Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación 802.1X

Estándar IEEE 802.1X para el control de acceso de red basado en puertos y protege las LAN Ethernet del acceso de usuario no autorizado. Bloquea todo el tráfico hacia y desde un suplicante (cliente) en la interfaz hasta que se presentan las credenciales del suplicante y se hace coincidir en el servidor de autenticación (un servidor RADIUS). Cuando se autentica el suplicante, el conmutador deja de bloquear el acceso y abre la interfaz al suplicante. Lea este tema para obtener más información.

Descripción general de 802.1X para conmutadores

Cómo funciona la autenticación 802.1X

La autenticación 802.1X funciona mediante el uso de una entidad de acceso de puerto de autenticador (el conmutador) para bloquear el tráfico de entrada desde un suplicante (dispositivo final) en el puerto hasta que se presentan las credenciales del suplicante y coinciden en el servidor de autenticación (un servidor RADIUS). Cuando se autentica, el conmutador deja de bloquear el tráfico y abre el puerto al suplicante.

El dispositivo final se autentica en el modo de suplicante único , en el modo de suplicante único seguro o en el modo de suplicante múltiple :

  • suplicante único: autentica solo el dispositivo del primer extremo. Todos los demás dispositivos finales que se conectan más tarde al puerto tienen acceso completo sin ninguna autenticación adicional. Efectivamente, se acercan a la autenticación del dispositivo del primer extremo.

  • suplicante seguro único: permite que solo un dispositivo de extremo se conecte al puerto. No se permite que ningún otro dispositivo final se conecte hasta que el primer dispositivo cierre sesión.

  • varios suplicantes: permite que varios dispositivos finales se conecten al puerto. Cada dispositivo final se autentica de forma individual.

El acceso a la red se puede definir aún más mediante el uso de VLAN y filtros de firewall, los cuales actúan como filtros para separar y hacer coincidir grupos de dispositivos finales con las áreas de la LAN que requieren. Por ejemplo, puede configurar redes VLAN para que gestionen diferentes categorías de errores de autenticación según:

Descripción general de funciones 802.1X

Las siguientes funciones 802.1X son compatibles con los conmutadores Ethernet de Juniper Networks:

  • VLAN invitada: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales no respondedores que no están habilitados para 802.1X cuando la autenticación MAC RADIUS no está configurada en las interfaces de conmutador a las que están conectados los hosts. Además, se puede utilizar una VLAN invitada para proporcionar acceso limitado a una LAN para los usuarios invitados. Por lo general, la VLAN invitada solo proporciona acceso a Internet y a los dispositivos finales de otros invitados.

  • VLAN de rechazo de servidor: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos de extremo responsivos que están habilitados para 802.1X, pero que han enviado las credenciales incorrectas. Si el dispositivo final que se autentica mediante la VLAN de rechazo del servidor es un teléfono IP, no se permite el tráfico de voz.

  • VLAN con falla de servidor: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales 802.1X durante un tiempo de espera del servidor RADIUS.

  • VLAN dinámica: permite que un dispositivo final, después de la autenticación, sea miembro de una VLAN dinámicamente.

  • VLAN privada: permite la configuración de la autenticación 802.1X en interfaces que son miembros de VLAN privadas (PVLAN).

  • Cambios dinámicos en una sesión de usuario: permite que el administrador del conmutador termine una sesión ya autenticada. Esta función se basa en la compatibilidad del mensaje de desconexión RADIUS definido en RFC 3576.

  • VLAN VoIP: admite teléfonos IP. La implementación de una VLAN de voz en un teléfono IP es específica del proveedor. Si el teléfono está habilitado para 802.1X, se autentica como cualquier otro suplicante. Si el teléfono no está habilitado para 802.1X, pero tiene otro dispositivo compatible con 802.1X conectado a su puerto de datos, ese dispositivo se autentica y, luego, el tráfico VoIP puede fluir hacia y desde el teléfono (siempre que la interfaz esté configurada en un solo modo de suplicante y no en el modo de suplicante único seguro).

    Nota:

    No se admite la configuración de una VLAN VoIP en interfaces de VLAN privadas (PVLAN).

  • Contabilidad RADIUS: envía información de contabilidad al servidor de contabilidad RADIUS. La información de contabilidad se envía al servidor cada vez que un suscriptor inicia sesión o cierra sesión y cuando un suscriptor activa o desactiva una suscripción.

  • Atributos de servidor RADIUS para 802.1X: Juniper-Switching-Filter es un atributo específico del proveedor (VSA) que se puede configurar en el servidor RADIUS para definir aún más el acceso de un suplicante durante el proceso de autenticación 802.1X. La configuración centralizada de atributos en el servidor de autenticación evita la necesidad de configurar estos mismos atributos en forma de filtros de firewall en cada conmutador de la LAN al que el suplicante puede conectarse a la LAN. Esta función se basa en RLI 4583, soporte AAA RADIUS BRAS VSA.

Se admiten las siguientes funciones para autenticar dispositivos que no están habilitados para 802.1X:

  • Omisión MAC estática: proporciona un mecanismo de derivación para autenticar dispositivos que no están habilitados para 802.1X (como impresoras). La derivación MAC estática conecta estos dispositivos a puertos habilitados para 802.1X, sin la autenticación 802.1X.

  • Autenticación DE RADIUS MAC: proporciona un medio para permitir que los hosts que no están habilitados para 802.1X accedan a la LAN. MAC-RADIUS simula la funcionalidad suplicante del dispositivo cliente mediante la dirección MAC del cliente como nombre de usuario y contraseña.

Autenticación 802.1X en puertos troncales

A partir de Junos OS versión 18.3R1, puede configurar la autenticación 802.1X en interfaces troncales, lo que permite que el dispositivo de acceso de red (NAS) autentifique un punto de acceso (AP) u otro dispositivo de capa 2 conectado. Un AP o conmutador conectado al NAS admitirá varias VLAN, por lo que debe conectarse a un puerto troncal. Habilitar la autenticación 802.1X en la interfaz de troncalización protege el NAS de una vulneración de seguridad en la que un atacante puede desconectar el AP y conectar una computadora portátil para obtener acceso gratuito a la red para todas las VLAN configuradas.

Tenga en cuenta las siguientes advertencias al configurar la autenticación 802.1X en interfaces troncales.

  • Solo se admiten modos de suplicante únicos y seguros en interfaces de troncalización.

  • Debe configurar la autenticación 802.1X localmente en la interfaz de troncalización. Si configura la autenticación 802.1X globalmente mediante el set protocol dot1x interface all comando, la configuración no se aplica a la interfaz troncal.

