EN ESTA PÁGINA
Configuración de la configuración de interfaz 802.1X (procedimiento de CLI)
Descripción de los cambios iniciados por RADIUS en una sesión de usuario autorizado
Filtrado de suplicantes 802.1X mediante atributos de servidor RADIUS
Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX
Descripción de filtros dinámicos basados en atributos RADIUS
Descripción de la asignación dinámica de VLAN mediante atributos RADIUS
Solución de problemas de autenticación de dispositivos finales en conmutadores de la serie EX
Autenticación 802.1X
Estándar IEEE 802.1X para el control de acceso de red basado en puertos y protege las LAN Ethernet de acceso de usuarios no autorizados. Bloquea todo el tráfico hacia y desde un suplicante (cliente) en la interfaz hasta que se presentan las credenciales del suplicante y se hacen coincidir en el servidor de autenticación (un servidor RADIUS). Cuando se autentica el suplicante, el conmutador deja de bloquear el acceso y abre la interfaz al suplicante. Lea este tema para obtener más información.
Descripción general de 802.1X para conmutadores
- Cómo funciona la autenticación 802.1X
- Descripción general de las características de 802.1X
- Autenticación 802.1X en puertos de troncalización
- Autenticación 802.1X en interfaces de capa 3
- Soporte para 802.1X en el software Junos OS Evolved
Cómo funciona la autenticación 802.1X
La autenticación 802.1X funciona mediante el uso de una entidad de acceso de puerto de autenticación (el conmutador) para bloquear el tráfico de entrada desde un suplicante (dispositivo final) en el puerto hasta que se presentan las credenciales del suplicante y coinciden en el servidor de autenticación (un servidor RADIUS). Cuando se autentica, el conmutador deja de bloquear el tráfico y abre el puerto al suplicante.
El dispositivo final se autentica en single supplicant modo, single-secure supplicant modo o multiple supplicant modo:
-
un suplicante: autentica solo el dispositivo del primer extremo. A todos los demás dispositivos finales que se conectan más tarde al puerto se les permite el acceso completo sin ninguna autenticación adicional. De hecho, se basan en la autenticación del dispositivo del primer extremo.
-
suplicante de seguridad única: permite que solo un dispositivo final se conecte al puerto. Ningún otro dispositivo final puede conectarse hasta que el primer dispositivo cierra sesión.
-
múltiple suplicante: permite que varios dispositivos finales se conecten al puerto. Cada dispositivo final se autentica de forma individual.
El acceso a la red se puede definir aún más mediante el uso de VLAN y filtros de firewall, los cuales actúan como filtros para separar y hacer coincidir grupos de dispositivos finales con las áreas de la LAN que requieren. Por ejemplo, puede configurar VLAN para controlar diferentes categorías de errores de autenticación según:
-
Si el dispositivo final está habilitado para 802.1X o no.
-
Si la autenticación MAC RADIUS está configurada o no en las interfaces de conmutador a las que están conectados los hosts.
-
Si el servidor de autenticación RADIUS deja de estar disponible o envía un mensaje RADIUS de rechazo de acceso. Consulte Configuración de reserva por error del servidor RADIUS (procedimiento de CLI).
Descripción general de las características de 802.1X
Se admiten las siguientes funciones 802.1X en conmutadores Ethernet de Juniper Networks:
-
VLAN invitado: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales que no responden y que no están habilitados con la 802.1X cuando la autenticación MAC RADIUS no está configurada en las interfaces de conmutador a las que están conectados los hosts. Además, se puede usar una VLAN invitada para proporcionar acceso limitado a una LAN para los usuarios invitados. Por lo general, la VLAN de invitado solo proporciona acceso a Internet y a los dispositivos finales de otros invitados.
-
VLAN de rechazo de servidor: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales responsivos que están habilitados para 802.1X pero que han enviado las credenciales incorrectas. Si el dispositivo final que se autentica mediante la VLAN de rechazo de servidor es un teléfono IP, el tráfico de voz no está permitido.
-
VLAN con error del servidor: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales 802.1X durante un tiempo de espera del servidor RADIUS.
-
VLAN dinámica: permite que un dispositivo final, después de la autenticación, sea miembro de una VLAN dinámicamente.
-
VLAN privada: permite la configuración de la autenticación 802.1X en interfaces que son miembros de VLAN privadas (PVLAN).
-
Cambios dinámicos en una sesión de usuario: permite al administrador del conmutador finalizar una sesión ya autenticada. Esta función se basa en la compatibilidad con el mensaje de desconexión RADIUS definido en RFC 3576.
-
VoIP VLAN: admite teléfonos IP. La implementación de una VLAN de voz en un teléfono IP es específica del proveedor. Si el teléfono está habilitado para 802.1X, se autentica como cualquier otro suplicante. Si el teléfono no está habilitado para 802.1X, pero tiene otro dispositivo compatible con 802.1X conectado a su puerto de datos, ese dispositivo se autentica y, luego, el tráfico VoIP puede fluir hacia y desde el teléfono (siempre que la interfaz esté configurada en modo de suplicante único y no en modo de suplicante único seguro).
Nota:No se admite la configuración de una VLAN VoIP en interfaces VLAN privadas (PVLAN).
-
Contabilidad RADIUS: envía información de contabilidad al servidor de contabilidad RADIUS. La información de contabilidad se envía al servidor cada vez que un suscriptor inicia sesión o cierra sesión y cada vez que un suscriptor activa o desactiva una suscripción.
-
Atributos de servidor RADIUS para 802.1X:
Juniper-Switching-Filter
es un atributo específico del proveedor (VSA) que se puede configurar en el servidor RADIUS para definir aún más el acceso de un suplicante durante el proceso de autenticación 802.1X. La configuración centralizada de atributos en el servidor de autenticación evita la necesidad de configurar estos mismos atributos en forma de filtros de firewall en cada conmutador de la LAN al que el suplicante podría conectarse a la LAN. Esta función se basa en RLI 4583, soporte AAA RADIUS BRAS VSA.
Se admiten las siguientes funciones para autenticar dispositivos que no estén habilitados para 802.1X:
-
Omisión mac estática: proporciona un mecanismo de omisión para autenticar dispositivos que no están habilitados para 802.1X (como las impresoras). El bypass MAC estático conecta estos dispositivos a puertos habilitados para 802.1X, sin pasar por la autenticación 802.1X.
-
Autenticación MAC RADIUS: proporciona un medio para permitir que los hosts que no estén habilitados con 802.1X accedan a la LAN. MAC-RADIUS simula la funcionalidad suplicante del dispositivo del cliente mediante el uso de la dirección MAC del cliente como nombre de usuario y contraseña.
Autenticación 802.1X en puertos de troncalización
A partir de Junos OS versión 18.3R1, puede configurar la autenticación 802.1X en interfaces de troncalización, lo que permite que el dispositivo de acceso a la red (NAS) autentifique un punto de acceso (AP) u otro dispositivo de capa 2 conectado. Un AP o conmutador conectado al NAS admitirá varias VLAN, por lo que debe conectarse a un puerto de troncalización. La habilitación de la autenticación 802.1X en la interfaz de troncalización protege al NAS de una infracción de seguridad en la que un atacante podría desconectar el AP y conectar una computadora portátil para obtener acceso gratuito a la red para todas las VLAN configuradas.
Tenga en cuenta las siguientes advertencias al configurar la autenticación 802.1X en interfaces de troncalización.
-
Solo se admiten los modos de suplicante único y único seguro en las interfaces de troncalización.
-
Debe configurar la autenticación 802.1X localmente en la interfaz troncal. Si configura la autenticación 802.1X globalmente mediante el
set protocol dot1x interface all
comando, la configuración no se aplica a la interfaz de troncalización. -
Las VLAN dinámicas no se admiten en interfaces de troncalización.
-
La VLAN invitada y la VLAN de rechazo de servidor no se admiten en interfaces de troncalización.
-
La devolución de errores del servidor para clientes VoIP no se admite en interfaces troncales (
server-fail-voip
). -
La autenticación en el puerto de troncalización no se admite mediante el portal cautivo.
-
La autenticación en el puerto de troncalización no se admite en interfaces agregadas.
-
La configuración de la autenticación 802.1X en interfaces que son miembros de VLAN privadas (PVLAN) no se admite en puertos de troncalización.
Autenticación 802.1X en interfaces de capa 3
A partir de Junos OS versión 20.2R1, puede configurar la autenticación 802.1X en interfaces de capa 3. Tenga en cuenta las siguientes advertencias al configurar la autenticación 802.1X en interfaces de capa 3:
-
Solo se admiten clientes compatibles con EAP.
-
Solo se admite el modo de suplicante único.
