Esta configuración especifica el número de intentos antes de que el conmutador ponga la interfaz en estado RETENIDO .
Ver también
Descripción de los cambios iniciados por RADIUS en una sesión de usuario autorizado
Cuando se utiliza un servicio de autenticación basado en un modelo RADIUS cliente/servidor, el cliente suele iniciar las solicitudes y enviarlas al servidor RADIUS. Hay instancias en las que el servidor puede iniciar una solicitud y enviarla al cliente para modificar dinámicamente una sesión de usuario autenticada que ya está en curso. El cliente que recibe y procesa los mensajes es el conmutador, que actúa como servidor de acceso a la red o NAS. El servidor puede enviar al conmutador un mensaje de desconexión solicitando la finalización de una sesión o un mensaje de cambio de autorización (CoA) solicitando la modificación de los atributos de autorización de sesión.
El conmutador escucha las solicitudes de RADIUS no solicitadas en el puerto UPD 3799 y solo acepta solicitudes de una fuente confiable. La autorización para enviar una solicitud de desconexión o CoA se determina en función de la dirección de origen y el secreto compartido correspondiente, que debe configurarse en el conmutador y en el servidor de RADIUS. Para obtener más información sobre cómo configurar la dirección de origen y el secreto compartido en el conmutador, consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
- Mensajes de desconexión
- Cambio de mensajes de autorización
- Rebote de puerto de solicitud de CoA
- Códigos de causa de error
Mensajes de desconexión
El servidor de RADIUS envía un mensaje de solicitud de desconexión al conmutador para finalizar una sesión de usuario y descartar todo el contexto de sesión asociado. El conmutador responde a un paquete Disconnect-Request con un mensaje Disconnect-ACK si la solicitud se realiza correctamente, es decir, se descarta todo el contexto de sesión asociado y la sesión del usuario ya no está conectada, o con un paquete Disconnect-NAK si la solicitud falla, es decir, el autenticador no puede desconectar la sesión y descartar todo el contexto de sesión asociado.
En los mensajes de solicitud de desconexión, los atributos RADIUS se utilizan para identificar de forma exclusiva el conmutador (NAS) y la sesión del usuario. La combinación de atributos de identificación de NAS y atributos de identificación de sesión incluidos en el mensaje debe coincidir con al menos una sesión para que la solicitud se realice correctamente; de lo contrario, el conmutador responde con un mensaje Disconnect-NAK. Un mensaje de solicitud de desconexión solo puede contener atributos de identificación de sesión y NAS; si se incluyen otros atributos, el conmutador responde con un mensaje Disconnect-NAK.
Cambio de mensajes de autorización
Los mensajes de cambio de autorización (CoA) contienen información para modificar dinámicamente los atributos de autorización de una sesión de usuario a fin de cambiar el nivel de autorización. Esto ocurre como parte de un proceso de autenticación de dos pasos, en el que el punto de conexión se autentica primero mediante la autenticación MAC RADIUS y, luego, se perfila según el tipo de dispositivo. El mensaje CoA se utiliza para aplicar una política de cumplimiento adecuada para el dispositivo, normalmente cambiando los filtros de datos o la VLAN.
El conmutador responde a un mensaje CoA con un mensaje CoA-ACK si el cambio de autorización se realiza correctamente o con un mensaje CoA-NAK si el cambio no se realiza correctamente. Si no se pueden llevar a cabo uno o más cambios de autorización especificados en un mensaje de solicitud de CoA, el conmutador responde con un mensaje CoA-NAK.
En los mensajes de solicitud de CoA, los atributos RADIUS se utilizan para identificar de forma exclusiva el conmutador (que actúa como NAS) y la sesión del usuario. La combinación de atributos de identificación de NAS y atributos de identificación de sesión incluidos en el mensaje debe coincidir con los atributos de identificación de al menos una sesión para que la solicitud se realice correctamente; de lo contrario, el conmutador responde con un mensaje CoA-NAK.
Los paquetes de solicitud de CoA también incluyen los atributos de autorización de sesión que se modificarán si se acepta la solicitud. A continuación, se enumeran los atributos de autorización de sesión admitidos. El mensaje CoA puede contener cualquiera o todos estos atributos. Si no se incluye ningún atributo como parte del mensaje de solicitud de CoA, el NAS asume que el valor de ese atributo debe permanecer sin cambios.
ID de filtro
ID de grupo privado de túnel
Filtro de conmutación de Juniper
Juniper-VoIP-VLAN
Tiempo de espera de sesión
Rebote de puerto de solicitud de CoA
Cuando se utiliza un mensaje CoA para cambiar la VLAN de un host autenticado, los dispositivos finales, como las impresoras, no disponen de un mecanismo para detectar el cambio de VLAN, por lo que no renuevan la concesión de su dirección DHCP en la nueva VLAN. A partir de Junos OS versión 17.3, la función de rebote de puerto se puede utilizar para forzar al dispositivo final a iniciar la renegociación de DHCP mediante la provocación de una oscilación de vínculo en el puerto autenticado.
El comando para hacer bounce el puerto se envía desde el servidor de RADIUS mediante un atributo específico del proveedor (VSA) de Juniper Networks. El puerto rebota si se recibe el siguiente par atributo-valor VSA en el mensaje CoA del servidor de RADIUS:
Juniper-AV-Pair = "rebote de puerto"
Para habilitar la función de rebote de puertos, debe actualizar el archivo de diccionario de Junos (juniper.dct) en el servidor RADIUS con el VSA Juniper-AV-Pair. Busque el archivo de diccionario y agregue el siguiente texto al archivo:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
Para obtener más información sobre cómo agregar VSA, consulte la documentación de FreeRADIUS.
Puede deshabilitar la característica configurando la ignore-port-bounce instrucción en el nivel de jerarquía [edit protocols dot1x authenticator interface interface-name].
Códigos de causa de error
Cuando una operación de desconexión o CoA no se realiza correctamente, se puede incluir un atributo Error-Cause (atributo RADIUS 101) en el mensaje de respuesta enviado por el NAS al servidor para proporcionar detalles sobre la causa del problema. Si el error detectado no se asigna a uno de los valores de atributo Error-Cause admitidos, el enrutador envía el mensaje sin un atributo error-cause. Consulte la Tabla 1 para obtener descripciones de los códigos de causa de error que se pueden incluir en los mensajes de respuesta enviados desde el NAS.
Código |
Valor |
Descripción |
|---|---|---|
201 |
Se eliminó el contexto residual de la sesión |
Se envía en respuesta a un mensaje de solicitud de desconexión si una o más sesiones de usuario ya no están activas, pero se encontró contexto de sesión residual y se eliminó correctamente. Este código solo se envía dentro de un mensaje Disconnect-ACK. |
401 |
Atributo no compatible |
La solicitud contiene un atributo que no se admite (por ejemplo, un atributo de terceros). |
402 |
Atributo faltante |
Falta un atributo crítico (por ejemplo, el atributo de identificación de sesión) en una solicitud. |
403 |
Identificación del NAS no coincidente |
La solicitud contiene uno o más atributos de identificación de NAS que no coinciden con la identidad del NAS que recibe la solicitud. |
404 |
Solicitud no válida |
Algún otro aspecto de la solicitud no es válido, por ejemplo, si uno o más atributos no tienen el formato adecuado. |
405 |
Servicio no compatible |
El atributo Service-Type incluido con la solicitud contiene un valor no válido o no compatible. |
406 |
Extensión no compatible |
La entidad que recibe la solicitud (ya sea un proxy de NAS o de RADIUS) no admite solicitudes iniciadas por RADIUS. |
407 |
Valor de atributo no válido |
La solicitud contiene un atributo con un valor no admitido. |
501 |
Prohibido administrativamente |
El NAS está configurado para prohibir el cumplimiento de mensajes de solicitud de desconexión o solicitud de CoA para la sesión especificada. |
503 |
No se encontró el contexto de la sesión |
El contexto de sesión identificado en la solicitud no existe en el NAS. |
504 |
El contexto de la sesión no extraíble |
El suscriptor identificado por atributos en la solicitud es propiedad de un componente que no es compatible. Este código solo se envía dentro de un mensaje Disconnect-NAK. |
506 |
Recursos no disponibles |
No se pudo cumplir una solicitud debido a la falta de recursos de NAS disponibles (como la memoria). |
507 |
Solicitud iniciada |
El mensaje CoA-Request incluye un atributo Service-Type con el valor Authorize Only. |
508 |
Selección de sesiones múltiples no compatible |
Los atributos de identificación de sesión incluidos en la solicitud coinciden con varias sesiones, pero el NAS no admite solicitudes que se apliquen a varias sesiones. |
Filtrado de suplicantes 802.1X mediante atributos de servidor de RADIUS
Hay dos maneras de configurar un servidor RADIUS con filtros de firewall de puerto (filtros de firewall de capa 2):
-
Incluya uno o más términos de filtro en el atributo Juniper-Switching-Filter. El atributo Juniper-Switching-Filter es un atributo específico del proveedor (VSA) que aparece bajo el número de ID de atributo 48 en el diccionario de Juniper en el servidor RADIUS. Utilice este VSA para configurar condiciones de filtro simples para usuarios con autenticación 802.1X. No es necesario configurar nada en el conmutador; toda la configuración se encuentra en el servidor de RADIUS.