  • Las VLAN dinámicas no se admiten en interfaces troncales.

  • La VLAN invitada y la VLAN de rechazo de servidor no se admiten en interfaces troncales.

  • La conmutación por error del servidor para clientes VoIP no se admite en interfaces troncales (server-fail-voip).

  • La autenticación en el puerto de troncalización no se admite mediante el portal cautivo.

  • La autenticación en el puerto de troncalización no se admite en interfaces agregadas.

  • La configuración de la autenticación 802.1X en interfaces que son miembros de VLAN privadas (PVLAN) no se admite en los puertos de troncalización.

Autenticación 802.1X en interfaces de capa 3

A partir de Junos OS versión 20.2R1, puede configurar la autenticación 802.1X en interfaces de capa 3. Tenga en cuenta las siguientes advertencias al configurar la autenticación 802.1X en interfaces de capa 3:

  • Solo se admiten clientes compatibles con EAP.

  • Solo se admite el modo de suplicante único.

  • Debe configurar la autenticación 802.1X localmente en interfaces de capa 3. Si configura la autenticación 802.1X globalmente mediante el set protocol dot1x interface all comando, la configuración no se aplica a las interfaces de capa 3.

  • La compatibilidad con interfaces de capa 3 no incluye IRB ni sub interfaces.

  • No se admiten VLAN invitadas, VLAN de rechazo de servidor y VLAN de falla de servidor.

  • No se admite la conmutación por error del servidor para clientes VoIP (server-fail-voip).

  • Solo se aceptan los siguientes atributos del servidor de autenticación como parte de los mensajes DE COA o de aceptación de acceso RADIUS para clientes autenticados en interfaces de capa 3:

    • Nombre de usuario

    • Tiempo de espera de sesión

    • Id. de estación de llamada

    • Acct-Session-ID

    • ID de puerto nas

    • Rebote de puerto

Configuración de la configuración de la interfaz 802.1X (procedimiento de CLI)

La autenticación IEEE 802.1X proporciona seguridad de borde de red, lo que protege las LAN Ethernet del acceso de usuarios no autorizados mediante el bloqueo de todo el tráfico hacia y desde un suplicante (cliente) en la interfaz hasta que se presentan y coincidan las credenciales del suplicante en el servidor de autenticación (un servidor RADIUS). Cuando se autentica el suplicante, el conmutador deja de bloquear el acceso y abre la interfaz al suplicante.

Nota:

Antes de comenzar, especifique el servidor RADIUS o los servidores que se utilizarán como servidor de autenticación. Consulte Especificar conexiones de servidor RADIUS en conmutadores (procedimiento de CLI).

Para configurar 802.1X en una interfaz:

  1. Configure el modo de suplicante como single (autentica el primer suplicante), single-secure (autentica solo un suplicante) o multiple (autentica varios suplicantes):
    Nota:

    No se admite el modo de suplicante múltiple en interfaces de troncalización.

  2. Habilite la reautorización y especifique el intervalo de reautorización:
  3. Configure el valor de tiempo de espera de interfaz para la respuesta del suplicante:
  4. Configure el tiempo de espera para la interfaz antes de que vuelva a enviar una solicitud de autenticación al servidor RADIUS:
  5. Configure cuánto tiempo espera la interfaz antes de retransmitir las PDU eapol iniciales al suplicante:
  6. Configure la cantidad máxima de veces que un paquete de solicitud EAPOL se retransmite al suplicante antes de que se agota el tiempo de espera de la sesión de autenticación:
  7. Configure la cantidad de veces que el conmutador intenta autenticar el puerto después de una falla inicial. El puerto permanece en estado de espera durante el período de silencio después del intento de autenticación.
  8. Establezca el server-fail para denegar para que el servidor no falle.
Nota:

Esta configuración especifica el número de intentos antes de que el conmutador coloque la interfaz en un estado HELD .

Descripción de los cambios iniciados por RADIUS en una sesión de usuario autorizado

Cuando se usa un servicio de autenticación que se basa en un modelo RADIUS de cliente/servidor, el cliente suele iniciar las solicitudes y enviarse al servidor RADIUS. Hay instancias en las que el servidor puede iniciar una solicitud y enviarla al cliente para modificar dinámicamente una sesión de usuario autenticada que ya está en curso. El cliente que recibe y procesa los mensajes es el conmutador, que actúa como servidor de acceso a la red o NAS. El servidor puede enviar al conmutador un mensaje de desconexión que solicita terminar una sesión o un mensaje de cambio de autorización (CoA) que solicita modificar los atributos de autorización de sesión.

El conmutador escucha solicitudes RADIUS no solicitadas en el puerto UPD 3799 y solo acepta solicitudes de un origen de confianza. La autorización para enviar una solicitud de desconexión o CoA se determina según la dirección de origen y el secreto compartido correspondiente, que se debe configurar en el conmutador y en el servidor RADIUS. Para obtener más información acerca de cómo configurar la dirección de origen y el secreto compartido en el conmutador, consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.

Mensajes de desconexión

El servidor RADIUS envía un mensaje de solicitud de desconexión al conmutador para terminar una sesión de usuario y descartar todo el contexto de sesión asociado. El conmutador responde a un paquete de solicitud de desconexión con un mensaje Desconexión-ACK si la solicitud se realiza correctamente, es decir, se descarta todo el contexto de sesión asociado y la sesión del usuario ya no está conectada, o con un paquete Disconnect-NAK si la solicitud falla, es decir, el autenticador no puede desconectar la sesión y descartar todo el contexto de sesión asociado.

En los mensajes de solicitud de desconexión, los atributos RADIUS se utilizan para identificar de forma exclusiva el conmutador (NAS) y la sesión de usuario. La combinación de atributos de identificación del NAS y atributos de identificación de sesión incluidos en el mensaje debe coincidir con al menos una sesión para que la solicitud sea correcta; De lo contrario, el conmutador responde con un mensaje Disconnect-NAK. Un mensaje de solicitud de desconexión solo puede contener atributos de identificación de NAS y sesión; si se incluyen otros atributos, el conmutador responde con un mensaje Disconnect-NAK.

Cambio de mensajes de autorización

Los mensajes de cambio de autorización (CoA) contienen información para modificar dinámicamente los atributos de autorización de una sesión de usuario para cambiar el nivel de autorización. Esto se produce como parte de un proceso de autenticación de dos pasos, en el cual el punto de conexión se autentica primero mediante la autenticación MAC RADIUS y, luego, se perfila según el tipo de dispositivo. El mensaje de CoA se usa para aplicar una política de cumplimiento adecuada para el dispositivo, normalmente cambiando los filtros de datos o la VLAN.