-
Debe configurar la autenticación 802.1X localmente en interfaces de capa 3. Si configura la autenticación 802.1X globalmente mediante el
set protocol dot1x interface all
comando, la configuración no se aplica a las interfaces de capa 3. -
La compatibilidad con interfaces de capa 3 no incluye IRB ni sub interfaces.
-
No se admiten VLAN invitados, VLAN de rechazo de servidor y VLAN con error de servidor.
-
No se admite la devolución de errores del servidor para clientes VoIP (
server-fail-voip
). -
Solo se aceptan los siguientes atributos del servidor de autenticación como parte de los mensajes COA o de aceptación de acceso RADIUS para clientes autenticados en interfaces de capa 3:
-
Nombre de usuario
-
Tiempo de espera de la sesión
-
ID de la estación de llamadas
-
ID de sesión acct
-
ID de puerto NAS
-
Rebote de puerto
-
Soporte para 802.1X en el software Junos OS Evolved
A partir de Junos OS Evolved versión 22.3R1, puede configurar la autenticación 802.1X en interfaces de capa 2. Siga las advertencias de aplicar para la autenticación 802.1X en interfaces de capa 2.
-
Las funciones no compatibles incluyen:
-
VLAN invitado, VLAN de rechazo de servidor y VLAN con falla de servidor
-
Devolución de errores del servidor para clientes de VoIP (server-fail-voip)
-
VLAN dinámica
-
Autenticación en interfaces de capa 2 mediante portal cautivo y autenticación web central (CWA).
-
-
Los atributos no compatibles del servidor de autenticación de mensajes COA o aceptación de acceso RADIUS para clientes autenticados en interfaces de capa 2 incluyen:
-
Ip-Mac-Session-Binding
-
Redirección de CWA de Juniper
-
Filtro de conmutación de Juniper
-
Id de filtro
-
Túnel de tipo medio
-
VoIP-VLAN de Juniper
-
Nombre de salida de VLAN
-
ID de salida de VLAN
-
Tipo de túnel
-
Id de grupo privado de túnel
-
-
Si IRB se encuentra en el dominio de puente, los puertos habilitados con la 802.1x no dejan caer el tráfico enrutado para los modos de una sola seguridad y varios suplicantes, incluso si el usuario no está autenticado. Los puertos habilitados con 802.1x en la interfaz de capa 2 dejan caer tráfico enrutado solo para la configuración del modo suplicante único.
Consulte también
Configuración de la configuración de interfaz 802.1X (procedimiento de CLI)
La autenticación IEEE 802.1X ofrece seguridad de borde de red y protege a las LAN Ethernet del acceso de usuarios no autorizados mediante el bloqueo de todo el tráfico hacia y desde un suplicante (cliente) en la interfaz hasta que las credenciales del suplicante se presentan y coinciden en el authentication server (un servidor RADIUS). Cuando se autentica el suplicante, el conmutador deja de bloquear el acceso y abre la interfaz al suplicante.
También puede especificar una lista de exclusión 802.1X para especificar suplicantes que pueden omitir la autenticación y conectarse automáticamente a la LAN. Consulte Configuración de omisión mac estática de 802.1X y autenticación MAC RADIUS (procedimiento CLI).
No puede configurar la autenticación de usuario 802.1X en interfaces habilitadas para la tunelización Q-in-Q.
Antes de comenzar, especifique el servidor RADIUS o los servidores que se usarán como servidor de autenticación. Consulte Especificar conexiones de servidor RADIUS en conmutadores (procedimiento de CLI).
Para configurar 802.1X en una interfaz:
Si los servidores de autenticación RADIUS dejan de estar disponibles o no son accesibles, se activa la reserva por error del servidor. De forma predeterminada, la deny
opción está configurada en server-fail
, que fuerza falla en la autenticación suplicante. Sin embargo, hay otras opciones que puede configurar como acciones que se deben realizar para dispositivos finales que esperan autenticación cuando el tiempo de espera del servidor.
Para obtener más información, consulte interfaz (802.1X)
Esta configuración especifica el número de intentos antes de que el conmutador ponga la interfaz en estado HELD .
Consulte también
Descripción de los cambios iniciados por RADIUS en una sesión de usuario autorizado
Cuando se utiliza un servicio de autenticación basado en un modelo RADIUS de cliente/servidor, el cliente normalmente inicia las solicitudes y se envía al servidor RADIUS. Hay instancias en las que el servidor puede iniciar una solicitud y enviar al cliente para modificar dinámicamente una sesión de usuario autenticada ya en curso. El cliente que recibe y procesa los mensajes es el conmutador, que actúa como servidor de acceso a la red o NAS. El servidor puede enviar al conmutador un mensaje de desconexión que solicita finalizar una sesión o un mensaje de cambio de autorización (CoA) en el que solicita modificar los atributos de autorización de sesión.
El conmutador escucha las solicitudes RADIUS no solicitadas en el puerto UPD 3799 y solo acepta solicitudes de un origen de confianza. La autorización para enviar una solicitud de Desconexión o CoA se determina en función de la dirección de origen y el secreto compartido correspondiente, que se debe configurar en el conmutador y en el servidor RADIUS. Para obtener más información acerca de cómo configurar la dirección de origen y el secreto compartido en el conmutador, consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
- Desconectar mensajes
- Mensajes de cambio de autorización
- Rebote de puerto de solicitud CoA
- Códigos de causa de error
Desconectar mensajes
El servidor RADIUS envía un mensaje de solicitud de desconexión al conmutador para finalizar una sesión de usuario y descartar todo el contexto de sesión asociado. El conmutador responde a un paquete de solicitud de desconexión con un mensaje Disconnect-ACK si la solicitud se realiza correctamente, es decir, se descarta todo el contexto de sesión asociado y la sesión de usuario ya no está conectada, o con un paquete Disconnect-NAK si se produce un error en la solicitud, es decir, el autenticador no puede desconectar la sesión y descartar todo el contexto de sesión asociado.
En los mensajes de solicitud de desconexión, los atributos RADIUS se utilizan para identificar de forma exclusiva el conmutador (NAS) y la sesión de usuario. La combinación de atributos de identificación del NAS y atributos de identificación de sesión incluidos en el mensaje debe coincidir al menos con una sesión para que la solicitud sea correcta; de lo contrario, el conmutador responde con un mensaje de Desconexión de NAK. Un mensaje de solicitud de desconexión solo puede contener atributos de identificación del NAS y de la sesión; si se incluyen otros atributos, el conmutador responde con un mensaje Disconnect-NAK.
Mensajes de cambio de autorización
Los mensajes de cambio de autorización (CoA) contienen información para modificar dinámicamente los atributos de autorización de una sesión de usuario para cambiar el nivel de autorización. Esto se produce como parte de un proceso de autenticación de dos pasos, en el que el punto de conexión se autentica primero mediante la autenticación MAC RADIUS y, luego, se perfila según el tipo de dispositivo. El mensaje de CoA se utiliza para aplicar una política de cumplimiento adecuada para el dispositivo, normalmente cambiando los filtros de datos o la VLAN.
El conmutador responde a un mensaje de CoA con un mensaje de CoA-ACK si el cambio de autorización se realiza correctamente, o a un mensaje de CoA-NAK si el cambio no es correcto. Si no se puede llevar a cabo uno o más cambios de autorización especificados en un mensaje de CoA-Request, el conmutador responde con un mensaje de CoA-NAK.
En los mensajes de solicitud de coA, los atributos RADIUS se utilizan para identificar de forma exclusiva el conmutador (que actúa como el NAS) y la sesión de usuario. La combinación de atributos de identificación del NAS y atributos de identificación de sesión incluidos en el mensaje debe coincidir con los atributos de identificación de al menos una sesión para que la solicitud se realice correctamente; de lo contrario, el conmutador responde con un mensaje CoA-NAK.
Los paquetes coA-Request también incluyen los atributos de autorización de sesión que se modificarán si se acepta la solicitud. A continuación, se enumeran los atributos de autorización de sesión compatibles. El mensaje CoA puede contener cualquiera de estos atributos o todos. Si no se incluye ningún atributo como parte del mensaje de CoA-Request, el NAS asume que el valor de ese atributo se mantendrá inalterado.
ID de filtro
ID de grupo privado de túnel
Filtro de conmutación de Juniper
VoIP-VLAN de Juniper
Tiempo de espera de la sesión
Rebote de puerto de solicitud CoA
Cuando se utiliza un mensaje de CoA para cambiar la VLAN de un host autenticado, los dispositivos finales, como las impresoras, no tienen un mecanismo para detectar el cambio de VLAN, por lo que no renuevan la concesión de su dirección DHCP en la nueva VLAN. A partir de Junos OS versión 17.3, la función de rebote de puerto se puede usar para obligar al dispositivo final a iniciar la re-negociación de DHCP provocando una solapa de vínculo en el puerto autenticado.