-
Configure un filtro de firewall local en cada conmutador y aplíquelo a los usuarios autenticados a través del servidor RADIUS. Utilice este método para filtros más complejos. El filtro de firewall debe configurarse en cada conmutador.
Nota:Si la configuración del filtro de firewall se modifica después de autenticar a los usuarios mediante la autenticación 802.1X, la sesión de autenticación 802.1X establecida debe finalizarse y restablecerse para que los cambios de configuración del filtro de firewall surtan efecto.
En este tema verá las siguientes secciones:
- Configuración de filtros de firewall en el servidor RADIUS
- Aplicación de un filtro de firewall configurado localmente desde el servidor RADIUS
Configuración de filtros de firewall en el servidor RADIUS
A partir de Junos OS Evolved versión 22.4R1, puede configurar varios puertos de origen y destino (o rangos de puertos) en una sola línea sin tener que repetir la condición de coincidencia de nuevo. Esta característica permite longitudes de VSA más cortas y también ayuda a reducir el tamaño de los paquetes de respuesta de radio.
El filtro de conmutación permite aprovisionar una lista de valores para el tipo de éter, IP, etiqueta de origen, puerto de origen y puerto de destino.
Juniper-Switching-Filter = match dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow
Juniper-Switching-Filter = match dst-port 500 source-tag [ 100, 200 ] action allow
Juniper-Switching-Filter = match src-port 9090 ip-proto [ 25 17] action allow
Juniper-Switching-Filter = match ether-type [ 3000-4000 8000 ] action allow
Puede configurar condiciones de filtro simples mediante el atributo Juniper-Switching-Filter en el diccionario de Juniper en el servidor RADIUS. Estos filtros se envían a un conmutador cada vez que se autentica correctamente un usuario nuevo. Los filtros se crean y aplican en todos los conmutadores de la serie EX que autentican a los usuarios a través de ese servidor RADIUS sin la necesidad de configurar nada en cada conmutador individual.
Este procedimiento describe el uso del software FreeRADIUS para configurar el VSA de Juniper-Switching-Filter. Para obtener información específica sobre cómo configurar su servidor, consulte la documentación de AAA incluida con su servidor.
Para configurar el atributo Juniper-Switching-Filter, ingrese uno o varios términos de filtro mediante la CLI del servidor RADIUS. Cada término de filtro consta de condiciones de coincidencia con una acción correspondiente. Escriba los términos de filtro entre comillas (" ") con la sintaxis siguiente:
Juniper-Switching-Filter = “match <destination-mac mac-address> <source-vlan vlan-name> <source-dot1q-tag tag> <destination-ip ip-address> <ip-protocol protocol-id> <source-port port> <destination-port port> action (allow | deny) <loss-priority (low | medium | high)>”
Se puede incluir más de una condición de coincidencia en un término de filtro. Cuando se especifican varias condiciones en un término de filtro, todas deben cumplirse para que el paquete coincida con el término de filtro. Por ejemplo, el siguiente término de filtro requiere que un paquete coincida con la dirección IP de destino y la dirección MAC de destino para cumplir los criterios del término:
Juniper-Switching-Filter = “match destination-ip 10.10.10.8 destination-mac 00:00:00:01:02:03 action allow”
Varios términos de filtro deben estar separados por comas, por ejemplo:
Juniper-Switching-Filter = “match destination-mac 00:00:00:01:02:03 action allow, match destination-port 80 destination-mac 00:aa:bb:cc:dd:ee action allow”
Consulte Condiciones y acciones de coincidencia de VSA de Juniper-Switching-Filter para obtener definiciones de condiciones y acciones de coincidencia.
En conmutadores EX9200 y en un Junos Fusion Enterprise con EX9200 como dispositivo agregado, el filtro de firewall dinámico se aplica estrictamente a todos los paquetes IP. Si el filtro está configurado para permitir solo una dirección IP de destino específica, los paquetes con otras direcciones IP como IP de destino se eliminarán según las reglas de filtro. Esto incluye cualquier paquete de protocolo IP, como paquetes DHCP, IGMP y ARP.
Para configurar condiciones de coincidencia en el servidor de RADIUS:
Aplicación de un filtro de firewall configurado localmente desde el servidor RADIUS
Puede aplicar un filtro de firewall de puerto (filtro de firewall de capa 2) a las políticas de usuario de forma centralizada desde el servidor de RADIUS. A continuación, el servidor RADIUS puede especificar los filtros de firewall que se aplicarán a cada usuario que solicite autenticación, lo que reduce la necesidad de configurar el mismo filtro de firewall en varios conmutadores. Utilice este método cuando el filtro de firewall contenga un gran número de condiciones o si desea utilizar condiciones diferentes para el mismo filtro en distintos conmutadores. Los filtros de firewall deben configurarse en cada conmutador.
Para obtener más información acerca de los filtros de firewall, consulte Descripción general de los filtros de firewall para los conmutadores de la serie EX.
Para aplicar un filtro de firewall de puerto de forma centralizada desde el servidor de RADIUS:
Si los filtros de firewall de puerto también se configuran localmente para la interfaz, los filtros de firewall configurados mediante VSA tienen prioridad si entran en conflicto con los filtros de firewall de puerto configurados localmente. Si no hay conflicto, se fusionan.
Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX
802.1X es el estándar IEEE para el control de acceso a la red basado en puertos (PNAC). Usted usa 802.1X para controlar el acceso a la red. Solo los usuarios y dispositivos que proporcionen credenciales que se hayan verificado con una base de datos de usuarios podrán acceder a la red. Puede utilizar un servidor RADIUS como base de datos de usuarios para la autenticación 802.1X, así como para la autenticación MAC RADIUS.
En este ejemplo, se describe cómo conectar un servidor RADIUS a un conmutador de la serie EX y configurarlo para 802.1X:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de software y hardware:
Versión 9.0 o posterior de Junos OS para conmutadores de la serie EX
Un conmutador de la serie EX que actúa como entidad de acceso al puerto de autenticación (PAE). Los puertos en el autenticador PAE forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentiquen.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos backend y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de conectar el servidor al conmutador, asegúrese de contar con lo siguiente:
Se realizó una configuración básica de puente y VLAN en el conmutador. Consulte la documentación que describe la configuración de un puente básico y una VLAN para su conmutador. Si está utilizando un conmutador compatible con el estilo de configuración Enhanced Layer 2 Software (ELS), consulte Ejemplo: Configuración de un puente básico y una VLAN para un conmutador de la serie EX con soporte para ELS . Para todos los demás conmutadores, consulte Ejemplo: Configurar un puente básico y una VLAN para un conmutador de la serie EX.
Nota:Para obtener más información acerca de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Usuarios configurados en el servidor de autenticación de RADIUS.
Descripción general y topología
El conmutador de la serie EX actúa como un PAE autenticador. Bloquea todo el tráfico y actúa como puerta de control hasta que el suplicante (cliente) es autenticado por el servidor. Se deniega el acceso a todos los demás usuarios y dispositivos.
La figura 1 muestra un conmutador EX4200 que está conectado a los dispositivos enumerados en la tabla 2.
| Propiedad | Configuración |
|---|---|
Hardware del conmutador |
Conmutador de acceso EX4200, 24 puertos Gigabit Ethernet: 8 puertos PoE (ge-0/0/0 a ge-0/0/7) y 16 puertos no PoE (ge-0/0/8 a ge-0/0/23) |
Nombre de VLAN |
Predeterminado |
Un servidor RADIUS |
Base de datos backend con una dirección 10.0.0.100 conectada al conmutador en el puerto ge-0/0/10 |
En este ejemplo, conecte el servidor RADIUS al puerto de acceso ge-0/0/10 en el conmutador EX4200. El conmutador actúa como autenticador y reenvía las credenciales del suplicante a la base de datos de usuarios en el servidor de RADIUS. Debe configurar la conectividad entre el servidor EX4200 y el servidor RADIUS especificando la dirección del servidor y configurando la contraseña secreta. Esta información se configura en un perfil de acceso en el conmutador.