El conmutador responde a un mensaje de CoA con un mensaje de CoA-ACK si el cambio de autorización es exitoso, o un mensaje con CoA-NAK si el cambio no es exitoso. Si no se pueden realizar uno o más cambios de autorización especificados en un mensaje de Solicitud de CoA, el conmutador responde con un mensaje CoA-NAK.

En los mensajes de CoA-Request, los atributos RADIUS se utilizan para identificar de forma exclusiva el conmutador (que actúa como NAS) y la sesión del usuario. La combinación de atributos de identificación de NAS y atributos de identificación de sesión incluidos en el mensaje debe coincidir con los atributos de identificación de al menos una sesión para que la solicitud sea correcta; de lo contrario, el conmutador responde con un mensaje CoA-NAK.

Los paquetes de coA-Request también incluyen los atributos de autorización de sesión que se modificarán si se acepta la solicitud. Los atributos de autorización de sesión compatibles se enumeran a continuación. El mensaje de CoA puede contener cualquiera o todos estos atributos. Si no se incluye ningún atributo como parte del mensaje CoA-Request, el NAS asume que el valor de ese atributo debe permanecer sin cambios.

  • ID de filtro

  • ID de grupo privado de túnel

  • Filtro de conmutación de Juniper

  • Juniper-VoIP-VLAN

  • Tiempo de espera de sesión

Rebote del puerto de solicitud de CoA

Cuando se usa un mensaje de CoA para cambiar la VLAN de un host autenticado, los dispositivos finales, como las impresoras, no tienen un mecanismo para detectar el cambio de VLAN, por lo que no renuevan la concesión de su dirección DHCP en la nueva VLAN. A partir de Junos OS versión 17.3, la función de rebote de puerto se puede utilizar para forzar al dispositivo final a iniciar la re-negociación de DHCP provocando una solapa de vínculo en el puerto autenticado.

El comando para rebotar el puerto se envía desde el servidor RADIUS mediante un atributo específico del proveedor (VSA) de Juniper Networks. El puerto se rebota si se recibe el siguiente par de atributo-valor VSA en el mensaje de CoA del servidor RADIUS:

  • Juniper-AV-Pair = "Puerto rebote"

Para habilitar la función de rebote de puerto, debe actualizar el archivo de diccionario junos (juniper.dct) en el servidor RADIUS con el VSA de Juniper-AV-Pair. Busque el archivo de diccionario y agregue el siguiente texto al archivo:

Para obtener más información acerca de cómo agregar el VSA, consulte la documentación de FreeRADIUS.

Puede deshabilitar la función configurando la ignore-port-bounce instrucción en el nivel de hierachy [edit protocols dot1x authenticator interface interface-name].

Códigos de causa de error

Cuando una operación de desconexión o CoA no tiene éxito, se puede incluir un atributo Error-Cause (atributo RADIUS 101) en el mensaje de respuesta enviado por el NAS al servidor para proporcionar detalles sobre la causa del problema. Si el error detectado no se asigna a uno de los valores de atributo error-causa admitidos, el enrutador envía el mensaje sin un atributo de causa de error. Consulte para obtener Tabla 1 descripciones de los códigos de causa de error que se pueden incluir en los mensajes de respuesta enviados desde el NAS.

Tabla 1: Códigos de causa de error (atributo RADIUS 101)

Código

valor

Descripción

201

Contexto de sesión residual eliminado

Se envía en respuesta a un mensaje de solicitud de desconexión si una o más sesiones de usuario ya no están activas, pero se encontró el contexto de sesión residual y se eliminó correctamente. Este código solo se envía dentro de un mensaje de Desconexión ACK.

401

Atributo no compatible

La solicitud contiene un atributo que no se admite (por ejemplo, un atributo de terceros).

402

Atributo faltante

Falta un atributo crítico (por ejemplo, el atributo de identificación de sesión) de una solicitud.

403

Discordancia en la identificación del NAS

La solicitud contiene uno o más atributos de identificación del NAS que no coinciden con la identidad del NAS que recibe la solicitud.

404

Solicitud no válida

Otro aspecto de la solicitud no es válido, por ejemplo, si uno o más atributos no están formateados correctamente.

405

Servicio no compatible

El atributo Service-Type incluido con la solicitud contiene un valor no válido o no compatible.

406

Extensión no compatible

La entidad que recibe la solicitud (ya sea un NAS o un proxy RADIUS) no admite solicitudes iniciadas por RADIUS.

407

Valor de atributo no válido

La solicitud contiene un atributo con un valor no compatible.

501

Prohibido administrativamente

El NAS está configurado para prohibir el honor de los mensajes de solicitud de desconexión o de solicitud de coA para la sesión especificada.

503

Contexto de sesión no encontrado

El contexto de sesión identificado en la solicitud no existe en el NAS.

504

Contexto de sesión no extraíble

El suscriptor identificado por los atributos de la solicitud es propiedad de un componente que no se admite. Este código solo se envía dentro de un mensaje Desconexión-NAK.

506

Recursos no disponibles

No se pudo cumplir una solicitud debido a la falta de recursos nas disponibles (como la memoria).

507

Solicitud iniciada

El mensaje CoA-Request incluye un atributo Service-Type con un valor de Authorize Only.

508

No se admite la selección de varias sesiones

Los atributos de identificación de sesión incluidos en la solicitud coinciden con varias sesiones, pero el NAS no admite solicitudes que se apliquen a varias sesiones.

Filtrado de supplicantes 802.1X mediante el uso de atributos de servidor RADIUS

Hay dos maneras de configurar un servidor RADIUS con filtros de firewall de puerto (filtros de firewall de capa 2):

  • Incluya uno o más términos de filtro en el atributo Juniper-Conmutación-Filtro. El atributo Juniper-Switching-Filter es un atributo específico del proveedor (VSA) enumerado en el número de ID de atributo 48 en el diccionario de Juniper en el servidor RADIUS. Utilice este VSA para configurar condiciones de filtro simples para usuarios autenticados 802.1X. No se debe configurar nada en el conmutador; toda la configuración está en el servidor RADIUS.

  • Configure un filtro de firewall local en cada conmutador y aplique ese filtro de firewall a los usuarios autenticados a través del servidor RADIUS. Utilice este método para filtros más complejos. El filtro de firewall debe configurarse en cada conmutador.