El comando para rebotar el puerto se envía desde el servidor RADIUS mediante un atributo específico del proveedor (VSA) de Juniper Networks. El puerto se rebota si se recibe el siguiente par de atributo y valor VSA en el mensaje CoA del servidor RADIUS:
Juniper-AV-Pair = "port-bounce"
Para habilitar la función de rebote de puerto, debe actualizar el archivo de diccionario Junos (juniper.dct) en el servidor RADIUS con el VSA de JUNIPER-AV-Pair. Busque el archivo de diccionario y agregue el siguiente texto al archivo:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
Para obtener más información acerca de cómo agregar el VSA, consulte la documentación de FreeRADIUS.
Puede deshabilitar la función configurando la ignore-port-bounce
instrucción en el nivel [edit protocols dot1x authenticator interface interface-name
] hierachy.
Códigos de causa de error
Cuando una desconexión o una operación de CoA no se realiza correctamente, se puede incluir un atributo de causa de error (atributo RADIUS 101) en el mensaje de respuesta enviado por el NAS al servidor para proporcionar detalles sobre la causa del problema. Si el error detectado no se asigna a uno de los valores de atributo de causa de error compatibles, el enrutador envía el mensaje sin un atributo de causa de error. Consulte Tabla 1 para obtener descripciones de códigos de causa de error que se pueden incluir en los mensajes de respuesta enviados desde el NAS.
Código |
valor |
Descripción |
---|---|---|
201 |
Se ha eliminado el contexto residual de la sesión |
Se envía en respuesta a un mensaje de solicitud de desconexión si una o más sesiones de usuario ya no están activas, pero se encontró el contexto residual de la sesión y se eliminó correctamente. Este código solo se envía dentro de un mensaje Desconexión ACK. |
401 |
Atributo no compatible |
La solicitud contiene un atributo que no es compatible (por ejemplo, un atributo de terceros). |
402 |
Atributo que falta |
Falta un atributo crítico (por ejemplo, el atributo de identificación de sesión) de una solicitud. |
403 |
Discordancia de la identificación del NAS |
La solicitud contiene uno o varios atributos de identificación del NAS que no coinciden con la identidad del NAS que recibe la solicitud. |
404 |
Solicitud no válida |
Algún otro aspecto de la solicitud no es válido, por ejemplo, si uno o varios atributos no tienen el formato adecuado. |
405 |
Servicio no compatible |
El atributo Service-Type incluido con la solicitud contiene un valor no válido o no compatible. |
406 |
Extensión no compatible |
La entidad que recibe la solicitud (ya sea un NAS o un proxy RADIUS) no admite solicitudes iniciadas por RADIUS. |
407 |
Valor de atributo no válido |
La solicitud contiene un atributo con un valor no compatible. |
501 |
Prohibido administrativamente |
El NAS está configurado para prohibir el honor de mensajes de solicitud de desconexión o coA-request para la sesión especificada. |
503 |
No se encontró el contexto de la sesión |
El contexto de sesión identificado en la solicitud no existe en el NAS. |
504 |
Contexto de sesión no extraíble |
El suscriptor identificado por atributos en la solicitud es propiedad de un componente que no es compatible. Este código se envía solo dentro de un mensaje de Desconexión-NAK. |
506 |
Recursos no disponibles |
No se pudo cumplir una solicitud debido a la falta de recursos NAS disponibles (como la memoria). |
507 |
Solicitud iniciada |
El mensaje coA-Request incluye un atributo Service-Type con un valor de Autorizar solo. |
508 |
Selección de varias sesiones no compatibles |
Los atributos de identificación de sesión incluidos en la solicitud coinciden con varias sesiones, pero el NAS no admite solicitudes que se aplican a varias sesiones. |
Filtrado de suplicantes 802.1X mediante atributos de servidor RADIUS
Hay dos formas de configurar un servidor RADIUS con filtros de firewall de puerto (filtros de firewall de capa 2):
-
Incluya uno o más términos de filtro en el atributo Juniper-Switching-Filter. El atributo Juniper-Switching-Filter es un atributo específico del proveedor (VSA) enumerado en el ID de atributo número 48 en el diccionario de Juniper en el servidor RADIUS. Utilice este VSA para configurar condiciones de filtro simples para usuarios autenticados con 802.1X. No es necesario configurar nada en el conmutador; toda la configuración está en el servidor RADIUS.
-
Configure un filtro de firewall local en cada conmutador y aplique ese filtro de firewall a los usuarios autenticados mediante el servidor RADIUS. Utilice este método para filtros más complejos. El filtro de firewall debe estar configurado en cada conmutador.
Nota:Si la configuración del filtro de firewall se modifica después de que los usuarios se autentifiquen mediante la autenticación 802.1X, la sesión de autenticación 802.1X establecida debe terminarse y restablecerse para que los cambios de configuración del filtro de firewall entren en vigor.
En este tema, se incluyen las siguientes tareas:
- Configuración de filtros de firewall en el servidor RADIUS
- Aplicación de un filtro de firewall configurado localmente desde el servidor RADIUS
Configuración de filtros de firewall en el servidor RADIUS
A partir de Junos OS Evolucionado versión 22.4R1, puede configurar varios puertos de origen y destino (o rangos de puertos) en una sola línea sin tener que repetir la condición de coincidencia de nuevo. Esta función permite longitudes VSA más cortas y también ayuda a reducir el tamaño de los paquetes de respuesta de radio.
El filtro de conmutación permite aprovisionar una lista de valores para el tipo de ether, IP, etiqueta de origen, puerto fuente y puerto de destino.
Juniper-Switching-Filter = match dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow
Juniper-Switching-Filter = match dst-port 500 source-tag [ 100, 200 ] action allow
Juniper-Switching-Filter = match src-port 9090 ip-proto [ 25 17] action allow
Juniper-Switching-Filter = match ether-type [ 3000-4000 8000 ] action allow
Puede configurar condiciones de filtro simples mediante el uso del atributo Juniper-Switching-Filter en el diccionario juniper en el servidor RADIUS. Estos filtros se envían a un conmutador cada vez que se autentica correctamente un nuevo usuario. Los filtros se crean y aplican en todos los conmutadores de la serie EX que autentican a los usuarios a través de ese servidor RADIUS sin la necesidad de configurar nada en cada conmutador individual.
Este procedimiento describe el uso del software FreeRADIUS para configurar el VSA de juniper-Switching-Filter. Para obtener información específica acerca de cómo configurar su servidor, consulte la documentación de AAA incluida con su servidor.
Para configurar el atributo Juniper-Switching-Filter, escriba uno o más términos de filtro mediante la CLI para el servidor RADIUS. Cada término de filtro consta de condiciones de coincidencia con una acción correspondiente. Introduzca los términos de filtro incluidos entre comillas (" ") mediante la siguiente sintaxis:
Juniper-Switching-Filter = “match <destination-mac mac-address> <source-vlan vlan-name> <source-dot1q-tag tag> <destination-ip ip-address> <ip-protocol protocol-id> <source-port port> <destination-port port> action (allow | deny) <forwarding-class class-of-service> <loss-priority (low | medium | high)>”
Se puede incluir más de una condición de coincidencia en un término de filtro. Cuando se especifican varias condiciones en un término de filtro, todas deben cumplirse para que el paquete coincida con el término de filtro. Por ejemplo, el siguiente término de filtro requiere que un paquete coincida con la dirección IP de destino y la dirección MAC de destino para cumplir con los criterios de término:
Juniper-Switching-Filter = “match destination-ip 10.10.10.8 destination-mac 00:00:00:01:02:03 action allow”
Varios términos de filtro se deben separar con comas, por ejemplo:
Juniper-Switching-Filter = “match destination-mac 00:00:00:01:02:03 action allow, match destination-port 80 destination-mac 00:aa:bb:cc:dd:ee action allow”
Consulte Las condiciones y acciones de coincidencia de VSA de Juniper-Switching-Filter para obtener definiciones de condiciones y acciones de coincidencia.
En conmutadores EX9200 y en junos Fusion Enterprise con EX9200 como dispositivo agregado, el filtro de firewall dinámico se aplica estrictamente a todos los paquetes IP. Si el filtro está configurado para permitir solo una dirección IP de destino específica, los paquetes con otras direcciones IP como IP de destino se eliminarán según las reglas de filtro. Esto incluye cualquier paquete de protocolo IP, como DHCP, IGMP y ARP.
Para configurar condiciones de coincidencia en el servidor RADIUS:
Aplicación de un filtro de firewall configurado localmente desde el servidor RADIUS
Puede aplicar un filtro de firewall de puerto (filtro de firewall de capa 2) a las políticas de usuario centralmente desde el servidor RADIUS. A continuación, el servidor RADIUS puede especificar los filtros de firewall que se aplicarán a cada usuario que solicite autenticación, lo que reduce la necesidad de configurar el mismo filtro de firewall en varios conmutadores. Utilice este método cuando el filtro de firewall contenga una gran cantidad de condiciones o cuando desee utilizar diferentes condiciones para el mismo filtro en conmutadores diferentes. Los filtros de firewall se deben configurar en cada conmutador.