Para obtener más información acerca de los servicios de autenticación, autorización y contabilidad (AAA), consulte la Guía de configuración de conceptos básicos del sistema de Junos OS.
Configuración
Procedimiento
Configuración rápida de CLI
Para conectar rápidamente el servidor RADIUS al conmutador, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Procedimiento paso a paso
Para conectar el servidor de RADIUS al conmutador:
Defina la dirección de los servidores y configure la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor:
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
Configure el orden de autenticación, haciendo que radius sea el primer método de autenticación:
[edit] user@switch# set access profile profile1 authentication-order radius
Configure una lista de direcciones IP de servidor que se probarán en orden secuencial para autenticar al suplicante:
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Resultados
Mostrar los resultados de la configuración:
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$ABC123"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Compruebe que el conmutador y el servidor de RADIUS estén conectados correctamente
Propósito
Compruebe que el servidor RADIUS esté conectado al conmutador en el puerto especificado.
Acción
Haga ping al servidor RADIUS para verificar la conexión entre el conmutador y el servidor:
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms
Significado
Los paquetes de solicitud de eco ICMP se envían desde el conmutador al servidor de destino en 10.0.0.100 para probar si se puede acceder al servidor a través de la red IP. Las respuestas de eco ICMP se devuelven desde el servidor, lo que verifica que el conmutador y el servidor estén conectados.
Descripción de filtros dinámicos basados en atributos de RADIUS
Puede utilizar atributos de servidor de RADIUS para implementar filtros de firewall de puerto en un servidor de autenticación de RADIUS. Estos filtros se pueden aplicar dinámicamente a los suplicantes que solicitan autenticación a través de ese servidor. Los atributos del servidor RADIUS son campos de texto sin cifrar encapsulados en mensajes de aceptación de acceso enviados desde el servidor de autenticación al conmutador cuando un suplicante conectado al conmutador se autentica correctamente. El conmutador, que actúa como autenticador, utiliza la información de los atributos de RADIUS para aplicar los filtros relacionados al solicitante. Los filtros dinámicos se pueden aplicar a varios puertos en el mismo conmutador o a varios conmutadores que utilizan el mismo servidor de autenticación, lo que proporciona un control de acceso centralizado para la red.
Puede definir filtros de firewall directamente en el servidor RADIUS mediante el atributo Juniper-Switching-Filter, que es un atributo de RADIUS específico de Juniper Networks, también conocido como atributo específico del proveedor (VSA). Los VSA se describen en RFC 2138, Servicio de usuario de llamada de autenticación remota (RADIUS). El VSA de filtro de conmutación de Juniper aparece bajo el número de identificación de atributo 48 en el diccionario de Juniper en el servidor RADIUS, con el identificador de proveedor establecido en el número de identificación de Juniper Networks 2636. Con este atributo, se definen filtros en el servidor de autenticación, los cuales se aplican en todos los conmutadores que autentican a los suplicantes a través de ese servidor. Este método elimina la necesidad de configurar los mismos filtros en varios conmutadores.
Como alternativa, puede aplicar un filtro de firewall de puerto a varios puertos en el mismo conmutador mediante el atributo Filter-ID, que es el número de ID de atributo RADIUS 11. Para utilizar el atributo Filter-ID, primero debe configurar un filtro en el conmutador y, a continuación, agregar el nombre de filtro a las políticas de usuario en el servidor RADIUS como el valor del atributo Filter-ID. Cuando un suplicante definido en una de esas políticas es autenticado por el servidor de RADIUS, el filtro se aplica al puerto de conmutación que se ha autenticado para el suplicante. Utilice este método cuando el filtro de firewall tenga condiciones complejas o si desea utilizar condiciones diferentes para el mismo filtro en distintos conmutadores. El filtro nombrado en el atributo Filter-ID debe configurarse localmente en el conmutador en el nivel de jerarquía [edit firewall family ethernet-switching filter].
Los VSA solo se admiten para configuraciones de suplicante único 802.1X y configuraciones de suplicantes múltiples.
Ver también
Descripción de la asignación dinámica de VLAN mediante atributos de RADIUS
Un servidor RADIUS puede asignar dinámicamente VLAN a los suplicantes que soliciten autenticación 802.1X a través de ese servidor. La VLAN se configura en el servidor RADIUS mediante atributos de servidor RADIUS, que son campos de texto sin cifrar encapsulados en mensajes enviados desde el servidor de autenticación al conmutador cuando un suplicante conectado al conmutador solicita autenticación. El conmutador, que actúa como autenticador, utiliza la información de los atributos de RADIUS para asignar la VLAN al suplicante. Según los resultados de la autenticación, un suplicante que haya iniciado la autenticación en una VLAN podría asignarse a otra VLAN.
La autenticación correcta requiere que el ID o el nombre de VLAN estén configurados en el conmutador que actúa como autenticador 802.1X y que coincidan con el ID o el nombre de VLAN enviados por el servidor RADIUS durante la autenticación. Si no existe ninguno de los dos, el dispositivo final no se autentica. Si se establece una VLAN invitada, el dispositivo final no autenticado se mueve automáticamente a la VLAN invitada.
Los atributos del servidor RADIUS utilizados para la asignación dinámica de VLAN descritos en RFC 2868, Atributos de RADIUS para la compatibilidad con protocolos de túnel.
Tipo de túnel: se define como el tipo de atributo RADIUS 64. El valor debe establecerse en
VLAN.Tipo medio de túnel: se define como el tipo de atributo RADIUS 65. El valor debe establecerse en
IEEE-802.Tunnel-Private-Group-ID: se define como el tipo de atributo RADIUS 81. El valor debe establecerse en el ID de VLAN o el nombre de VLAN.
Para obtener más información acerca de cómo configurar VLAN dinámicas en el servidor RADIUS, consulte la documentación del servidor RADIUS.
Ver también
Configuración de grupos de VLAN en serie EX Conmutadores
Con la función de grupo de VLAN, puede distribuir clientes entre las VLAN. Cuando habilite esta función, puede alinear una sola LAN inalámbrica (WLAN) a una sola VLAN o a varias VLAN. Cuando se configura el grupo de VLAN, se asigna un cliente a una de las VLAN configuradas. Esta función admite el equilibrio de carga dinámico de usuarios entre las VLAN de un grupo VLAN. Esta función sigue el algoritmo round-robin para asignar usuarios a la siguiente VLAN disponible en un grupo de VLAN.
Para el equilibrio de carga dinámico de VLAN, agregue el nombre de grupo de VLAN en lugar de un ID de VLAN normal o un nombre de VLAN en el Tunnel-Private-Group-ID atributo (definido en RFC 2868 como el tipo de atributo RADIUS 81). Posteriormente, se envía esta información en la respuesta de RADIUS cuando un suplicante solicita autenticación 802.1X a través del servidor de RADIUS. Cuando el conmutador recibe el nombre del grupo VLAN, asigna el punto de conexión a una de las VLAN de ese grupo mediante el algoritmo round-robin. El grupo VLAN permite asignar una VLAN de una lista preconfigurada, lo que reduce la necesidad de que los administradores equilibren la carga de la red.
Cuando configure un grupo de VLAN, tenga en cuenta lo siguiente:
-
Puede configurar un máximo de 4096 grupos de VLAN.
-
Debe crear una VLAN antes de asignarla a los clientes. Cualquier VLAN que no exista en el conmutador se ignora durante la asignación.
-
Un nombre de VLAN no puede ser el mismo que el nombre del grupo de VLAN.
-
Una VLAN de VoIP no debe formar parte del grupo vlan. Una VLAN VoIP, si está presente, será ignorada.
-
Cuando elimina una VLAN, todas las sesiones autenticadas 802.1X asociadas con esa VLAN finalizan.
-
Puede eliminar un grupo de VLAN sin causar ninguna interrupción a los clientes que ya se asignaron a las VLAN de ese grupo de VLAN.
-
Puede eliminar una VLAN de un grupo de VLAN sin causar ninguna interrupción a los clientes que ya se asignaron a esa VLAN. Sin embargo, un cliente puede enfrentar interrupciones si:
-
La sesión del cliente caduca.
-
Una reautenticación o un cambio de rol se realiza mediante una solicitud de cambio de autorización (CoA).
-
Para configurar grupos de VLAN en conmutadores de la serie EX:
Ver también
Descripción de VLAN invitado para 802.1X en conmutadores
Las VLAN de invitados se pueden configurar en conmutadores que utilizan autenticación 802.1X para proporcionar acceso limitado (por lo general, solo a Internet) a invitados corporativos. La VLAN invitada se utiliza como reserva cuando:
El suplicante no está habilitado para 802.1X y no responde a los mensajes EAP.