    Nota:

    Si la configuración del filtro de firewall se modifica después de que los usuarios se autentifican con la autenticación 802.1X, entonces la sesión de autenticación 802.1X establecida debe terminarse y volver a establecerse para que los cambios de configuración del filtro de firewall surtan efecto.

En este tema se incluyen las siguientes tareas:

Configuración de filtros de firewall en el servidor RADIUS

Puede configurar condiciones de filtro simples mediante el atributo Juniper-Conmutación-Filtro en el diccionario de Juniper en el servidor RADIUS. Estos filtros se envían a un conmutador cada vez que un usuario nuevo se autentica correctamente. Los filtros se crean y aplican a todos los conmutadores de la serie EX que autentican a los usuarios a través de ese servidor RADIUS sin la necesidad de configurar nada en cada conmutador individual.

Nota:

En este procedimiento se describe el uso del software FreeRADIUS para configurar el VSA de juniper-conmutación-filtro. Para obtener información específica acerca de cómo configurar su servidor, consulte la documentación de AAA incluida con su servidor.

Para configurar el atributo Juniper-Switching-Filter, escriba uno o más términos de filtro mediante la CLI del servidor RADIUS. Cada término de filtro consta de condiciones de coincidencia con una acción correspondiente. Escriba los términos de filtro entre comillas (" ") mediante la sintaxis siguiente:

Se puede incluir más de una condición de coincidencia en un término de filtro. Cuando se especifican varias condiciones en un término de filtro, todas deben cumplirse para que el paquete coincida con el término de filtro. Por ejemplo, el siguiente término de filtro requiere que un paquete coincida tanto con la dirección IP de destino como con la dirección MAC de destino para cumplir con los criterios del término:

Se deben separar varios términos de filtro con comas, por ejemplo:

Consulte Juniper-Switching-Filter VSA Match Conditions and Actions para obtener definiciones de condiciones y acciones de coincidencia.

Nota:

En conmutadores EX9200 y en una junos Fusion Enterprise con EX9200 como dispositivo agregado, el filtro de firewall dinámico se aplica estrictamente para todos los paquetes IP. Si el filtro está configurado para permitir solo una dirección IP de destino específica, los paquetes con otras direcciones IP como IP de destino se eliminarán según las reglas del filtro. Esto incluye todos los paquetes de protocolo IP, como DHCP, IGMP y ARP.

Para configurar condiciones de coincidencia en el servidor RADIUS:

  1. Compruebe que el diccionario de Juniper se carga en su servidor RADIUS e incluye el atributo Juniper-Switching-Filter de filtrado (ID de atributo 48):
  2. Ingrese las condiciones y las acciones de coincidencia. Por ejemplo:
    • Para denegar la autenticación basada en la etiqueta 802.1Q (aquí, la etiqueta 802.1Q es 10):

      Para cada usuario relevante, agregue el Juniper-Switching-Filter atributo:

    • Para denegar el acceso según una dirección IP de destino:

      Para cada usuario relevante, agregue el Juniper-Switching-Filter atributo:

    • Para establecer la prioridad de pérdida de paquetes (PLP) high en función de una dirección MAC de destino y el protocolo IP:

      Para cada usuario relevante, agregue el Juniper-Switching-Filter atributo:

      Nota:

      Para que se aplique la forwarding-class opción, la clase de reenvío debe configurarse en el conmutador y se especifica la prioridad de pérdida de paquetes. Si no está configurado en el conmutador, se omite esta opción. Debe especificar tanto la clase de reenvío como la prioridad de pérdida de paquetes.

  3. Detenga y reinicie el proceso RADIUS para activar la configuración.

Aplicación de un filtro de firewall configurado localmente desde el servidor RADIUS

Puede aplicar un filtro de firewall de puerto (filtro de firewall de capa 2) a las políticas de usuario de forma centralizada desde el servidor RADIUS. A continuación, el servidor RADIUS puede especificar los filtros de firewall que se aplicarán a cada usuario que solicite autenticación, lo que reduce la necesidad de configurar el mismo filtro de firewall en varios conmutadores. Utilice este método cuando el filtro de firewall contenga una gran cantidad de condiciones o desee usar condiciones diferentes para el mismo filtro en conmutadores diferentes. Los filtros de firewall se deben configurar en cada conmutador.

Para obtener más información acerca de los filtros de firewall, consulte Descripción general de filtros de firewall para conmutadores de la serie EX.

Para aplicar un filtro de firewall de puerto de forma centralizada desde el servidor RADIUS:

Nota:

Si los filtros de firewall de puerto también están configurados localmente para la interfaz, los filtros de firewall configurados mediante VSA tienen prioridad si entran en conflicto con los filtros de firewall de puerto configurados localmente. Si no hay conflicto, se fusionan.

  1. Cree el filtro de firewall en el conmutador local. Consulte Configurar filtros de firewall (procedimiento de CLI) para obtener más información sobre cómo configurar un filtro de firewall de puerto.
  2. En el servidor RADIUS, abra el users archivo para mostrar los perfiles de usuario local de los dispositivos finales a los que desea aplicar el filtro:

  3. Aplique el filtro a cada perfil de usuario agregando el atributo Filter-ID con el nombre del filtro como valor de atributo:

    Por ejemplo, el perfil de usuario siguiente supplicant1 incluye el atributo Filter-ID con el nombre filter1del filtro:

    Nota:

    No se admiten varios filtros en una sola interfaz. Sin embargo, puede admitir varios filtros para varios usuarios conectados al conmutador en la misma interfaz mediante la configuración de un filtro único con políticas para cada uno de esos usuarios.

  4. Detenga y reinicie el proceso RADIUS para activar la configuración.

Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX

802.1X es el estándar IEEE para el control de acceso de red basado en puertos (PNAC). Utilice 802.1X para controlar el acceso a la red. Solo se permite el acceso a la red a los usuarios y dispositivos que proporcionen credenciales verificadas en una base de datos de usuarios. Puede utilizar un servidor RADIUS como base de datos de usuario para la autenticación 802.1X, así como para la autenticación MAC RADIUS.

En este ejemplo, se describe cómo conectar un servidor RADIUS a un conmutador de la serie EX y configurarlo para 802.1X:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de software y hardware:

  • Junos OS versión 9.0 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX que actúa como una entidad de acceso de puerto de autenticador (PAE). Los puertos del AUTENTICADOR PAE forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentifican.

  • Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como la base de datos de back-end y contiene información de credenciales para hosts (supplicantes) que tienen permiso para conectarse a la red.