Para obtener más información acerca de los filtros de firewall, consulte Descripción general de filtros de firewall para conmutadores de la serie EX.
Para aplicar un filtro de firewall de puerto centralmente desde el servidor RADIUS:
Si los filtros de firewall de puerto también se configuran localmente para la interfaz, los filtros de firewall configurados mediante vsas tienen prioridad si entran en conflicto con los filtros de firewall de puerto configurados localmente. Si no hay ningún conflicto, se fusionan.
Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX
802.1X es el estándar IEEE para el control de acceso de red basado en puertos (PNAC). Utilice 802.1X para controlar el acceso a la red. Solo se permite el acceso a la red a los usuarios y dispositivos que proporcionan credenciales que se han verificado con una base de datos de usuarios. Puede usar un servidor RADIUS como base de datos de usuarios para la autenticación 802.1X, así como para la autenticación MAC RADIUS.
En este ejemplo, se describe cómo conectar un servidor RADIUS a un conmutador de la serie EX y configurarlo para 802.1X:
Requisitos
En este ejemplo, se usan los siguientes componentes de software y hardware:
Junos OS versión 9.0 o posterior para conmutadores serie EX
Un conmutador de la serie EX que actúa como una entidad de acceso a puerto (PAE) de autenticador. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como la base de datos de backend y contiene información de credenciales para hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de conectar el servidor al conmutador, asegúrese de que dispone de lo siguiente:
Realizó puentes básicos y configuración de VLAN en el conmutador. Consulte la documentación que describe la configuración de puentes básicos y una VLAN para el conmutador. Si utiliza un conmutador compatible con el estilo de configuración Enhanced Layer 2 Software (ELS), consulte ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX compatible con ELS . Para todos los demás conmutadores, consulte ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Nota:Para obtener más información acerca de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
El conmutador de la serie EX actúa como PAE de autenticación. Bloquea todo el tráfico y actúa como una puerta de control hasta que el servidor autentica el suplicante (cliente). A todos los demás usuarios y dispositivos se les niega el acceso.
Figura 1 muestra un conmutador EX4200 que está conectado a los dispositivos enumerados en Tabla 2.

Propiedad | Configuración |
---|---|
Hardware del conmutador |
Conmutador de acceso EX4200, 24 puertos Gigabit Ethernet: 8 puertos PoE (ge-0/0/0 a ge-0/0/7) y 16 puertos no PoE (ge-0/0/8 a ge-0/0/23) |
Nombre de VLAN |
Predeterminado |
Un servidor RADIUS |
Base de datos de backend con una dirección 10.0.0.100 conectada al conmutador en el puerto ge-0/0/10 |
En este ejemplo, conecte el servidor RADIUS para acceder al puerto ge-0/0/10 en el conmutador EX4200. El conmutador actúa como autenticador y reenvía credenciales desde el suplicante a la base de datos de usuarios en el servidor RADIUS. Debe configurar la conectividad entre el EX4200 y el servidor RADIUS especificando la dirección del servidor y configurando la contraseña secreta. Esta información se configura en un perfil de acceso en el conmutador.
Para obtener más información acerca de los servicios de autenticación, autorización y contabilidad (AAA), consulte la Guía de configuración de Junos OS System Basics.
Configuración
Procedimiento
Configuración rápida de CLI
Para conectar rápidamente el servidor RADIUS al conmutador, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Procedimiento paso a paso
Para conectar el servidor RADIUS al conmutador:
Defina la dirección de los servidores y configure la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor:
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
Configure el orden de autenticación, haciendo radius el primer método de autenticación:
[edit] user@switch# set access profile profile1 authentication-order radius
Configure una lista de direcciones IP del servidor que se probarán secuencialmente para autenticar al suplicante:
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Resultados
Mostrar los resultados de la configuración:
user@switch> show configuration access radius-server { 10.0.0.100 port 1812; secret "$ABC123"; ## SECRET-DATA } } profile profile1{ authentication-order radius; radius { authentication-server 10.0.0.100 10.0.0.200; } } }
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verifique que el conmutador y el servidor RADIUS estén correctamente conectados
Propósito
Compruebe que el servidor RADIUS está conectado al conmutador en el puerto especificado.
Acción
Ping al servidor RADIUS para comprobar la conexión entre el conmutador y el servidor:
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms
Significado
Los paquetes de solicitud de eco ICMP se envían desde el conmutador al servidor de destino en 10.0.0.100 para probar si el servidor es accesible a través de la red IP. Las respuestas de eco ICMP se devuelven del servidor, lo que verifica que el conmutador y el servidor estén conectados.
Descripción de filtros dinámicos basados en atributos RADIUS
Puede usar atributos de servidor RADIUS para implementar filtros de firewall de puerto en un servidor de autenticación RADIUS. Estos filtros se pueden aplicar dinámicamente a los suplicantes que solicitan autenticación a través de ese servidor. Los atributos del servidor RADIUS son campos de texto sin formato encapsulados en los mensajes de Access-Accept enviados desde el servidor de autenticación al conmutador cuando un suplicante conectado al conmutador se autentica correctamente. El conmutador, que actúa como autenticador, utiliza la información de los atributos RADIUS para aplicar los filtros relacionados al suplicante. Los filtros dinámicos se pueden aplicar a varios puertos en el mismo conmutador o a varios conmutadores que usen el mismo servidor de autenticación, lo que proporciona control de acceso centralizado para la red.
Puede definir filtros de firewall directamente en el servidor RADIUS mediante el uso del atributo Juniper-Switching-Filter, que es un atributo RADIUS específico de Juniper Networks, también conocido como atributo específico del proveedor (VSA). Los VSA se describen en RFC 2138, Marcado de autenticación remota en el servicio de usuario (RADIUS). El VSA de Juniper-Switching-Filter se muestra bajo el id. de atributo número 48 en el diccionario de Juniper en el servidor RADIUS, con el ID de proveedor establecido en el número de ID de Juniper Networks 2636. Con este atributo, se definen filtros en el servidor de autenticación, los cuales se aplican a todos los conmutadores que autentican a los suplicantes a través de ese servidor. Este método elimina la necesidad de configurar los mismos filtros en varios conmutadores.
Alternativamente, puede aplicar un filtro de firewall de puerto a varios puertos en el mismo conmutador mediante el atributo Filter-ID, que es el ID de atributo RADIUS número 11. Para usar el atributo Filter-ID, primero debe configurar un filtro en el conmutador y, a continuación, agregar el nombre del filtro a las políticas de usuario en el servidor RADIUS como el valor del atributo Filter-ID. Cuando un suplicante definido en una de esas políticas es autenticado por el servidor RADIUS, el filtro se aplica al puerto de conmutación que se ha autenticado para el suplicante. Utilice este método cuando el filtro de firewall tiene condiciones complejas o si desea usar condiciones diferentes para el mismo filtro en conmutadores diferentes. El filtro denominado en el atributo Filter-ID debe configurarse localmente en el conmutador en el nivel jerárquico [edit firewall family ethernet-switching filter
].
Los VSA solo se admiten para configuraciones de suplicante única 802.1X y varias configuraciones suplicantes.
Consulte también
Descripción de la asignación dinámica de VLAN mediante atributos RADIUS
Un servidor RADIUS puede asignar dinámicamente las VLAN a los suplicantes que solicitan autenticación 802.1X a través de ese servidor. Configure la VLAN en el servidor RADIUS mediante atributos de servidor RADIUS, que son campos de texto sin formato encapsulados en mensajes enviados desde el servidor de autenticación al conmutador cuando un suplicante conectado al conmutador solicita autenticación. El conmutador, que actúa como autenticador, usa la información de los atributos RADIUS para asignar la VLAN al suplicante. Según los resultados de la autenticación, un suplicante que inició la autenticación en una VLAN se puede asignar a otra VLAN.
La autenticación correcta requiere que el ID de VLAN o el nombre de VLAN esté configurado en el conmutador que actúe como autenticador 802.1X y que coincida con el ID de VLAN o el nombre de VLAN enviado por el servidor RADIUS durante la autenticación. Si ninguno de los dos existe, el dispositivo final no se autentica. Si se establece una VLAN invitada, el dispositivo final no autenticado se mueve automáticamente a la VLAN invitada.
Los atributos del servidor RADIUS utilizados para la asignación dinámica de VLAN descritos en RFC 2868, Atributos RADIUS para compatibilidad de protocolos de túnel.