La autenticación MAC RADIUS no se ha configurado en las interfaces del conmutador a las que está conectado el suplicante.
El portal cautivo no se ha configurado en las interfaces de conmutador a las que está conectado el suplicante.
Una VLAN invitada no se utiliza para los suplicantes que envían credenciales incorrectas. En su lugar, esos suplicantes se dirigen a la VLAN de rechazo del servidor.
En el caso de los dispositivos finales que no están habilitados para 802.1X, una VLAN invitada puede permitir el acceso limitado a un servidor desde el cual el dispositivo final no habilitado para 802.1X puede descargar el software suplicante e intentar la autenticación de nuevo.
Ver también
Ejemplo: configuración de opciones de autenticación 802.1X cuando el servidor RADIUS no está disponible para un conmutador de la serie EX
La reserva de fallo del servidor le permite especificar cómo se admiten los suplicantes 802.1X conectados al conmutador si el servidor de autenticación de RADIUS deja de estar disponible.
Usted usa 802.1X para controlar el acceso a la red. Solo los usuarios y dispositivos (suplicantes) que proporcionen credenciales que se hayan verificado con una base de datos de usuarios pueden acceder a la red. Utilice un servidor RADIUS como base de datos de usuarios.
En este ejemplo, se describe cómo configurar una interfaz para mover un suplicante a una VLAN en caso de que se agote el tiempo de espera del servidor RADIUS:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Versión 9.3 o posterior de Junos OS para conmutadores de la serie EX
Un conmutador de la serie EX que actúa como entidad de acceso al puerto de autenticación (PAE). Los puertos en el autenticador PAE forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentiquen.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos backend y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de conectar el servidor al conmutador, asegúrese de contar con lo siguiente:
Se realizó una configuración básica de puente y VLAN en el conmutador. Consulte la documentación que describe la configuración de un puente básico y una VLAN para su conmutador. Si está utilizando un conmutador compatible con el estilo de configuración Enhanced Layer 2 Software (ELS), consulte Ejemplo: Configurar un puente básico y una VLAN para un conmutador de la serie EX con soporte ELS o Ejemplo: Configurar un puente básico y una VLAN en conmutadores. Para todos los demás conmutadores, consulteEjemplo: Configurar un puente básico y una VLAN para un conmutador de la serie EX.
Nota:Para obtener más información acerca de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Configure una conexión entre el conmutador y el servidor de RADIUS. Consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
Usuarios configurados en el servidor de autenticación.
Descripción general y topología
Se agota el tiempo de espera del servidor RADIUS si no se puede acceder a ningún servidor RADIUS de autenticación cuando un suplicante inicia sesión e intenta acceder a la LAN. Con la reserva de servidor puede configurar opciones alternativas para los suplicantes que intentan acceder a una LAN. Puede configurar el conmutador para aceptar o denegar el acceso a los suplicantes, o para mantener el acceso ya concedido a los suplicantes antes del tiempo de espera del servidor RADIUS. Además, puede configurar el conmutador para mover suplicantes a una VLAN específica si se agota el tiempo de espera de RADIUS.
En la figura 2, se muestra la topología utilizada para este ejemplo. El servidor RADIUS está conectado al conmutador EX4200 en el puerto de acceso ge-0/0/10. El conmutador actúa como entidad de acceso al puerto de autenticación (PAE) y reenvía las credenciales del suplicante a la base de datos de usuarios en el servidor de RADIUS. El conmutador bloquea todo el tráfico y actúa como puerta de control hasta que el servidor de autenticación autentica al suplicante. Un suplicante se conecta al conmutador a través de la interfaz ge-0/0/1.
Esta cifra también se aplica a los conmutadores QFX5100.
802.1X
En la Tabla 3 se describen los componentes de esta topología.
| Propiedad | Configuración |
|---|---|
Hardware del conmutador |
Conmutador de acceso EX4200, 24 puertos Gigabit Ethernet: 16 puertos no PoE y 8 puertos PoE. |
Nombres VLAN |
Predeterminado VLAN vlan-sf VLAN |
Suplicante |
Suplicante que intenta acceder en la interfaz ge-0/0/1 |
Un servidor RADIUS |
Base de datos backend con una dirección de 10.0.0.100 conectada al conmutador en el puerto ge-0/0/10 |
En este ejemplo, configure la interfaz ge-0/0/1 para mover a otro VLAN a un suplicante que intenta acceder a la LAN durante un tiempo de espera de RADIUS. Un tiempo de espera de RADIUS impide el intercambio normal de mensajes EAP que transportan información desde el servidor de RADIUS al conmutador y permiten la autenticación de un suplicante. La VLAN predeterminada se configura en la interfaz ge-0/0/1. Cuando se agota el tiempo de espera de RADIUS, los suplicantes de la interfaz se moverán de la VLAN predeterminada a la VLAN denominada vlan-sf.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la reserva de servidor en el conmutador, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit protocols dot1x authenticator] set interface ge-0/0/1 server-fail vlan-name vlan-sf
Procedimiento paso a paso
Para configurar una interfaz a fin de desviar a los suplicantes a una VLAN específica cuando se agote el tiempo de espera de RADIUS (aquí, la VLAN es vlan-sf):
Defina la VLAN a la que se derivan los suplicantes:
[edit protocols dot1x authenticator] user@switch# set interface ge-0/0/1 server-fail vlan-name vlan-sf
Resultados
Mostrar los resultados de la configuración:
user@switch> show configuration
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members default;
}
}
}
}
protocols {
dot1x {
authenticator {
interface {
ge-0/0/1.0 {
server-fail vlan-name vlan-sf;
}
}
}
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de que los suplicantes se han movido a una VLAN alternativa durante un tiempo de espera de RADIUS
Propósito
Compruebe que la interfaz mueve a los suplicantes a una VLAN alternativa durante un tiempo de espera de RADIUS.
En los conmutadores que ejecutan Junos OS para la serie EX compatibles con ELS, el resultado del show vlans comando contendrá información adicional. Si su conmutador utiliza software compatible con ELS, consulte show vlans. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software
Acción
Muestra las VLAN configuradas en el conmutador; la interfaz ge-0/0/1.0 es miembro de la VLAN predeterminada :
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/0.0, ge-0/0/1.0*, ge-0/0/5.0*, ge-0/0/10.0,
ge-0/0/12.0*, ge-0/0/14.0*, ge-0/0/15.0, ge-0/0/20.0
v2 77
None
vlan—sf 50
None
mgmt
me0.0*
Muestra información del protocolo 802.1X en el conmutador para ver a los suplicantes autenticados en la interfaz ge-0/0/1.0:
user@switch> show dot1x interface brief 802.1X Information: Interface Role State MAC address User ge-0/0/1.0 Authenticator Authenticated 00:00:00:00:00:01 abc ge-0/0/10.0 Authenticator Initialize ge-0/0/14.0 Authenticator Connecting ge-0/0/15.0 Authenticator Initialize ge-0/0/20.0 Authenticator Initialize
Se agota el tiempo de espera del servidor RADIUS. Muestre la tabla de conmutación Ethernet para mostrar que el suplicante con la dirección MAC 00:00:00:00:00:01 que anteriormente accedía a la LAN a través de la VLAN predeterminada ahora está aprendiendo en la VLAN denominada vlan-sf:
user@switch> show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned VLAN MAC address Type Age Interfaces v1 * Flood - All-members vlan—sf 00:00:00:00:00:01 Learn 1:07 ge-0/0/1.0 default * Flood - All-members
Muestra información del protocolo 802.1X para mostrar que la interfaz ge-0/0/1.0 se está conectando y abrirá el acceso LAN a los suplicantes:
user@switch> show dot1x interface brief
802.1X Information:
Interface Role State MAC address User
ge-0/0/1.0 Authenticator Connecting
ge-0/0/10.0 Authenticator Initialize
ge-0/0/14.0 Authenticator Connecting
ge-0/0/15.0 Authenticator Initialize
ge-0/0/20.0 Authenticator Initialize
Significado
El show vlans comando muestra la interfaz ge-0/0/1.0 como miembro de la VLAN predeterminada . El show dot1x interface brief comando muestra que un suplicante (abc) está autenticado en la interfaz ge-0/0/1.0 y tiene la dirección MAC 00:00:00:00:00:01. Se agota el tiempo de espera del servidor RADIUS y el conmutador no puede comunicarse con el servidor de autenticación. El comando show-ethernet-switching table muestra que la dirección MAC 00:00:00:00:00:01 se aprende en VLAN vlan-sf. El suplicante se movió de la VLAN predeterminada a la VLAN vlan-sf . Luego, el suplicante se conecta a la LAN a través de la VLAN denominada vlan-sf.