Antes de conectar el servidor al conmutador, asegúrese de tener lo siguiente:

Descripción general y topología

El conmutador de la serie EX actúa como un PAE de autenticador. Bloquea todo el tráfico y actúa como puerta de control hasta que el servidor autentifica el suplicante (cliente). A todos los demás usuarios y dispositivos se les niega el acceso.

Figura 1 muestra un conmutador EX4200 que está conectado a los dispositivos enumerados en Tabla 2.

Figura 1: Topología para la configuraciónTopología para la configuración
Tabla 2: Componentes de la topología
Propiedad Configuración

Hardware del conmutador

Conmutador de acceso EX4200, puertos 24 Gigabit Ethernet: 8 puertos PoE (ge-0/0/0 a ge-0/0/7) y 16 puertos no PoE (ge-0/0/8 a ge-0/0/23)

Nombre de VLAN

Predeterminado

Un servidor RADIUS

Base de datos de back-end con una dirección 10.0.0.100 conectada al conmutador en el puerto ge-0/0/10

En este ejemplo, conecte el servidor RADIUS para acceder al puerto ge-0/0/10 en el conmutador EX4200. El conmutador actúa como autenticador y reenvía las credenciales del suplicante a la base de datos de usuario en el servidor RADIUS. Debe configurar la conectividad entre el EX4200 y el servidor RADIUS especificando la dirección del servidor y configurando la contraseña secreta. Esta información se configura en un perfil de acceso del conmutador.

Nota:

Para obtener más información acerca de los servicios de autenticación, autorización y contabilidad (AAA), consulte la Guía de configuración básica del sistema Junos OS.

Configuración

Procedimiento

Configuración rápida de CLI

Para conectar rápidamente el servidor RADIUS al conmutador, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para conectar el servidor RADIUS al conmutador:

  1. Defina la dirección de los servidores y configure la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor:

  2. Configure el orden de autenticación, haciendo radius el primer método de autenticación:

  3. Configure una lista de direcciones IP del servidor que se probarán en orden secuencial para autenticar el suplicante:

Resultados

Muestra los resultados de la configuración:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verifique que el conmutador y el servidor RADIUS estén correctamente conectados

Propósito

Compruebe que el servidor RADIUS está conectado al conmutador en el puerto especificado.

Acción

Haga ping al servidor RADIUS para comprobar la conexión entre el conmutador y el servidor:

Significado

Los paquetes de solicitud de eco ICMP se envían desde el conmutador al servidor de destino en 10.0.0.100 para probar si el servidor es accesible en toda la red IP. Las respuestas de eco ICMP se devuelven desde el servidor, comprobando que el conmutador y el servidor están conectados.

Descripción de filtros dinámicos basados en atributos RADIUS

Puede usar atributos de servidor RADIUS para implementar filtros de firewall de puerto en un servidor de autenticación RADIUS. Estos filtros se pueden aplicar dinámicamente a los supplicantes que solicitan autenticación a través de ese servidor. Los atributos del servidor RADIUS son campos de texto sin formato encapsulados en mensajes de aceptación de acceso enviados desde el servidor de autenticación al conmutador cuando un suplicante conectado al conmutador se autentica correctamente. El conmutador, que actúa como autenticador, utiliza la información de los atributos RADIUS para aplicar los filtros relacionados al suplicante. Los filtros dinámicos se pueden aplicar a varios puertos en el mismo conmutador o a varios conmutadores que utilizan el mismo servidor de autenticación, lo que proporciona control de acceso centralizado para la red.

Puede definir filtros de firewall directamente en el servidor RADIUS mediante el atributo Juniper-Conmutación-Filtro, que es un atributo RADIUS específico de Juniper Networks, también conocido como atributo específico del proveedor (VSA). Los VSA se describen en RFC 2138, Marcado de autenticación remota en el servicio de usuario (RADIUS). El VSA de filtro de conmutación de Juniper se enumera en el número de ID de atributo 48 del diccionario de Juniper en el servidor RADIUS, con el ID de proveedor establecido en el número de ID de Juniper Networks 2636. Con este atributo, se definen filtros en el servidor de autenticación, que se aplican a todos los conmutadores que autentican suplicantes a través de ese servidor. Este método elimina la necesidad de configurar los mismos filtros en varios conmutadores.

Como alternativa, puede aplicar un filtro de firewall de puerto a varios puertos en el mismo conmutador mediante el atributo Filter-ID, que es el número de ID de atributo RADIUS 11. Para usar el atributo Filter-ID, primero debe configurar un filtro en el conmutador y, a continuación, agregar el nombre del filtro a las políticas de usuario en el servidor RADIUS como el valor del atributo Filter-ID. Cuando el servidor RADIUS autentica un suplicante definido en una de esas políticas, el filtro se aplica al puerto del conmutador que se ha autenticado para el suplicante. Utilice este método cuando el filtro de firewall tenga condiciones complejas o si desea usar condiciones diferentes para el mismo filtro en conmutadores diferentes. El filtro denominado en el atributo Filter-ID debe configurarse localmente en el conmutador en el nivel de jerarquía [edit firewall family ethernet-switching filter].

Los VSA solo se admiten para configuraciones de suplicante único 802.1X y varias configuraciones de suplicante.

Descripción de la asignación de VLAN dinámica mediante atributos RADIUS

Un servidor RADIUS puede asignar dinámicamente vlan a los supplicantes que solicitan autenticación 802.1X a través de ese servidor. Configure la VLAN en el servidor RADIUS mediante atributos de servidor RADIUS, que son campos de texto sin cifrar encapsulados en mensajes enviados desde el servidor de autenticación al conmutador cuando un suplicante conectado al conmutador solicita autenticación. El conmutador, que actúa como autenticador, utiliza la información de los atributos RADIUS para asignar la VLAN al suplicante. Según los resultados de la autenticación, se puede asignar un suplicante que inició la autenticación en una VLAN a otra VLAN.

La autenticación correcta requiere que el ID de VLAN o el nombre de VLAN esté configurado en el conmutador que actúe como autenticador 802.1X y que coincida con el ID de VLAN o el nombre de VLAN enviados por el servidor RADIUS durante la autenticación. Si ninguno de los dos existe, el dispositivo final no se autentica. Si se establece una VLAN invitada, el dispositivo final no autenticado se mueve automáticamente a la VLAN invitada.

Los atributos del servidor RADIUS utilizados para la asignación de VLAN dinámica descrita en RFC 2868, Atributos RADIUS para compatibilidad con protocolos de túnel.

  • Tipo de túnel: definido como tipo de atributo RADIUS 64. El valor debe establecerse en VLAN.

  • Tipo medio de túnel: definido como tipo de atributo RADIUS 65. El valor debe establecerse en IEEE-802.