Tipo de túnel: se define como atributo RADIUS tipo 64. El valor debe establecerse en
VLAN
.Tunnel-Medium-Type: se define como atributo RADIUS tipo 65. El valor debe establecerse en
IEEE-802
.Tunnel-Private-Group-ID: se define como atributo RADIUS tipo 81. El valor se debe establecer en el ID de VLAN o en el nombre de VLAN.
Para obtener más información acerca de cómo configurar VLAN dinámicas en su servidor RADIUS, consulte la documentación del servidor RADIUS.
Consulte también
Descripción de VLAN invitadas para 802.1X en conmutadores
Las VLAN invitadas se pueden configurar en conmutadores que utilizan la autenticación 802.1X para proporcionar acceso limitado ,normalmente solo a Internet, para invitados corporativos. La VLAN invitada se utiliza como reserva cuando:
El suplicante no está habilitado para 802.1X y no responde a los mensajes EAP.
La autenticación MAC RADIUS no se ha configurado en las interfaces de conmutador a las que está conectado el suplicante.
El portal cautivo no se ha configurado en las interfaces de conmutador a las que está conectado el suplicante.
No se utiliza una VLAN invitada para los suplicantes que envían credenciales incorrectas. Esos suplicantes se dirigen a la VLAN de rechazo del servidor en su lugar.
En el caso de los dispositivos finales que no están habilitados con 802.1X, una VLAN invitada puede permitir el acceso limitado a un servidor desde el cual el dispositivo final que no está habilitado para 802.1X puede descargar el software suplicante e intentar autenticación de nuevo.
Consulte también
Ejemplo: Configuración de opciones de reserva en conmutadores de la serie EX para autenticación EAP-TTLS y clientes de acceso Odyssey
Para la autenticación de usuario 802.1X, los conmutadores de la serie EX admiten servidores de autenticación RADIUS que utilizan TLS tunelado de protocolo de autenticación extensible (EAP-TTLS) para autenticar a los suplicantes del cliente de acceso de Odyssey (OAC). El software de redes OAC se ejecuta en computadoras de punto de conexión (computadoras de escritorio, computadora portátil o bloc de notas y dispositivos inalámbricos compatibles) y proporciona acceso seguro a redes por cable e inalámbricas.
En este ejemplo, se describe cómo configurar una interfaz habilitada para 802.1X en el conmutador para proporcionar soporte de reserva para los usuarios de OAC que han introducido credenciales de inicio de sesión incorrectas:
Requisitos
En este ejemplo, se usan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Junos OS versión 11.2 o posterior para conmutadores serie EX
Un conmutador de la serie EX que actúa como una entidad de acceso a puerto (PAE) de autenticador. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como la base de datos de backend y contiene información de credenciales para hosts (suplicantes) que tienen permiso para conectarse a la red.
Un dispositivo final de OAC que actúa como un suplicante.
Antes de comenzar a configurar la opción de reserva, asegúrese de que dispone de lo siguiente:
Configure una conexión entre el conmutador y el servidor RADIUS. Vea el ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
Configurado EAP-TTLS en el servidor. Consulte la documentación del servidor RADIUS.
Usuarios configurados en el servidor RADIUS. Consulte la documentación del servidor RADIUS.
Descripción general y topología
OAC es un software de red que se ejecuta en computadoras de punto de conexión (de escritorio, computadora portátil o bloc de notas) y en dispositivos inalámbricos compatibles. OAC ofrece soporte completo para EAP, lo que es necesario para el acceso LAN inalámbrico seguro.
En esta topología, la OAC se implementa con un conmutador habilitado para 802.1X y un servidor RADIUS. El conmutador funciona como un punto de cumplimiento en la arquitectura de seguridad de red. Esta topología:
Garantiza que solo los usuarios autorizados puedan conectarse.
Mantiene la privacidad de las credenciales de inicio de sesión.
Mantiene la privacidad de los datos a través del vínculo inalámbrico.
En este ejemplo, se incluye la configuración de una VLAN de rechazo de servidor en el conmutador, que se puede utilizar para evitar bloqueos accidentales para los usuarios que han introducido credenciales de inicio de sesión incorrectas. A estos usuarios se les puede dar acceso LAN limitado.
Sin embargo, esta configuración de reserva se complica por el hecho de que el suplicante OAC y el servidor RADIUS utilizan EAP-TTLS. EAP-TTLS crea un túnel cifrado seguro entre el servidor y el dispositivo final para completar el proceso de autenticación. Cuando el usuario introduce credenciales de inicio de sesión incorrectas, el servidor RADIUS envía mensajes de error de EAP directamente al cliente a través de este túnel. El mensaje de error de EAP hace que el cliente reinicie el procedimiento de autenticación, de modo que el proceso de autenticación 802.1X del conmutador descompuso la sesión que se estableció con el conmutador mediante la VLAN de rechazo de servidor. Puede habilitar la conexión correctiva para continuar con la configuración:
eapol-block: habilite el temporizador de bloque EAPoL en la interfaz 802.1X que está configurada para pertenecer a la VLAN de rechazo de servidor. El temporizador de bloqueo hace que la entidad de acceso al puerto de autenticación ignore los mensajes de inicio de EAP del cliente, intentando reiniciar el procedimiento de autenticación.
Nota:El temporizador de bloque EAPoL se activa solo después de que se agote el número de repeticiones permitidas configuradas (con la retries opción) en la interfaz 802.1X. Puede configurar retries para especificar el número de veces que el conmutador intenta autenticar el puerto después de una falla inicial. El valor predeterminado son tres reintentos.
block-interval: configure la cantidad de tiempo que desea que el temporizador de bloqueo EAPoL continúe ignorando los mensajes de inicio de EAP. Si no configura el intervalo de bloque, el temporizador de bloque EAPoL de forma predeterminada es de 120 segundos.
Cuando la interfaz 802.1X ignora los mensajes de inicio de EAP del cliente, el conmutador permite que la sesión de corrección existente que se estableció mediante la VLAN de rechazo de servidor permanezca abierta.
Estas opciones de configuración se aplican a los modos de autenticación única, única y suplicante múltiple. En este ejemplo, la interfaz 802.1X se configura en modo de suplicante único.
Figura 3 muestra un conmutador de la serie EX que conecta un dispositivo final de OAC a un servidor RADIUS e indica los protocolos que se utilizan para conectar las entidades de red.
Esta figura también se aplica a los conmutadores QFX5100.

Topología
Tabla 4 describe los componentes de esta implementación de OAC:.
Propiedad | Configuración |
---|---|
Hardware del conmutador |
Conmutador de la serie EX |
Vlan |
default server-reject-vlan: El nombre de VLAN es remedial y el ID de VLAN es 700 |
Interfaz 802.1X |
ge-0/0/8 |
Suplicante de OAC |
EAP-TTLS |
Un servidor de autenticación RADIUS |
EAP-TTLS |
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente las opciones de reserva para los suplicantes EAP-TTLS y OAC, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans remedial vlan-id 700 set protocols dot1x authenticator interface ge-0/0/8 retries 4 set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan remedial set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan eapol-block set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan block-interval 130
Procedimiento paso a paso
Para configurar las opciones de reserva para los suplicantes EAP-TTLS y OAC:
En este ejemplo, el conmutador tiene solo una VLAN de rechazo de servidor. Por lo tanto, la configuración especifica eapol-block y block-interval directamente después server-reject-vlan. Sin embargo, si configuró varias VLAN en el conmutador, debe incluir el nombre de VLAN o el ID de VLAN directamente después server-reject-vlan para indicar qué VLAN se está modificando.
Configure una VLAN que funcione como VLAN de rechazo del servidor para proporcionar acceso LAN limitado para los usuarios que han introducido credenciales de inicio de sesión incorrectas:
[edit] user@switch# set vlans remedial vlan-id 700
Configure el número de veces que se le pedirá al cliente el nombre de usuario y la contraseña antes de que se dirija un inicio de sesión incorrecto a la VLAN de rechazo del servidor:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set retries 4
Configure la interfaz del autenticador 802.1X para usar la VLAN de rechazo de servidor como reserva para inicios de sesión incorrectos:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan remedial
Habilite el temporizador de bloque EAPoL en la interfaz 802.1X que está configurada para pertenecer a la VLAN de rechazo de servidor.
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan eapol-block
Configure la cantidad de tiempo para que el bloque EAPoL permanezca vigente:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan block-interval 130
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration protocols { dot1x { authenticator { interface { ge-0/0/8.0 { supplicant single; retries 4; server-reject-vlan remedial block-interval 130 eapol-block; }
Verificación
Para confirmar que la configuración y las opciones de reserva funcionan correctamente, realice esta tarea:
Verificar la configuración de la interfaz 802.1X
Propósito
Verifique que la interfaz 802.1X esté configurada con las opciones deseadas.