Ejemplo: Configuración de opciones de reserva en conmutadores de la serie EX para autenticación EAP-TTLS y clientes de acceso a Odyssey
Para la autenticación de usuario 802.1X, los conmutadores de la serie EX admiten servidores de autenticación RADIUS que utilizan TLS en túnel con protocolo de autenticación extensible (EAP-TTLS) para autenticar a los suplicantes del cliente de acceso a Odyssey (OAC). El software de redes OAC se ejecuta en computadoras de punto de conexión (computadoras de escritorio, portátiles o con bloc de notas y dispositivos inalámbricos compatibles) y proporciona acceso seguro a redes por cable e inalámbricas.
En este ejemplo, se describe cómo configurar una interfaz habilitada para 802.1X en el conmutador para proporcionar compatibilidad de reserva a los usuarios de OAC que ingresaron credenciales de inicio de sesión incorrectas:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Versión 11.2 o posterior de Junos OS para conmutadores de la serie EX
Un conmutador de la serie EX que actúa como entidad de acceso al puerto de autenticación (PAE). Los puertos en el autenticador PAE forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentiquen.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos backend y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Un dispositivo final OAC que actúa como suplicante.
Antes de empezar a configurar la opción de reserva, asegúrese de contar con lo siguiente:
Configure una conexión entre el conmutador y el servidor de RADIUS. Consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
Configurado EAP-TTLS en el servidor. Consulte la documentación del servidor RADIUS.
Usuarios configurados en el servidor de RADIUS. Consulte la documentación del servidor RADIUS.
Descripción general y topología
OAC es un software de red que se ejecuta en computadoras de punto de conexión (computadoras de escritorio, portátiles o bloc de notas) y dispositivos inalámbricos compatibles. OAC proporciona soporte completo para EAP, que es necesario para el acceso seguro a la LAN inalámbrica.
En esta topología, OAC se implementa con un conmutador habilitado para 802.1X y un servidor RADIUS. El conmutador funciona como un punto de cumplimiento en la arquitectura de seguridad de red. Esta topología:
Garantiza que solo los usuarios autorizados puedan conectarse.
Mantiene la privacidad de las credenciales de inicio de sesión.
Mantiene la privacidad de los datos a través del enlace inalámbrico.
Este ejemplo incluye la configuración de una VLAN de rechazo de servidor en el conmutador, que se puede utilizar para evitar el bloqueo accidental de los usuarios que ingresaron credenciales de inicio de sesión incorrectas. A estos usuarios se les puede dar acceso limitado a la LAN.
Sin embargo, esta configuración de reserva se complica por el hecho de que el suplicante OAC y el servidor RADIUS utilizan EAP-TTLS. EAP-TTLS crea un túnel cifrado seguro entre el servidor y el dispositivo final para completar el proceso de autenticación. Cuando el usuario introduce credenciales de inicio de sesión incorrectas, el servidor de RADIUS envía mensajes de error de EAP directamente al cliente a través de este túnel. El mensaje de falla de EAP hace que el cliente reinicie el procedimiento de autenticación, de modo que el proceso de autenticación 802.1X del conmutador destruya la sesión que se estableció con el conmutador mediante la VLAN de rechazo del servidor. Puede habilitar la conexión correctiva para continuar configurando:
eapol-block: habilite el temporizador de bloque EAPoL en la interfaz 802.1X que está configurada para pertenecer a la VLAN de rechazo del servidor. El temporizador de bloque hace que la entidad de acceso al puerto de autenticación ignore los mensajes de inicio de EAP del cliente e intente reiniciar el procedimiento de autenticación.
Nota:El temporizador de bloque EAPoL se activa solo después de que se haya agotado el número configurado de reintentos permitidos (mediante la opción reintentos ) en la interfaz 802.1X. Puede configurar reintentos para especificar la cantidad de veces que el conmutador intenta autenticar el puerto después de una falla inicial. El valor predeterminado es de tres reintentos.
block-interval: configure la cantidad de tiempo que desea que el temporizador de bloqueo de EAPoL continúe ignorando los mensajes de inicio de EAP. Si no configura el intervalo de bloqueo, el temporizador de bloqueo de EAPoL tiene como valor predeterminado 120 segundos.
Cuando la interfaz 802.1X ignora los mensajes de inicio de EAP del cliente, el conmutador permite que la sesión de reparación existente que se estableció a través de la VLAN de rechazo del servidor permanezca abierta.
Estas opciones de configuración se aplican a los modos de autenticación de suplicante único, único seguro y múltiple. En este ejemplo, la interfaz 802.1X se configura en modo de suplicante único.
La figura 3 muestra un conmutador de la serie EX que conecta un dispositivo final OAC a un servidor RADIUS e indica los protocolos que se utilizan para conectar las entidades de red.
Esta cifra también se aplica a los conmutadores QFX5100.
EAP-TTLS
Topología
En la Tabla 4 se describen los componentes de esta implementación de OAC:.
| Propiedad | Configuración |
|---|---|
Hardware del conmutador |
Conmutador de la serie EX |
VLAN |
Predeterminado server-reject-vlan: el nombre de VLAN es correctivo y el ID de VLAN es 700 |
Interfaz 802.1X |
GE-0/0/8 |
Suplicante OAC |
EAP-TTLS |
Un servidor de autenticación RADIUS |
EAP-TTLS |
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente las opciones de reserva para suplicantes EAP-TTLS y OAC, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans remedial vlan-id 700 set protocols dot1x authenticator interface ge-0/0/8 retries 4 set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan remedial set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan eapol-block set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan block-interval 130
Procedimiento paso a paso
Para configurar las opciones de reserva para suplicantes EAP-TTLS y OAC:
En este ejemplo, el conmutador solo tiene una VLAN de rechazo de servidor. Por lo tanto, la configuración especifica eapol-block y block-interval directamente después de server-reject-vlan. Sin embargo, si configuró varias VLAN en el conmutador, debe incluir el nombre de VLAN o el ID de VLAN directamente después de server-reject-vlan para indicar qué VLAN se está modifican.
Configure una VLAN que funcionará como la VLAN de rechazo del servidor para proporcionar acceso limitado a la LAN a los usuarios que hayan introducido credenciales de inicio de sesión incorrectas:
[edit] user@switch# set vlans remedial vlan-id 700
Configure el número de veces que se solicitará al cliente el nombre de usuario y la contraseña antes de que se dirija un inicio de sesión incorrecto a la VLAN de rechazo del servidor:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set retries 4
Configure la interfaz del autenticador 802.1X para utilizar la VLAN de rechazo de servidor como reserva en caso de inicios de sesión incorrectos:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan remedial
Habilite el temporizador de bloque EAPoL en la interfaz 802.1X configurada para pertenecer a la VLAN de rechazo de servidor.
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan eapol-block
Configure la cantidad de tiempo durante el cual el bloque EAPoL permanecerá en vigor:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan block-interval 130
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
retries 4;
server-reject-vlan remedial block-interval 130 eapol-block;
}
Verificación
Para confirmar que la configuración y las opciones de reserva funcionan correctamente, realice esta tarea:
Verificar la configuración de la interfaz 802.1X
Propósito
Compruebe que la interfaz 802.1X está configurada con las opciones deseadas.
Acción
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 4
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 120 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPoL requests: 2
Guest VLAN member: guest
Number of connected supplicants: 1
Supplicant: tem, 2A:92:E6:F2:00:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Radius
Authenticated VLAN: remedial
Session Reauth interval: 120 seconds
Reauthentication due in 68 seconds
Significado
El show dot1x ge-0/0/8 detail resultado del comando muestra que la interfaz ge-0/0/8 está en el estado Autenticado y que está utilizando la VLAN correctiva .
Supervisión de la autenticación 802.1X
Propósito
Este tema solo se aplica al paquete de la aplicación J-Web.
Utilice la función de supervisión para mostrar detalles de los usuarios autenticados y de los usuarios que no pudieron autenticarse.
Acción
Para mostrar los detalles de autenticación en la interfaz de J-Web, seleccione Supervisión > Seguridad > 802.1X.
Para mostrar los detalles de autenticación en la CLI, escriba los siguientes comandos:
show dot1x interface detail | display xmlshow dot1x interface detail <interface> | display xmlshow dot1x auth-failed-users
Significado
Los detalles mostrados incluyen:
Una lista de usuarios autenticados.
El número de usuarios conectados.
Una lista de usuarios que no pudieron autenticarse.
También puede especificar una interfaz para la cual se deben mostrar los detalles.