  • Tunnel-Private-Group-ID: definido como tipo de atributo RADIUS 81. El valor se debe establecer en el ID de VLAN o el nombre de VLAN.

Para obtener más información acerca de cómo configurar VLAN dinámicas en su servidor RADIUS, consulte la documentación del servidor RADIUS.

Descripción de las VLAN invitadas para 802.1X en conmutadores

Las VLAN invitadas se pueden configurar en conmutadores que utilizan autenticación 802.1X para proporcionar acceso limitado (normalmente solo a Internet) para invitados corporativos. La VLAN invitado se utiliza como reserva cuando:

  • El suplicante no está habilitado para 802.1X y no responde a los mensajes EAP.

  • La autenticación MAC RADIUS no se configuró en las interfaces del conmutador a las que está conectado el suplicante.

  • El portal cautivo no se configuró en las interfaces del conmutador a las que está conectado el suplicante.

No se utiliza una VLAN invitado para supplicantes que envían credenciales incorrectas. Esos suplicantes se dirigen a la VLAN de rechazo del servidor en su lugar.

En el caso de dispositivos finales que no estén habilitados para 802.1X, una VLAN invitada puede permitir el acceso limitado a un servidor desde el cual el dispositivo final no habilitado para 802.1X puede descargar el software suplicante e intentar autentificación de nuevo.

Ejemplo: Configuración de opciones de autenticación 802.1X cuando el servidor RADIUS no está disponible para un conmutador de la serie EX

La conmutación por error del servidor le permite especificar cómo se admiten los suplicantes 802.1X conectados al conmutador si el servidor de autenticación RADIUS deja de estar disponible.

Utilice 802.1X para controlar el acceso a la red. Solo se permite el acceso a la red a los usuarios y dispositivos (supplicantes) que proporcionen credenciales verificadas en una base de datos de usuarios. Utilice un servidor RADIUS como base de datos de usuario.

En este ejemplo, se describe cómo configurar una interfaz para mover un suplicante a una VLAN en caso de un tiempo de espera del servidor RADIUS:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a conmutadores QFX5100.

  • Junos OS versión 9.3 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX que actúa como una entidad de acceso de puerto de autenticador (PAE). Los puertos del AUTENTICADOR PAE forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentifican.

  • Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como la base de datos de back-end y contiene información de credenciales para hosts (supplicantes) que tienen permiso para conectarse a la red.

Antes de conectar el servidor al conmutador, asegúrese de tener lo siguiente:

Descripción general y topología

Un tiempo de espera del servidor RADIUS se produce si no se puede acceder a ningún servidor RADIUS de autenticación cuando un suplicante inicia sesión e intenta acceder a la LAN. Mediante la conmutación por error del servidor, puede configurar opciones alternativas para los suplicantes que intentan acceder a la LAN. Puede configurar el conmutador para aceptar o denegar el acceso a los suplicantes o para mantener el acceso ya concedido a los suplicantes antes del tiempo de espera del servidor RADIUS. Además, puede configurar el conmutador para que mueva susplicantes a una VLAN específica si se produce un tiempo de espera RADIUS.

Figura 2 muestra la topología utilizada para este ejemplo. El servidor RADIUS está conectado al conmutador EX4200 en el puerto ge-0/0/10de acceso. El conmutador actúa como la entidad de acceso de puerto de autenticador (PAE) y reenvía las credenciales del suplicante a la base de datos de usuario en el servidor RADIUS. El conmutador bloquea todo el tráfico y actúa como puerta de control hasta que el servidor de autenticación autentifica el suplicante. Un suplicante se conecta al conmutador mediante la interfaz ge-0/0/1.

Nota:

Esta figura también se aplica a los conmutadores QFX5100.

Figura 2: Topología para configurar opciones 802.1XTopología para configurar opciones 802.1X

Tabla 3 describe los componentes de esta topología.

Tabla 3: Componentes de la topología
Propiedad Configuración

Hardware del conmutador

Conmutador de acceso EX4200, puertos 24 Gigabit Ethernet: 16 puertos no PoE y 8 puertos PoE.

Nombres de VLAN

default VLAN

vlan-sf VLAN

Solicitante

Suplicante que intenta acceder a la interfaz ge-0/0/1

Un servidor RADIUS

Base de datos de back-end con una dirección conectada 10.0.0.100 al conmutador en el puerto ge-0/0/10

En este ejemplo, configure la interfaz ge-0/0/1 para mover un suplicante que intenta acceder a la LAN durante un tiempo de espera radius a otra VLAN. Un tiempo de espera RADIUS impide el intercambio normal de mensajes EAP que transportan información del servidor RADIUS al conmutador y permiten la autenticación de un suplicante. La VLAN predeterminada se configura en la interfaz ge-0/0/1. Cuando se produce un tiempo de espera RADIUS, los suplicantes en la interfaz se moverán de la VLAN predeterminada a la VLAN denominada vlan-sf.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la conmutación por error del servidor en el conmutador, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar una interfaz para desviar susplicantes a una VLAN específica cuando se produce un tiempo de espera RADIUS (aquí, la VLAN es vlan-sf):

  1. Defina la VLAN a la que se desvían los supplicantes:

Resultados

Muestra los resultados de la configuración:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobación de que los supplicantes se mueven a una VLAN alternativa durante un tiempo de espera radius

Propósito

Compruebe que la interfaz mueve susplicantes a una VLAN alternativa durante un tiempo de espera RADIUS.

Nota:

En conmutadores que ejecutan Junos OS para la serie EX con compatibilidad con ELS, la salida del show vlans comando contendrá información adicional. Si el conmutador ejecuta software compatible con ELS, consulte mostrar vlan. Para obtener detalles de ELS, consulte Uso de la CLI mejorada de software de capa 2

Acción

Muestra las VLAN configuradas en el conmutador; la interfaz ge-0/0/1.0 es miembro de la default VLAN:

Muestra la información del protocolo 802.1X en el conmutador para ver los suplicantes que se autentican en la interfaz ge-0/0/1.0:

Se produce un tiempo de espera del servidor RADIUS. Muestra la tabla de conmutación Ethernet para mostrar que el suplicante con la dirección 00:00:00:00:00:01 MAC que anteriormente accedía a la LAN a través de la default VLAN ahora se está aprendiendo en la VLAN denominada vlan-sf:

Muestra la información del protocolo 802.1X para mostrar que la interfaz ge-0/0/1.0 se está conectando y abrirá el acceso LAN a los suplicantes:

Significado

El show vlans comando muestra la interfaz ge-0/0/1.0 como miembro de la default VLAN. El show dot1x interface brief comando muestra que un suplicante (abc) se autentica en la interfaz ge-0/0/1.0 y tiene la dirección 00:00:00:00:00:01MAC. Se produce un tiempo de espera del servidor RADIUS y el conmutador no puede alcanzar el servidor de autenticación. El show-ethernet-switching table comando muestra que la dirección 00:00:00:00:00:01 MAC se aprende en la VLAN vlan-sf. El suplicante se movió de la default VLAN a la vlan-sf VLAN. A continuación, el suplicante se conecta a la LAN mediante la VLAN denominada vlan-sf.