Acción
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 4 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 120 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPoL requests: 2 Guest VLAN member: guest Number of connected supplicants: 1 Supplicant: tem, 2A:92:E6:F2:00:00 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Radius Authenticated VLAN: remedial Session Reauth interval: 120 seconds Reauthentication due in 68 seconds
Significado
El show dot1x ge-0/0/8 detail
resultado del comando muestra que la ge-0/0/8 interfaz está en Authenticated estado y que está usando la remedial VLAN.
Monitoreo de autenticación 802.1X
Propósito
Este tema solo se aplica al paquete J-Web Application.
Utilice la función de supervisión para mostrar los detalles de los usuarios autenticados y de los usuarios que no han podido autenticar.
Acción
Para mostrar los detalles de autenticación en la interfaz de J-Web, seleccione Monitoring > Security > 802.1X.
Para mostrar los detalles de autenticación en la CLI, escriba los siguientes comandos:
show dot1x interface detail | display xml
show dot1x interface detail <interface> | display xml
show dot1x auth-failed-users
Significado
Los detalles que se muestran incluyen:
Una lista de usuarios autenticados.
Número de usuarios conectados.
Una lista de usuarios que no pudieron autenticar.
También puede especificar una interfaz para la cual se deben mostrar los detalles.
Consulte también
Verificar la autenticación 802.1X
Propósito
Compruebe que los suplicantes se autentican en una interfaz de un conmutador con la interfaz configurada para la autenticación 802.1X y muestre el método de autenticación que se utiliza.
Acción
Muestra información detallada acerca de una interfaz configurada para 802.1X (aquí, la interfaz es ge-0/0/16):
user@switch> show dot1x interface ge-0/0/16.0 detail ge-0/0/16.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Strict: Disabled Reauthentication: Enabled Reauthentication interval: 40 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 1 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user5, 00:30:48:8C:66:BD Operational state: Authenticated Authentication method: Radius Authenticated VLAN: v200 Reauthentication due in 17 seconds
Significado
El resultado de ejemplo del show dot1x interface detail
comando muestra que el Number of connected supplicants
es 1. El suplicante que se autententó y ahora está conectado a la LAN se conoce como user5 en el servidor RADIUS y tiene la dirección 00:30:48:8C:66:BDMAC. El suplicante se autentificó mediante el método de autenticación 802.1X llamado autenticación RADIUS, como se indica Radius
en el resultado. Cuando se utiliza la autenticación RADIUS, el suplicante se configura en el servidor RADIUS, el servidor RADIUS lo comunica al conmutador y el conmutador abre el acceso LAN en la interfaz a la que está conectado el suplicante. La salida de ejemplo también muestra que el suplicante está conectado a la VLAN v200.
Otros métodos de autenticación 802.1X compatibles con conmutadores de la serie EX además de la autenticación RADIUS son:
VLAN invitado: se concede acceso a VLAN invitado a un host que no responde.
Radio MAC: un host que no responde se autentica según su dirección MAC. La dirección MAC está configurada según lo permitido en el servidor RADIUS, el servidor RADIUS notifica al conmutador que la dirección MAC es una dirección permitida y el conmutador concede acceso LAN al host que no responde en la interfaz a la que está conectado.
Denegación de error del servidor: si el tiempo de espera de los servidores RADIUS, a todos los suplicantes se les niega el acceso a la LAN, lo que impide que el tráfico del suplicante pase por la interfaz. Este es el valor predeterminado.
Permiso de error del servidor: cuando el servidor RADIUS no está disponible, a un suplicante aún se le permite el acceso a la LAN como si el suplicante se autenticase correctamente por el servidor RADIUS.
Caché de uso por error del servidor: si los servidores RADIUS tienen tiempo de espera durante la reautotización, a los suplicantes autenticados previamente se les concede acceso LAN, pero a los nuevos suplicantes se les niega el acceso LAN.
VLAN con error del servidor: se configura un suplicante para que se mueva a una VLAN especificada si el servidor RADIUS no está disponible para volver a autenticar el suplicante. (La VLAN ya debe existir en el conmutador.)
Consulte también
Solución de problemas de autenticación de dispositivos finales en conmutadores de la serie EX
Problema
Descripción
Los dispositivos finales configurados con direcciones MAC estáticas pierden la conexión con el conmutador después de ejecutar el comando de interfaz punto1x para borrar todas las direcciones MAC aprendidas.
Antes de borrar direcciones MAC:
user@switch# run show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members default 00:a0:d4:00:03:00 Learn 0 ge-3/0/16.0 user@switch> show dot1x authentication-bypassed-users MAC address Interface VLAN 00:a0:d4:00:03:00 ge-3/0/16.0 configured/default
Para borrar direcciones MAC:
user@switch> clear dot1x interface
Después de borrar las direcciones MAC:
user@switch> show ethernet-switching table Ethernet-switching table: 2 entries, 0 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members user@switch> show dot1x authentication-bypassed-users
Tenga en cuenta que no hay dispositivos finales en la lista de omisión de autenticación.
Causa
Las direcciones MAC estáticas se tratan igual que otras direcciones MAC aprendidas en una interfaz. Cuando se ejecuta el comando clear dot1x interface, borra todas las direcciones MAC aprendidas de la interfaz, incluida la lista de omisión MAC estática (también conocida como lista de exclusión).
Solución
Si ejecuta el comando clear dot1x interfaces para una interfaz que tiene direcciones MAC estáticas configuradas para la omisión de autenticación, vuelva a agregar las direcciones MAC estáticas a la lista de omisión mac estática.
Consulte también
Atributos RADIUS y atributos específicos del proveedor (VSA) de Juniper Networks compatibles con 802.1X
El autenticador (servidor de acceso a red), el suplicante (cliente) y el servidor de autenticación están involucrados en la autenticación 802.1X (RADIUS-server). El protocolo RADIUS se utiliza como mecanismo de solicitud/respuesta para la comunicación entre el NAS y Radius-server. Hay cero o más valores de longitud de tipo (TTLV/Atributos) tanto en las solicitudes como en los esponses r.
El acceso de cada solicitante se puede restringir mediante el uso de un conjunto estándar de características definidas y atributos específicos del proveedor habilitados por 802.1X. (cliente). Ciertos atributos se pueden utilizar más de una vez para admitir valores más largos, ya que el atributo Radius Class tiene un tamaño máximo de 253 bytes.
Ventajas de usar VAS y atributos estándar RADIUS
Para conectarse con un servidor RADIUS externo para la autenticación, autorización y contabilidad del suscriptor, se requieren atributos estándar RADIUS.
Los VSA permiten la implementación de numerosas funciones valiosas que son necesarias para la administración de suscriptores y el soporte de servicio, lo que extiende la capacidad del servidor RADIUS más allá de lo que proporcionan los atributos estándar públicos.
Lista de atributos radius y VSA compatibles con 802.1X
Tipo | Atributo |
---|---|
1 |
Nombre de usuario |
11 |
Id de filtro |
24 |
Estado |
25 |
Clase |
26 |
Específico del proveedor |
27 |
Tiempo de espera de la sesión |
56 |
VLANID de salida |
57 |
Nombre de salida de VLAN |
64 |
Tipo de túnel |
65 |
Túnel de tipo medio |
81 |
ID de grupo privado de túnel |
85 |
Intervalo intermedio de acct |
102 |
Nombre de clave EAP |
ID de proveedor | Número | VSA de Juniper | VSA de Microsoft | Cisco VSA |
---|---|---|---|---|
2636 | 48 | Filtro de conmutación de Juniper | ||
49 | Juniper-VoIP-Vlan | |||
50 | Juniper-CWA-Redirect-URL | |||
52 | Juniper-AV-Pair = Rebote de puerto |
|||
Juniper-AV-Pair = Juniper Ip-Mac-Session-Binding |
||||
Juniper-AV-Pair = No-Mac-Binding-Reauth |
||||
Juniper-AV-Pair = Modo suplicante único |
||||
Juniper-AV-pair = Modo suplicante-single-Secure |
||||
Juniper-AV-pair = Conservar-Mac-aged-Session |
||||
311 | 16 | MS-MPPE-Send-Key | ||
17 | MS-MPPE-Recv-Key | |||
9 | 1 |
Cisco-AVPair = "subscriber:command=bounce-host-port" |
||
Cisco-AVPair = "subscriber:command=reauthenticate" |
||||
Cisco-AVPair = "subscriber:reauthenticate-type=rerun" |
||||
"subscriber:reauthenticate-type=last" | ||||
"url-redirect" |
Atributos RADIUS compatibles con 802.1X
Nombre de usuario:
Este atributo indica el nombre del usuario que debe verificarse. Si está disponible, se deben usar paquetes de solicitud de acceso para enviar este atributo. El tipo RADIUS para este atributo es 1.