Ver también
Verificar autenticación 802.1X
Propósito
Compruebe que los suplicantes se están autenticando en una interfaz en un conmutador con la interfaz configurada para la autenticación 802.1X y muestre el método de autenticación que se está utilizando.
Acción
Muestra información detallada acerca de una interfaz configurada para 802.1X (aquí, la interfaz es ge-0/0/16):
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: v200
Reauthentication due in 17 seconds
Significado
El resultado de ejemplo del show dot1x interface detail comando muestra que es Number of connected supplicants 1. El suplicante que se autenticó y que ahora está conectado a la LAN se conoce como user5 en el servidor de RADIUS y tiene la dirección MAC 00:30:48:8C:66:BD. El suplicante se autenticó mediante el método de autenticación 802.1X llamado autenticación RADIUS, como se indica Radius en el resultado. Cuando se utiliza la autenticación RADIUS, el suplicante se configura en el servidor RADIUS, el servidor RADIUS lo comunica al conmutador y el conmutador abre el acceso LAN en la interfaz a la que está conectado el suplicante. El resultado de prueba también muestra que el suplicante está conectado a la VLAN v200.
Otros métodos de autenticación 802.1X admitidos en los conmutadores de la serie EX, además de la autenticación RADIUS, son:
VLAN invitada: a un host que no responde se le concede acceso a VLAN de invitado.
Radio MAC: un host que no responde se autentica en función de su dirección MAC. La dirección MAC se configura como permitida en el servidor RADIUS, el servidor RADIUS notifica al conmutador que la dirección MAC es una dirección permitida y el conmutador concede acceso LAN al host que no responde en la interfaz a la que está conectado.
Denegación de error del servidor: si se agota el tiempo de espera de los servidores RADIUS, se deniega el acceso a la LAN a todos los suplicantes, lo que impide que el tráfico del suplicante atraviese la interfaz. Esta es la opción predeterminada.
Permiso de error del servidor: cuando el servidor de RADIUS no está disponible, se permite el acceso de un suplicante a la LAN como si el servidor de RADIUS hubiera autenticado correctamente al suplicante.
server-fail use-cache: si se agota el tiempo de espera de los servidores RADIUS durante la reautenticación, a los suplicantes previamente autenticados se les concede acceso a LAN, pero a los nuevos suplicantes se les deniega el acceso a LAN.
VLAN con errores en el servidor: un suplicante está configurado para trasladarse a una VLAN especificada si el servidor de RADIUS no está disponible para volver a autenticar al suplicante. (La VLAN ya debe existir en el conmutador).
Ver también
Solución de problemas de autenticación de dispositivos finales en serie EX Conmutadores
Problema
Descripción
Los dispositivos finales configurados con direcciones MAC estáticas pierden la conexión con el conmutador después de ejecutar el comando clear dot1x interface para borrar todas las direcciones MAC aprendidas.
Antes de borrar las direcciones MAC:
user@switch# run show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members default 00:a0:d4:00:03:00 Learn 0 ge-3/0/16.0 user@switch> show dot1x authentication-bypassed-users MAC address Interface VLAN 00:a0:d4:00:03:00 ge-3/0/16.0 configured/default
Para borrar direcciones MAC:
user@switch> clear dot1x interface
Después de borrar las direcciones MAC:
user@switch> show ethernet-switching table Ethernet-switching table: 2 entries, 0 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members user@switch> show dot1x authentication-bypassed-users
Tenga en cuenta que no hay dispositivos finales en la lista de anulación de autenticación.
Causa
Las direcciones MAC estáticas se tratan de la misma manera que otras direcciones MAC aprendidas en una interfaz. Cuando se ejecuta el comando clear dot1x interface, borra todas las direcciones MAC aprendidas de la interfaz, incluida la lista de bypass de MAC estática (también conocida como lista de exclusión).
Solución
Si ejecuta el comando clear dot1x interfaces para una interfaz que tiene direcciones MAC estáticas configuradas para la omisión de autenticación, vuelva a agregar las direcciones MAC estáticas a la lista de anulación de MAC estática.
Ver también
Atributos de RADIUS y atributos específicos del proveedor (VSA) de Juniper Networks compatibles con 802.1X
El autenticador (servidor de acceso a la red), el suplicante (cliente) y el servidor de autenticación están involucrados en la autenticación 802.1X (servidor RADIUS). El protocolo RADIUS se utiliza como mecanismo de solicitud/respuesta para la comunicación entre el NAS y el servidor Radius. Hay cero o más valores de longitud de tipo (TLV/atributos) tanto en las solicitudes como en las respuestas.
El acceso de cada solicitante se puede restringir mediante el uso de un conjunto estándar de características definidas y atributos específicos del proveedor habilitados por 802.1X. (cliente). Ciertos atributos se pueden utilizar más de una vez para admitir valores más largos porque el atributo Clase de radio tiene un tamaño máximo de 253 bytes.
Beneficios de usar los atributos estándar y VSA de RADIUS
Para conectarse con un servidor RADIUS externo para la autenticación, autorización y contabilidad del suscriptor, se requieren atributos estándar de RADIUS.
Los VSA permiten la implementación de numerosas características valiosas que son necesarias para la administración de suscriptores y el soporte del servicio, extendiendo la capacidad del servidor RADIUS más allá de lo proporcionado por los atributos estándar públicos.
Atributos de radio y lista VSA compatibles con 802.1X
| Tipo | Atributo | Definición |
|---|---|---|
| 1 |
Nombre de usuario | RFC 2865 |
| 6 |
tipo de servicio | RFC 2865 |
| 11 |
ID de filtro | RFC 2865 |
| 24 |
Estado | RFC 2865 |
| 25 |
Clase | RFC 2865 |
| 26 |
Específico del proveedor | RFC 2865 |
| 27 |
Tiempo de espera de sesión | RFC 2865 |
| 56 |
Salida-VLANID | RFC 4675 |
| 57 |
nombre-de-vlan-de-salida | RFC 4675 |
| 61 |
Tipo de puerto NAS | RFC 2865 |
| 64 |
tipo túnel | RFC 2868 |
| 65 |
tipo mediano de túnel | RFC 2868 |
| 81 |
ID de grupo privado de túnel | RFC 2868 |
| 85 |
Cuenta-interim-intervalo | RFC 2869 (en inglés) |
| 102 |
Nombre de clave EAP | RFC 4072 |
| ID del proveedor | Número | VSA de Juniper | VSA de Microsoft | Cisco VSA |
|---|---|---|---|---|
| 2636 | 48 | Filtro de conmutación de Juniper | ||
| 49 | Juniper-VoIP-VLAN | |||
| 50 | URL de redirección de Juniper-CWA | |||
| 52 | Juniper-AV-Pair = Rebote de puerto |
|||
| Juniper-AV-Pair = vinculación de sesión ip-mac de Juniper |
||||
| Juniper-AV-Pair = No-Mac-Binding-Reauth |
||||
| Juniper-AV-Pair = modo suplicante-único |
||||
| Juniper-AV-Pair = Modo suplicante, único y seguro |
||||
| Juniper-AV-Pair = Retención-Mac-Envejecida-Sesión |
||||
| 53 | Tipo de evento de Juniper |
|||
| 54 | Tipo de subevento de Juniper | |||
| 55 | mensaje genérico de juniper | |||
| 311 | 16 | Clave de envío de MS-MPPE | ||
| 17 | Clave MS-MPPE-recv | |||
| 9 | 1 | Cisco-AVPair = "suscriptor: comando = puerto de host de rebote" |
||
| Cisco-AVPair = "suscriptor: comando = reautenticar" |
||||
| Cisco-AVPair = "suscriptor: reauthenticate-type=rerun" |
||||
| "suscriptor: reauthenticate-type=last" | ||||
| "redirección de URL" |
Atributos de RADIUS admitidos por 802.1X
Nombre de usuario:
El nombre del usuario que debe verificarse se indica con este atributo. Si están disponibles, se deben usar paquetes de solicitud de acceso para enviar este atributo. El tipo de RADIUS para este atributo es 1.
ID de filtro:
En el servidor de RADIUS, las políticas de usuario pueden estar sujetas a un filtro de firewall. El servidor RADIUS se puede utilizar para especificar los filtros de firewall que se aplicarán a cada usuario que envíe una solicitud de autenticación. Cada conmutador debe configurarse con filtros de firewall.
Debe configurar el filtro de firewall en el conmutador local para poder aplicar el filtro de forma centralizada desde el servidor de RADIUS.[root@freeradius]# cd /usr/local/pool/raddb vi users
Agregue el filtro para cada usuario relevante.