Ejemplo: Configuración de opciones de reserva en conmutadores de la serie EX para clientes de autenticación EAP-TTLS y acceso Odyssey

Para la autenticación de usuario 802.1X, los conmutadores de la serie EX admiten servidores de autenticación RADIUS que utilizan TLS con protocolo de autenticación extensible (EAP-TTLS) para autenticar supplicantes del cliente de acceso de Odyssey (OAC). El software de red OAC se ejecuta en ordenadores de punto de conexión (ordenadores de escritorio, portátiles o blocs de notas y dispositivos inalámbricos compatibles) y ofrece acceso seguro a redes por cable e inalámbricas.

En este ejemplo, se describe cómo configurar una interfaz habilitada para 802.1X en el conmutador para proporcionar soporte de reserva para usuarios de OAC que han ingresado credenciales de inicio de sesión incorrectas:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a conmutadores QFX5100.

  • Junos OS versión 11.2 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX que actúa como una entidad de acceso de puerto de autenticador (PAE). Los puertos del AUTENTICADOR PAE forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentifican.

  • Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como la base de datos de back-end y contiene información de credenciales para hosts (supplicantes) que tienen permiso para conectarse a la red.

  • Un dispositivo de extremo OAC que actúa como suplicante.

Antes de comenzar a configurar la opción de reserva, asegúrese de tener lo siguiente:

Descripción general y topología

OAC es un software de red que se ejecuta en ordenadores de punto de conexión (escritorio, computadora portátil o bloc de notas) y dispositivos inalámbricos compatibles. OAC ofrece soporte completo para EAP, el cual es necesario para un acceso LAN inalámbrico seguro.

En esta topología, OAC se despliega con un conmutador habilitado para 802.1X y un servidor RADIUS. El conmutador funciona como un punto de cumplimiento en la arquitectura de seguridad de red. Esta topología:

  • Garantiza que solo los usuarios autorizados puedan conectarse.

  • Mantiene la privacidad de las credenciales de inicio de sesión.

  • Mantiene la privacidad de los datos a través del vínculo inalámbrico.

En este ejemplo, se incluye la configuración de una VLAN de rechazo de servidor en el conmutador, que se puede utilizar para evitar bloqueos accidentales para los usuarios que han ingresado credenciales de inicio de sesión incorrectas. A estos usuarios se les puede dar acceso LAN limitado.

Sin embargo, esta configuración de reserva es complicada por el hecho de que el supplicante OAC y el servidor RADIUS utilizan EAP-TTLS. EAP-TTLS crea un túnel cifrado seguro entre el servidor y el dispositivo final para completar el proceso de autenticación. Cuando el usuario ingresa credenciales de inicio de sesión incorrectas, el servidor RADIUS envía mensajes de falla EAP directamente al cliente a través de este túnel. El mensaje de error EAP hace que el cliente reinicie el procedimiento de autenticación, de modo que el proceso de autenticación 802.1X del conmutador derribe la sesión que se estableció con el conmutador mediante la VLAN de rechazo del servidor. Puede habilitar la conexión correctiva para continuar configurando:

  • eapol-block: habilite el temporizador de bloque EAPoL en la interfaz 802.1X que está configurada para pertenecer a la VLAN de rechazo del servidor. El temporizador de bloque hace que la entidad de acceso del puerto de autenticación ignore los mensajes de inicio de EAP desde el cliente e intente reiniciar el procedimiento de autenticación.

    Nota:

    El temporizador de bloque EAPoL solo se activa después de que se haya agotado el número configurado de reattempts permitidos (mediante la retries opción) en la interfaz 802.1X. Puede configurar retries para especificar la cantidad de veces que el conmutador intenta autenticar el puerto después de una falla inicial. El valor predeterminado es tres reintentos.

  • block-interval: configure la cantidad de tiempo que desea que el temporizador de bloque EAPoL continúe ignorando los mensajes de inicio de EAP. Si no configura el intervalo de bloques, el temporizador de bloque EAPoL se establece de forma predeterminada en 120 segundos.

Cuando la interfaz 802.1X ignora los mensajes de inicio de EAP desde el cliente, el conmutador permite que la sesión correctiva existente que se estableció mediante la VLAN de rechazo del servidor permanezca abierta.

Estas opciones de configuración se aplican a los modos de autenticación únicos, seguros y múltiples supplicantes. En este ejemplo, la interfaz 802.1X se configura en modo de suplicante único.

Figura 3 muestra un conmutador de la serie EX que conecta un dispositivo final OAC a un servidor RADIUS e indica los protocolos que se utilizan para conectar las entidades de red.

Nota:

Esta figura también se aplica a los conmutadores QFX5100.

Figura 3: Conmutador de la serie EX que conecta OAC al servidor RADIUS mediante autenticación EAP-TTLSConmutador de la serie EX que conecta OAC al servidor RADIUS mediante autenticación EAP-TTLS

Topología

Tabla 4 describe los componentes de esta implementación de OAC:.

Tabla 4: Componentes de la implementación de OAC
Propiedad Configuración

Hardware del conmutador

Conmutador de la serie EX

Vlan

default

server-reject-vlan: El nombre de VLAN es remedial y el ID de VLAN es 700

Interfaz 802.1X

ge-0/0/8

Suplicante OAC

EAP-TTLS

Un servidor de autenticación RADIUS

EAP-TTLS

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente las opciones de reserva para supplicantes EAP-TTLS y OAC, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador:

Procedimiento paso a paso

Para configurar las opciones de reserva para supplicantes EAP-TTLS y OAC:

Consejo:

En este ejemplo, el conmutador solo tiene una VLAN de rechazo de servidor. Por lo tanto, la configuración especifica eapol-block y block-interval directamente después server-reject-vlande . Sin embargo, si ha configurado varias VLAN en el conmutador, debe incluir el nombre de VLAN o el ID de VLAN directamente después server-reject-vlan de indicar qué VLAN se está modificando.