Id de filtro:
En el servidor RADIUS, las políticas de usuario pueden estar sujetas a un filtro de firewall. El servidor RADIUS se puede utilizar para especificar los filtros de firewall que se aplicarán a cada usuario que envíe una solicitud de autenticación. Cada conmutador debe configurarse con filtros de firewall.
You must set up firewall filter on the local switch in order to apply filter centrally from the RADIUS server.[root@freeradius]# cd /usr/local/pool/raddb vi users
Agregue el filtro para cada usuario relevante.
Filter-Id = Filter1
Estado:
Entre el dispositivo y el servidor RADIUS, la información de estado se puede conservar con el uso del atributo String. El tipo RADIUS para este atributo es 24.
Salida-VLANID:
Un VLANID de salida ieee 802 permitido para este puerto está representado por el atributo Egress-VLANID, que también especifica si el VLANID está permitido para tramas etiquetadas o sin etiquetar además de VLANID. El atributo Egress-VLANID se define en RFC 4675.
Los atributos de salida-VLANID de los paquetes Access-Request, Access-Accept o CoA-Request pueden incluir varios valores. Esta característica no puede incluir desafíos de acceso, acceso-rechazo, solicitud de desconexión, desconexión-ACK, Desconexión-NAK, CoA-ACK o CoA-NAK. Cada atributo agrega la VLAN proporcionada a la lista de VLAN de salida permitidas del puerto.
Si las tramas de la VLAN están etiquetadas (0x31) o sin etiquetar (0x31), el campo Indicación de etiqueta, que es un octeto de longitud. El VLANID tiene 12 bits de longitud y contiene el valor VLAN VID.
Para Egress-VLAN-ID:
0x31 = tagged 0x32 = untagged
Por ejemplo, el siguiente perfil RADIUS incluye una VLAN etiquetada y una VLAN sin etiquetar:
001094001177 Cleartext-Password := "001094001177" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLANID += 0x3100033, Egress-VLANID += 0x3200034,
Nombre de salida de VLAN:
Egress-VLAN-Name representa una VLAN permitida para este puerto. De manera similar al atributo Egress-VLANID, sin embargo, en lugar de usar el VLAN-ID, que se define o se conoce, el nombre de VLAN se utiliza para identificar la VLAN dentro del sistema. El RFC 4675 contiene una definición para el atributo Egress-VLAN-Name.
El nombre de VLAN es la segunda parte del atributo Egress-VLAN-Name de dos partes, que también especifica si las tramas de la VLAN para este puerto deben mostrarse en formato etiquetado o sin etiquetar.
Para nombre de Egress-VLAN: 1 = etiquetado y 2 = sin etiquetar
The example below shows that VLAN 1vlan-2 is tagged, while VLAN 2vlan-3 is not.001094001144 Cleartext-Password := "001094001144" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
Tipo de túnel:
Este atributo especifica el protocolo de tunelización actualmente en uso o el protocolo de tunelización que se utilizará (en el caso de un iniciador de túnel) (en el caso de un terminador de túnel). El RFC 2868 especifica el atributo Tunnel-Type. El tipo RADIUS para este atributo es 64
Id de grupo privado de túnel:
El ID de VLAN o NAME de la sesión se muestra mediante el atributo Tunnel-Medium-Type. El dispositivo verifica si la cadena que recibe es un nombre de VLAN o un ID después de obtener un valor suministrado para el atributo Tunnel-Private-Group-ID desde el radio y comprueba si el dispositivo está configurado con una VLAN.
Si se configuró una VLAN, el puerto del cliente se agrega a esa VLAN. De lo contrario, debido a un error en la validación de VLAN, el cliente no se permitirá y se mantendrá en un estado de mantenimiento.
El tipo RADIUS para este atributo es 81, según RFC 2868.
[root@freeradius]# cat /usr/local/etc/raddb/users supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005",
Intervalo intermedio de acct:
El valor del atributo Acct-Interim-Interval representa el intervalo de tiempo en segundos entre cada transmisión de una actualización provisional para una sesión determinada. El número de segundos transcurridos desde el último mensaje de actualización de contabilidad es el valor de este atributo.
Un administrador también puede establecer un valor mínimo localmente en un cliente RADIUS, sin embargo, este valor siempre tiene prioridad sobre cualquier valor acct-Interim-Interval detectado en un paquete Access-Accept. El tipo RADIUS para este atributo es 85.
VSA de Juniper Networks
Filtro de conmutación de Juniper:
El atributo Juniper-Switching-Filter del diccionario de Juniper en el servidor RADIUS le permite especificar criterios de filtro sencillos. Después de eso, cada vez que un nuevo usuario se autorice correctamente, estos filtros se entregan a un conmutador.
Los conmutadores que utilizan el servidor RADIUS para la autenticación de usuario construyen y aplican automáticamente los filtros sin necesidad de configuración específica del conmutador. Introduzca una o más condiciones de coincidencia, acciones y asociaciones de usuarios en el servidor RADIUS para configurar la propiedad Juniper-Switching-Filter.
Para filtros de conmutación más largos, utilice varias instancias del atributo Juniper-switching-filter con un límite máximo de 20 condiciones de coincidencia y un tamaño total máximo de 4000 caracteres. La longitud máxima de cualquier atributo de radio es de 253 caracteres, por lo que cada línea del atributo "Juniper-switching-filter" también debe ser inferior a 253 caracteres.
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter = "match src-tag dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow ", Juniper-Switching-Filter += "match src-port 500 dst-port 600 src-tag [ 100, 200 ] action allow ", Juniper-Switching-Filter += "match ip-proto src-port 9090 ip-proto [ 25 17] action allow ", Juniper-Switching-Filter += "match src-port 100-120 200-220 300-320 src-tag ip-proto 26 18 action allow ", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000 ] ip-proto 240 action allow "
Se admiten las siguientes condiciones de coincidencia de filtro:
· destination-mac / dst-mac · destination-port / dst-port · destination-ip / dst · ip-protocol / ip-proto · source-port / src-port · source-dot1q-tag / src-tag · ether-type
- Allow · Deny · GBP · Trap to CPU · Loss-Priority · Forwarding-Class
i) Verifique que el diccionario de Juniper esté cargado en su servidor RADIUS e incluya el atributo de filtrado Juniper-Switching-Filter, ID de atributo 48:
[root@freeradius]# cat /usr/local/share/freeradius/dictionary.juniper # dictionary.juniper # $ # VENDOR Juniper 2636 BEGIN-VENDOR Juniper ATTRIBUTE Juniper-Local-User-Name 1 string ATTRIBUTE Juniper-Allow-Commands 2 string ATTRIBUTE Juniper-Deny-Commands 3 string ATTRIBUTE Juniper-Allow-Configuration 4 string ATTRIBUTE Juniper-Deny-Configuration 5 string ATTRIBUTE Juniper-Switching-Filter 48 string ATTRIBUTE Juniper-VoIP-Vlan 49 string ATTRIBUTE Juniper-CWA-Redirect 50 string ATTRIBUTE Juniper-AV-Pair 52 string END-VENDOR Juniper
ii) Ingrese las condiciones y acciones de coincidencia.
[root@freeradius]# cd /usr/local/etc/raddb vi users
Para cada usuario relevante, agregue el atributo Juniper-Switching-Filter. Para denegar o permitir el acceso según la MAC de destino, utilice
Juniper-Switching-Filter = "Match Destination mac 00:00:00:01:02:03 Action allow",
o de
Juniper-Switching-Filter = "Match Destination-mac 00:00:00:01:02:03 Action deny",
Para denegar o permitir el acceso según la dirección IP de destino:
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action deny"
o de
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action allow"
Para enviar varios filtros con diferentes coincidencias y acciones:
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter += "Match Ip-protocol 1 Destination-port 53 Action allow,", Juniper-Switching-Filter += "Match ip-proto [ 17, 25 ] dst-port 53 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 2 src-port 67 Action allow,", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000] action deny,", Juniper-Switching-Filter += "Match destination-port 23 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 6 Destination-port 80 Action trap,",
o de
Juniper-Switching-Filter = "Match Ip-protocol 6 Destination-port 53 Action allow , Match Ip-protocol [ 17 25] Destination-port 53 Action allow , Match Ether-type [2054-2070] Action deny, Match Ip-protocol 6 Destination-port 443 Action trap"
Para establecer la prioridad de pérdida de paquetes (PLP) en alta según una dirección MAC de destino y el protocolo IP:
Juniper-Switching-Filter = "match destination-mac 00:04:0f:fd:ac:fe, ip-protocol 2, forwarding-class high, action loss-priority high"
La clase de reenvío debe configurarse en el conmutador para que la opción clase de reenvío tenga efecto. Esta opción no se utiliza si no se especifica en el conmutador. Se deben especificar tanto la prioridad de pérdida de paquetes como la clase de reenvío.