Filter-Id = Filter1
Estado:
Entre el dispositivo y el servidor de RADIUS, la información de estado se puede conservar con el uso del atributo String. El tipo de RADIUS para este atributo es 24.
Salida-VLANID:
Una VLANID de salida IEEE 802 permitida para este puerto está representada por el atributo Egress-VLANID, que también especifica si la VLANID está permitida para tramas etiquetadas o sin etiquetar, además de VLANID. El atributo Egress-VLANID se define en el RFC 4675.
Los atributos de salida VLANID de los paquetes Access-Request, Access-Accept o CoA-Request pueden incluir varios valores. No Access-Challenge, Access-Reject, Disconnect-Request, Disconnect-ACK, Disconnect-NAK, CoA-ACK o CoA-NAK pueden incluir esta característica. Cada atributo agrega la VLAN proporcionada a la lista de VLAN de salida permitidas del puerto.
Si las tramas en la VLAN están etiquetadas (0x31) o sin etiquetar (0x32), el campo Indicación de etiqueta, que tiene un octeto de longitud, lo indica. La VLANID tiene una longitud de 12 bits y contiene el valor VLAN VID.
Para Egress-VLAN-ID:
0x31 = tagged 0x32 = untagged
Por ejemplo, el siguiente perfil de RADIUS incluye una VLAN con etiqueta y otra sin etiquetar:
001094001177 Cleartext-Password := "001094001177" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLANID += 0x3100033, Egress-VLANID += 0x3200034,
Nombre de la VLAN de salida:
Egress-VLAN-Name representa una VLAN permitida para este puerto. Sin embargo, de manera similar al atributo Egress-VLANID, en lugar de usar el VLAN-ID, que está definido o conocido, se usa el nombre de VLAN para identificar la VLAN dentro del sistema. El RFC 4675 contiene una definición para el atributo Egress-VLAN-Name.
El nombre de VLAN es la segunda parte del atributo Egress-VLAN-Name de dos partes, que también especifica si las tramas en la VLAN para este puerto se deben mostrar en formato etiquetado o sin etiquetar.
Para Egress-VLAN-Name: 1 = etiquetado y 2 = sin etiquetar
En el siguiente ejemplo, se muestra que la VLAN 1vlan-2 está etiquetada, mientras que la VLAN 2vlan-3 no lo está.001094001144 Cleartext-Password := "001094001144" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
Tipo de túnel:
Este atributo especifica el protocolo de tunelización actualmente en uso o el protocolo de tunelización que se utilizará (en el caso de un iniciador de túnel) (en el caso de un terminador de túnel). RFC 2868 especifica el atributo Tunnel-Type. El tipo de RADIUS para este atributo es 64
ID de grupo privado de túnel:
El ID o NAME de VLAN de la sesión se muestra mediante el atributo Tunnel-Medium-Type. El dispositivo verifica si la cadena que recibe es un nombre VLAN o un ID después de obtener un valor suministrado para el atributo Tunnel-Private-Group-ID del radius y comprueba si el dispositivo está configurado con una VLAN.
Si se configuró una VLAN, el puerto de cliente se agregará a esa VLAN. De lo contrario, debido a un error en la validación de VLAN, no se permitirá al cliente y se mantendrá en estado retenido.
El tipo de RADIUS para este atributo es 81, según RFC 2868.
[root@freeradius]# cat /usr/local/etc/raddb/users supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005",
Acct-interim-interval:
El valor del atributo Acct-Interim-Interval representa el intervalo de tiempo en segundos entre cada transmisión de una actualización provisional para una sesión determinada. El número de segundos que han pasado desde el último mensaje de actualización de contabilidad es el valor de este atributo.
Un administrador también puede establecer un valor mínimo localmente en un cliente RADIUS, sin embargo, este valor siempre tiene prioridad sobre cualquier valor de intervalo intermedio detectado en un paquete de aceptación de acceso. El tipo de RADIUS para este atributo es 85.
VSA de Juniper Networks
Filtro de conmutación de Juniper:
El atributo Juniper-Switching-Filter en el diccionario de Juniper en el servidor RADIUS le permite especificar criterios de filtro sencillos. Después de eso, cada vez que se autoriza con éxito a un nuevo usuario, estos filtros se entregan a un conmutador.
Los conmutadores que utilizan el servidor RADIUS para la autenticación de usuario construyen y aplican automáticamente los filtros sin necesidad de ninguna configuración específica del conmutador. Ingrese una o más condiciones de coincidencia, acciones y asociaciones de usuario en el servidor RADIUS para configurar la propiedad Juniper-Switching-Filter.
Para filtros de conmutación más largos, use varias instancias del atributo Juniper-switching-filter con un límite máximo de 20 condiciones de coincidencia y un tamaño total máximo de 4000 caracteres. La longitud máxima de cualquier atributo de radio es de 253 caracteres, por lo que cada línea del atributo "filtro de conmutación de Juniper" también debe tener menos de 253 caracteres.
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter = "match src-tag dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow ", Juniper-Switching-Filter += "match src-port 500 dst-port 600 src-tag [ 100, 200 ] action allow ", Juniper-Switching-Filter += "match ip-proto src-port 9090 ip-proto [ 25 17] action allow ", Juniper-Switching-Filter += "match src-port 100-120 200-220 300-320 src-tag ip-proto 26 18 action allow ", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000 ] ip-proto 240 action allow "
Se admiten las siguientes condiciones de coincidencia de filtro:
· destination-mac / dst-mac · destination-port / dst-port · destination-ip / dst · ip-protocol / ip-proto · source-port / src-port · source-dot1q-tag / src-tag · ether-type
- Allow · Deny · GBP · Trap to CPU · Loss-Priority
i) Compruebe que el diccionario de Juniper está cargado en su servidor RADIUS e incluye el atributo de filtrado Juniper-Switching-Filter, ID de atributo 48:
[root@freeradius]# cat /usr/local/share/freeradius/dictionary.juniper # dictionary.juniper # $ # VENDOR Juniper 2636 BEGIN-VENDOR Juniper ATTRIBUTE Juniper-Local-User-Name 1 string ATTRIBUTE Juniper-Allow-Commands 2 string ATTRIBUTE Juniper-Deny-Commands 3 string ATTRIBUTE Juniper-Allow-Configuration 4 string ATTRIBUTE Juniper-Deny-Configuration 5 string ATTRIBUTE Juniper-Switching-Filter 48 string ATTRIBUTE Juniper-VoIP-Vlan 49 string ATTRIBUTE Juniper-CWA-Redirect 50 string ATTRIBUTE Juniper-AV-Pair 52 string END-VENDOR Juniper
ii) Ingrese las condiciones y acciones de coincidencia.
[root@freeradius]# cd /usr/local/etc/raddb vi users
Para cada usuario relevante, agregue el atributo Juniper-Switching-Filter. Para denegar o permitir el acceso en función de la MAC de destino, use
Juniper-Switching-Filter = "Match Destination mac 00:00:00:01:02:03 Action allow",
o bien
Juniper-Switching-Filter = "Match Destination-mac 00:00:00:01:02:03 Action deny",
Para denegar o permitir el acceso en función de la dirección IP de destino:
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action deny"
o bien
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action allow"
Para enviar varios filtros con diferentes coincidencias y acciones:
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter += "Match Ip-protocol 1 Destination-port 53 Action allow,", Juniper-Switching-Filter += "Match ip-proto [ 17, 25 ] dst-port 53 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 2 src-port 67 Action allow,", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000] action deny,", Juniper-Switching-Filter += "Match destination-port 23 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 6 Destination-port 80 Action trap,",
o bien
Juniper-Switching-Filter = "Match Ip-protocol 6 Destination-port 53 Action allow , Match Ip-protocol [ 17 25] Destination-port 53 Action allow , Match Ether-type [2054-2070] Action deny, Match Ip-protocol 6 Destination-port 443 Action trap"
Para establecer la prioridad de pérdida de paquetes (PLP) en alta según una dirección MAC de destino y el protocolo IP:
Juniper-Switching-Filter = "match destination-mac 00:04:0f:fd:ac:fe, ip-protocol 2, action loss-priority high"
VoIP y VLAN de Juniper:
La VLAN VOIP se recupera del servidor RADIUS mediante VSA Juniper-VoIP-VLAN en un mensaje de aceptación de acceso o un mensaje de solicitud COA. Este atributo es el número 49.
Juniper-VoIP-Vlan = "voip_vlan"
VoIP le permite conectar teléfonos IP al conmutador y configurar la autenticación IEEE 802.1X para teléfonos IP compatibles con 802.1X.