  1. Configure una VLAN que funcionará como la VLAN de rechazo del servidor para proporcionar acceso LAN limitado a los usuarios que hayan ingresado credenciales de inicio de sesión incorrectas:

  2. Configure la cantidad de veces que se le pedirá al cliente nombre de usuario y contraseña antes de que se dirija un inicio de sesión incorrecto a la VLAN de rechazo del servidor:

  3. Configure la interfaz del autenticador 802.1X para usar la VLAN de rechazo del servidor como reserva para inicios de sesión incorrectos:

  4. Habilite el temporizador de bloque EAPoL en la interfaz 802.1X que está configurada para pertenecer a la VLAN de rechazo del servidor.

  5. Configure la cantidad de tiempo para que el bloque EAPoL permanezca vigente:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración y las opciones de reserva funcionan correctamente, realice esta tarea:

Verificar la configuración de la interfaz 802.1X

Propósito

Verifique que la interfaz 802.1X esté configurada con las opciones deseadas.

Acción
Significado

El show dot1x ge-0/0/8 detail resultado del comando muestra que la ge-0/0/8 interfaz está en el Authenticated estado y que usa la remedial VLAN.

Monitoreo de autenticación 802.1X

Propósito

Nota:

Este tema solo se aplica al paquete de la aplicación J-Web.

El paquete de aplicación J-Web versión 14.1X53-A2 no admite autenticación 802.1X en conmutadores EX4600.

A partir de la versión 22.1R1 de Junos OS, no se admiten conmutadores EX4600.

Utilice la función de supervisión para mostrar detalles de usuarios autenticados y usuarios que no pudieron autentificación.

Acción

Para mostrar los detalles de autenticación en la interfaz J-Web, seleccione Monitoring > Security > 802.1X.

Para mostrar detalles de autenticación en la CLI, escriba los siguientes comandos:

  • show dot1x interface detail | display xml

  • show dot1x interface detail <interface> | display xml

  • show dot1x auth-failed-users

Significado

Los detalles que se muestran incluyen:

  • Una lista de usuarios autenticados.

  • La cantidad de usuarios conectados.

  • Una lista de usuarios que no pudieron autentificación.

También puede especificar una interfaz para la que se deben mostrar los detalles.

Verificar la autenticación 802.1X

Propósito

Compruebe que los suplicantes se autentican en una interfaz de un conmutador con la interfaz configurada para la autenticación 802.1X y muestre el método de autenticación que se está utilizando.

Acción

Muestra información detallada sobre una interfaz configurada para 802.1X (aquí, la interfaz es ge-0/0/16):

Significado

El resultado de ejemplo del show dot1x interface detail comando muestra que el Number of connected supplicants es 1. El suplicante que se autentifica y ahora está conectado a la LAN se conoce como user5 en el servidor RADIUS y tiene la dirección 00:30:48:8C:66:BDMAC. El suplicante se autentificó mediante el método de autenticación 802.1X llamado autenticación RADIUS, como se indica Radius en el resultado. Cuando se utiliza la autenticación RADIUS, el suplicante se configura en el servidor RADIUS, el servidor RADIUS lo comunica al conmutador y el conmutador abre el acceso LAN en la interfaz a la que está conectado el suplicante. La salida de ejemplo también muestra que el suplicante está conectado a VLAN v200.

Otros métodos de autenticación 802.1X compatibles con conmutadores de la serie EX, además de la autenticación RADIUS, son:

  • VLAN invitado: un host que no responde recibe acceso de VLAN de invitado.

  • Radio MAC: un host no responde se autentica según su dirección MAC. La dirección MAC se configura como se permite en el servidor RADIUS, el servidor RADIUS notifica al conmutador que la dirección MAC es una dirección permitida y el conmutador concede acceso LAN al host no responde en la interfaz a la que está conectada.

  • Denegación de error de servidor: si los servidores RADIUS agotan el tiempo de inaplicación, se niega el acceso a la LAN a todos los suplicantes, lo que impide que el tráfico del suplicante pase por la interfaz. Este es el valor predeterminado.

  • Permiso de error del servidor: cuando el servidor RADIUS no está disponible, un suplicante sigue teniendo acceso a la LAN como si el suplicante fuera autenticado correctamente por el servidor RADIUS.

  • Caché de uso con errores de servidor: si los servidores RADIUS agotan el tiempo de ejecución durante la reautorización, a los suplicantes autenticados anteriormente se les concede acceso LAN, pero a los nuevos suplicantes se les niega el acceso LAN.

  • VLAN de error del servidor: un suplicante está configurado para moverse a una VLAN especificada si el servidor RADIUS no está disponible para volver a autenticar el suplicante. (La VLAN ya debe existir en el conmutador.)

Solución de problemas Autenticación de dispositivos finales en conmutadores de la serie EX

Problema

Descripción

Los dispositivos finales configurados con direcciones MAC estáticas pierden conexión con el conmutador después de ejecutar el comando clear dot1x interface para borrar todas las direcciones MAC aprendidas.

Antes de borrar direcciones MAC:

Para borrar direcciones MAC:

Después de borrar direcciones MAC:

Tenga en cuenta que no hay dispositivos finales en la lista de omisión de autenticación.

Causa

Las direcciones MAC estáticas se tratan igual que otras direcciones MAC aprendidas en una interfaz. Cuando se ejecuta el comando clear dot1x interface, borra todas las direcciones MAC aprendidas de la interfaz, incluida la lista de omisión MAC estática (también conocida como lista de exclusión).

Solución

Si ejecuta el comando borrar interfaces dot1x para una interfaz que tenga direcciones MAC estáticas configuradas para la omisión de autenticación, vuelva a agregar las direcciones MAC estáticas a la lista de omisión MAC estática.

Tabla de historial de versiones
Liberación
Descripción
20.2R1
A partir de Junos OS versión 20.2R1, puede configurar la autenticación 802.1X en interfaces de capa 3
18.4R1
A partir de Junos OS versión 18.3R1, puede configurar la autenticación 802.1X en interfaces troncales, lo que permite que el dispositivo de acceso de red (NAS) autentifique un punto de acceso (AP) u otro dispositivo de capa 2 conectado.
17.3R1
A partir de Junos OS versión 17.3, la función de rebote de puerto se puede utilizar para forzar al dispositivo final a iniciar la re-negociación de DHCP provocando una solapa de vínculo en el puerto autenticado.
14.1X53-A2
El paquete de aplicación J-Web versión 14.1X53-A2 no admite autenticación 802.1X en conmutadores EX4600.