Juniper-VoIP-Vlan:
La vlan VOIP se recupera del servidor radius mediante el VSA Juniper-VoIP-Vlan en un mensaje de aceptación de acceso o un mensaje de solicitud DE COA. Este atributo es el número 49.
Juniper-VoIP-Vlan = "voip_vlan"
VoIP le permite conectar teléfonos IP al conmutador y configurar la autenticación IEEE 802.1X para teléfonos IP compatibles con 802.1X.
Las LAN Ethernet están protegidas contra el acceso ilegal de los usuarios gracias a la autenticación 802.1X. Un protocolo conocido como VoIP se utiliza para transmitir voz a través de redes conmutadas de paquetes. VoIP utiliza una conexión de red, en lugar de una línea telefónica analógica, para transmitir llamadas de voz. Cuando se usa VoIP con 802.1X, el servidor RADIUS verifica la identidad del teléfono, mientras que el descubrimiento de puntos de conexión de medios de comunicación de detección de capa de vínculo (LLDP-MED) le da al teléfono los parámetros de clase de servicio (CoS).
Redireccionamiento de Juniper-CWA:
Con el VSA de redirección de Juniper-CWA, que es el atributo número 50 en el diccionario RADIUS de Juniper, la URL de redireccionamiento se puede configurar centralmente en el servidor AAA. El servidor AAA entrega el filtro de firewall dinámico y la URL al conmutador en el mismo mensaje de aceptación de acceso RADIUS. Como mecanismo de autenticación de respaldo, la autenticación web central (CWA) redirige el navegador web del host a un servidor de autenticación web central. El usuario puede introducir un nombre de usuario y una contraseña en la interfaz web del servidor CWA. El usuario se autentica y se le da acceso a la red si el servidor CWA acepta sus credenciales.
Después de que un host falla la autenticación MAC RADIUS, se utiliza la autenticación web central. El conmutador, que actúa como autenticador, recibe un mensaje radius access-Accept del servidor AAA que contiene un filtro de firewall dinámico y una URL de redirección para la autenticación web central.
Para que se active el procedimiento de autenticación web central, es necesario que estén presentes tanto la DIRECCIÓN URL de redireccionamiento como el filtro de firewall dinámico. Para usar el VSA de Juniper-Switching-Filter para la autenticación web central, debe configurar los términos del filtro directamente en el servidor AAA. El filtro debe incluir un término para que coincida con la dirección IP de destino del servidor CWA con la acción permitida.
Por ejemplo:
001122334455 Auth-Type := EAP, Cleartext-Password :="001122334455" Session-Timeout = "300", Juniper-CWA-Redirect-URL = "https://10.10.10.10", Juniper-Switching-Filter = "Match Destination-ip 10.10.10.10 Action allow, Match ip-protocol 17 Action allow, Match Destination-mac 00:01:02:33:44:55 Action deny"
Para la DIRECCIÓN URL de redirección, el conmutador no resuelve las consultas DNS. Para habilitar la dirección IP de destino del servidor CWA, debe configurar la propiedad Juniper-Switching-Filter.
Juniper-AV-Pair:
El atributo Juniper-AV-Pair es un atributo específico del proveedor (VSA) de Juniper Networks. Con el fin de proporcionar numerosas funciones importantes necesarias para la administración de suscriptores y el soporte de servicio, se utiliza para mejorar las capacidades del servidor RADIUS más allá de las que ofrecen los atributos estándar públicos.
i) Rebote de puerto:
Con el comando de puerto de host de rebote CoA, se finaliza una sesión y se rebota el puerto (inicia un evento de vínculo descendente seguido de un evento de vínculo ascendente). La solicitud es enviada por el servidor radius en un mensaje típico de CoA-Request con el VSA que se muestra a continuación:
Juniper-AV-Pair = "Port-Bounce".
Este comando requiere uno o más de los atributos de identificación de sesión enumerados en la sección "Identificación de sesión" porque está orientado a la sesión. El dispositivo envía un mensaje CoA-NAK con el atributo de código de error "Contexto de sesión no encontrado" si no se puede encontrar la sesión.
El dispositivo cierra el puerto de alojamiento durante 4 segundos, lo habilita de nuevo (rebote de puerto) y, luego, devuelve un CoA-ACK si se encuentra la sesión.
ii) Ip-Mac-Session-Binding:
Esto se utiliza para evitar que la sesión de autenticación de ese dispositivo finalice cuando la dirección MAC de un dispositivo envejece y debe volver a aprenderse. Recibimos este valor de atributo de un par AV de VSA Juniper en un mensaje de aceptación de acceso o solicitud de COA.
Configure el servidor RADIUS con los dos pares atributo-valor siguientes para mantener la sesión de autenticación según los enlaces de direcciones IP-MAC.
Juniper-AV-Pair = "IP-Mac-Session-Binding Juniper-AV-Pair = "No-Mac-Binding-Reauth"
iii) No-Mac-Binding-reauth:
Esto se utiliza para bloquear la reautenticación del cliente y detener la sesión de autenticación de finalizar cuando la dirección MAC de un dispositivo se vuelve obsoleta. Este valor de propiedad nos lo envía un VSA Juniper AV Pair en un mensaje de access-accept o COA request.
Juniper-AV-Pair = "No-Mac-Binding-Reauth" Detailed information is provided in the document: Retain the Authentication Session Using IP-MAC Bindings
iv) Modo suplicante único:
The device switches from the current set mode to single in response to receiving this attribute-value from a VSA Juniper-AV-Pair on an access-accept or COA request message.Juniper-AV-Pair = "Supplicant-Mode-Single"
v) Modo suplicante único seguro:
El dispositivo pasa de su modo establecido actual a un solo seguro en respuesta a recibir este valor de atributo de un VSA Juniper-AV-Pair en un mensaje de solicitud COA o de aceptación de acceso.
Juniper-AV-Pair = "Supplicant-Mode-Single-Secure"
vi) Conservar mac-aged-session:
If this attribute-value is received from a VSA Juniper-AV-Pair on an access-accept message for an 802.11X client, the client stays active even if the mac has aged out, and the mac is re-learned.Juniper-AV-Pair = "Retain-Mac-Aged-Session"
MS-MPPE-Send-Key y MS-MPPE-Recv-Key:
These are the MACSEC CAK generation keys together with the EAP key name that are utilised in dynamic CAK scenarios.Cisco-AVPair:
Cisco Systems, IANA private enterprise number 9, uses a single VSA, Cisco-AVPair (26-1). Based on the values it has, this VSA transmits various pieces of information. In some subscriber access networks with a BNG connected to a RADIUS server and a Cisco BroadHop application that serves as the Policy Control and Charging Rules Function (PCRF) server for provisioning services using RADIUS change of authorization (CoA) messages, you can use this VSA in RADIUS messages to activate and deactivate services.Cuando la BNG entrega mensajes RADIUS, no se puede cambiar ninguna de las propiedades de las respuestas de contabilidad, CoA o autenticación.
i) Cisco-AVPair = "subscriber:command=bounce-host-port"
Finaliza una sesión y el puerto se rebota mediante el comando de puerto de host de rebote CoA (inicia un evento de enlace hacia abajo seguido de un evento de enlace ascendente). La solicitud es enviada por el servidor AAA en un mensaje típico de CoA-Request con el VSA que se muestra a continuación.
Cisco:Avpair=“subscriber:command=bounce-host-port”
Este comando requiere uno o más de los atributos de identificación de sesión enumerados en la sección "Identificación de sesión" porque está orientado a la sesión. El dispositivo envía un mensaje CoA-NAK con el atributo de código de error "Contexto de sesión no encontrado" si no se puede encontrar la sesión. El dispositivo cierra el puerto de alojamiento durante 4 segundos, lo habilita de nuevo (rebote de puerto) y, luego, devuelve un CoA-ACK si se encuentra la sesión.
ii) Comando reautorizar Cisco-AVPair
Para iniciar la autenticación de sesión, el servidor AAA envía un mensaje de Solicitud de CoA estándar que contiene los siguientes VSA:
Cisco:Avpair=“subscriber:command=reauthenticate” Cisco:Avpair=“subscriber:reauthenticate-type=<last | rerun>”
reauthenticate-type
define si la solicitud de reautenticación de CoA utiliza el método de autenticación que tuvo éxito en la sesión o si el proceso de autenticación se reeje completamente.
"subscriber:command=reauthenticate"
debe estar presente para causar una reautenticación. La acción predeterminada es repetir el método de autenticación correcto anterior utilizado para la sesión si no se da "subscriber:reauthenticate-type". Si el método se vuelve a autenticar correctamente, todos los datos de autorización anteriores se intercambian para los datos de autorización recién reautonticados.
Solo cuando "subscriber:command=reauthenticate" también está presente es válido "subscriber:reauthenticate-type". El VSA se ignora si está contenido en otro comando CoA.