Las LAN Ethernet están aseguradas contra el acceso ilegal de usuarios gracias a la autenticación 802.1X. Un protocolo conocido como VoIP se utiliza para transmitir voz a través de redes conmutadas por paquetes. VoIP utiliza una conexión de red, a diferencia de una línea telefónica analógica, para transmitir llamadas de voz. Cuando se usa VoIP con 802.1X, el servidor de RADIUS verifica la identidad del teléfono, mientras que el protocolo de descubrimiento de capa de enlace-descubrimiento de puntos de conexión de medios (LLDP-MED) proporciona al teléfono los parámetros de clase de servicio (CoS).
Redirección Juniper-CWA:
Con el VSA de redireccionamiento Juniper-CWA, que es el atributo número 50 en el diccionario Juniper RADIUS, la URL de redireccionamiento se puede configurar de forma centralizada en el servidor AAA. El servidor AAA entrega el filtro de firewall dinámico y la URL al conmutador en el mismo mensaje de aceptación de acceso de RADIUS. Como mecanismo de autenticación de respaldo, la autenticación web central (CWA) redirige el navegador web del host a un servidor de autenticación web central. El usuario puede introducir un nombre de usuario y una contraseña en la interfaz web del servidor CWA. El usuario se autentica y se le da acceso a la red si el servidor CWA acepta sus credenciales.
Después de que un host no supere la autenticación MAC RADIUS, se utiliza la autenticación web central. El conmutador, que actúa como autenticador, recibe un mensaje de aceptación de acceso de RADIUS del servidor AAA que contiene un filtro de firewall dinámico y una URL de redireccionamiento para la autenticación web central.
Para que se active el procedimiento de autenticación web central, es necesario que estén presentes tanto la URL de redireccionamiento como el filtro dinámico del firewall. Para usar el VSA de Juniper-Switching-Filter para la autenticación web central, debe configurar los términos de filtro directamente en el servidor AAA. El filtro debe incluir un término para hacer coincidir la dirección IP de destino del servidor CWA con la acción permitir.
Por ejemplo:
001122334455 Auth-Type := EAP, Cleartext-Password :="001122334455" Session-Timeout = "300", Juniper-CWA-Redirect-URL = "https://10.10.10.10", Juniper-Switching-Filter = "Match Destination-ip 10.10.10.10 Action allow, Match ip-protocol 17 Action allow, Match Destination-mac 00:01:02:33:44:55 Action deny"
Para la URL de redireccionamiento, el conmutador no resuelve las consultas de DNS. Para habilitar la dirección IP de destino del servidor CWA, debe configurar la propiedad Juniper-Switching-Filter.
Par Juniper-AV:
El atributo Juniper-AV-Pair es un atributo específico del proveedor (VSA) de Juniper Networks. Con el fin de proporcionar numerosas características importantes requeridas para la administración de suscriptores y el soporte del servicio, se utiliza para mejorar las capacidades del servidor RADIUS más allá de lo que ofrecen los atributos estándar públicos.
i) Rebote de puerto:
Con el comando CoA bounce host port, se finaliza una sesión y el puerto rebota (inicia un evento de vínculo descendente seguido de un evento de vínculo ascendente). El servidor radius envía la solicitud en un mensaje típico de solicitud de CoA con el VSA que se enumera a continuación:
Juniper-AV-Pair = "Port-Bounce".
Este comando requiere uno o más de los atributos de identificación de sesión enumerados en la sección "Identificación de sesión" porque está orientado a la sesión. El dispositivo envía un mensaje CoA-NAK con el atributo de código de error "Contexto de sesión no encontrado" si no se puede encontrar la sesión.
El dispositivo cierra el puerto de alojamiento durante 4 segundos, lo habilita de nuevo (rebote de puerto) y, luego, devuelve un CoA-ACK si se encontró la sesión.
ii) ip-mac-session-binding:
Esto se utiliza para evitar que la sesión de autenticación de ese dispositivo finalice cuando la dirección MAC de un dispositivo caduca y necesita volver a aprenderse. Recibimos este atributo-valor de un par AV VSA de Juniper en un mensaje de solicitud de COA o de aceptación de acceso.
Configure el servidor RADIUS con los dos pares atributo-valor siguientes para mantener la sesión de autenticación basada en enlaces de dirección IP-dirección MAC.
Juniper-AV-Pair = "IP-Mac-Session-Binding Juniper-AV-Pair = "No-Mac-Binding-Reauth"
iii) No-Mac-Binding-reauth:
Esto se utiliza para bloquear la reautenticación del cliente y detener la finalización de la sesión de autenticación cuando la dirección MAC de un dispositivo se vuelve obsoleta. Este valor de propiedad nos lo envía un par AV VSA de Juniper en un mensaje de solicitud de COA o de aceptación de acceso.
Juniper-AV-Pair = "No-Mac-Binding-Reauth" Detailed information is provided in the document: Retain the Authentication Session Using IP-MAC Bindings
iv) Modo suplicante único:
El dispositivo cambia del modo establecido actualmente a único en respuesta a la recepción de este valor de atributo de un par VSA Juniper-AV en un mensaje de solicitud de COA o de aceptación de acceso.Juniper-AV-Pair = "Supplicant-Mode-Single"
v) Modo suplicante-único-seguro:
El dispositivo cambia de su modo establecido actual a seguridad única en respuesta a la recepción de este atributo-valor de un par VSA Juniper-AV en un mensaje de solicitud de COA o de aceptación de acceso.
Juniper-AV-Pair = "Supplicant-Mode-Single-Secure"
vi) Retener-Mac-En-Sesión:
Si este valor de atributo se recibe de un par VSA Juniper-AV en un mensaje de aceptación de acceso para un cliente 802.11X, el cliente permanece activo incluso si la Mac ha caducado y la Mac se vuelve a aprender.Juniper-AV-Pair = "Retain-Mac-Aged-Session"
MS-MPPE-Send-Key y MS-MPPE-Recv-Key:
Estas son las claves de generación MACSEC CAK junto con el nombre de la clave EAP que se utilizan en escenarios de CAK dinámicos.Cisco-AVPair:
Cisco Systems, empresa privada número 9 de la AANI, utiliza un único VSA, Cisco-AVPair (26-1). Según los valores que tiene, este VSA transmite varias piezas de información. En algunas redes de acceso de suscriptores con un BNG conectado a un servidor RADIUS y una aplicación Cisco BroadHop que sirve como servidor de la función de control de políticas y reglas de cobro (PCRF) para aprovisionar servicios mediante mensajes de cambio de autorización (CoA) de RADIUS, puede utilizar este VSA en mensajes RADIUS para activar y desactivar servicios.Cuando el BNG entrega mensajes de RADIUS, no puede cambiar ninguna de las propiedades de las respuestas de contabilidad, CoA o autenticación.
i) Cisco-AVPair = "suscriptor: comando = puerto de host de rebote"
Una sesión finaliza y el puerto rebota a través del comando CoA bounce host port (inicia un evento de vínculo descendente seguido de un evento de vínculo ascendente). La solicitud es enviada por el servidor AAA en un mensaje típico de solicitud de CoA con el VSA que se enumera a continuación.
Cisco:Avpair=“subscriber:command=bounce-host-port”
Este comando requiere uno o más de los atributos de identificación de sesión enumerados en la sección "Identificación de sesión" porque está orientado a la sesión. El dispositivo envía un mensaje CoA-NAK con el atributo de código de error "Contexto de sesión no encontrado" si no se puede encontrar la sesión. El dispositivo cierra el puerto de alojamiento durante 4 segundos, lo habilita de nuevo (rebote de puerto) y, luego, devuelve un CoA-ACK si se encontró la sesión.
ii) Comando Cisco-AVPair Reauthenticate
Para iniciar la autenticación de sesión, el servidor AAA envía un mensaje de solicitud de CoA estándar que contiene los siguientes VSA:
Cisco:Avpair=“subscriber:command=reauthenticate” Cisco:Avpair=“subscriber:reauthenticate-type=<last | rerun>”
reauthenticate-type Define si la solicitud de reautenticación de CoA utiliza el último método de autenticación correcto en la sesión o si el proceso de autenticación se vuelve a ejecutar por completo.
"subscriber:command=reauthenticate" debe estar presente para provocar una reautenticación. La acción predeterminada es repetir el método de autenticación correcto anterior utilizado para la sesión si no se proporciona "suscriptor: tipo de reautenticación". Si el método se vuelve a autenticar correctamente, todos los datos de autorización anteriores se intercambian por los datos de autorización recién autenticados.
Solo cuando "subscriber:command=reauthenticate" también está presente, es válido "subscriber:reauthenticate-type". El VSA no se tiene en cuenta si está contenido en otro comando CoA.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.