Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación de 802.1 x

IEEE 802.1 X estándar para el control de acceso a redes basadas en puertos y protege las LAN Ethernet contra el acceso de usuarios no autorizados. Bloquea todo el tráfico hacia y desde un supplicant (cliente) en la interfaz hasta que se presentan y hacen coincidir los credenciales del suplicante en el servidor de autenticación (un RADIUS servidor). Cuando el solicitante se autentica, el conmutador deja de bloquear el acceso y abre la interfaz al suplicante. Lea este tema para obtener más información.

Introducción a 802.1 x para conmutadores

Cómo funciona la autenticación de 802.1 X

La autenticación 802.1X funciona mediante el uso de una entidad de acceso de puerto de autenticación (el conmutador) para bloquear el tráfico de entrada desde un supplicante (dispositivo final) en el puerto hasta que se presenten los credenciales del suplicante y coincidan en el servidor de autenticación (un RADIUS servidor). Cuando se autentica, el conmutador deja de bloquear el tráfico y abre el puerto al suplicante.

El dispositivo final se autentica en modo de supplicante único, en modo de supplicante de seguridad única o en modo de supplicante múltiple:

  • un solo supplicante: autentica solo el primer dispositivo final. A todos los demás dispositivos de extremo que se conectan más tarde al puerto se les concede acceso completo sin ninguna autenticación adicional. En la práctica, se abate sobre la autenticación del dispositivo del primer extremo.

  • Supplicante de seguridad única: permite que solo un dispositivo final se conecte al puerto. Ningún otro dispositivo final podrá conectarse hasta que el primer dispositivo salga de la sesión.

  • múltiples supplicantes: permite que varios dispositivos finales se conecten al puerto. Cada dispositivo de extremo se autentica individualmente.

El acceso a redes puede definirse con más detalle mediante el uso de redes VLAN y filtros de firewall, que actúan como filtros para separar y hacer coincidir grupos de dispositivos finales con las áreas de la LAN que requieren. Por ejemplo, puede configurar redes VLAN para controlar diferentes categorías de errores de autenticación en función de:

  • Si el dispositivo final está o no 802.1 X-enabled.

  • Si se configura o no la autenticación de MAC RADIUS en las interfaces de conmutadores a las que se conectan los hosts.

  • Si el servidor de RADIUS autenticación deja de estar disponible o envía un mensaje RADIUS de rechazo de acceso. Consulte configuring RADIUS Server FAIL Fallback (procedimiento de la CLI).

Descripción general de las características de 802.1 x

Los conmutadores Ethernet Juniper Networks admiten las siguientes características de 802.1 X:

  • VLAN de invitado: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales no responsables que no estén habilitados con 802.1X cuando la autenticación de MAC RADIUS no está configurada en las interfaces del conmutador a las que están conectados los hosts. Además, una VLAN invitada se puede usar para proporcionar acceso limitado a una LAN a los usuarios invitados. Normalmente, la VLAN de invitado solo proporciona acceso a Internet y a los dispositivos finales de otros invitados.

  • VLAN rechazada por el servidor: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales con capacidad de respuesta 802.1X pero que enviaron las credenciales incorrectas. Si el dispositivo final que se autentica utilizando la VLAN de servidor o rechazo es un teléfono IP, no se permitirá el tráfico de voz.

  • VLAN que no funciona con el servidor: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales 802.1X durante un RADIUS de espera del servidor.

  • VLAN dinámica: permite que un dispositivo final, después de la autenticación, sea miembro de una VLAN de forma dinámica.

  • VLAN privada: permite la configuración de la autenticación 802.1X en interfaces que son miembros de VLAN privadas (PVLAN).

  • Cambios dinámicos en una sesión de usuario: permite que el administrador del conmutador finalice una sesión que ya está autenticada. Esta característica se basa en la compatibilidad de RADIUS mensaje de desconexión definido en el documento RFC 3576.

  • VLAN VoIP: es compatible con teléfonos IP. La implementación de una VLAN de voz en un teléfono IP es específica del fabricante. Si el teléfono está habilitado para 802.1 X, se autentica como cualquier otro suplicante. Si el teléfono no está habilitado para 802.1 X, pero incluye otro dispositivo compatible con 802.1 X conectado a su puerto de datos, ese dispositivo se autentica y, a continuación, el tráfico de VoIP puede fluir hacia el teléfono y desde él (siempre y cuando la interfaz esté configurada en modo de único suplicante y no en modo suplicante único-seguro).

    Nota:

    No se admite la configuración de una VLAN VoIP en interfaces VLAN privadas (PVLAN).

  • RADIUS: envía información de contabilidad al RADIUS de cuentas. La información de cuentas se envía al servidor siempre que un suscriptor inicia sesión o cierra una sesión, y siempre que un suscriptor activa o desactiva una suscripción.

  • RADIUS de servidor para 802.1X: es un atributo específico del proveedor (VSA) que se puede configurar en el servidor de RADIUS para definir aún más el acceso de un supplicante durante el proceso de autenticación Juniper-Switching-Filter 802.1X. La configuración centralizada de los atributos en el servidor de autenticación obvia la necesidad de configurar estos mismos atributos en forma de filtros de cortafuegos en cada conmutador de la LAN al que el suplicante pueda conectarse a la LAN. Esta característica se basa en RLI 4583, AAA RADIUS la compatibilidad con VSA de BRAS.

Se admiten las siguientes características para autenticar dispositivos que no están habilitados para 802.1 X:

  • Omisión de MAC estática: proporciona un mecanismo de omisión para autenticar dispositivos que no estén habilitados con 802.1X (como las impresoras). La omisión de MAC estática conecta estos dispositivos a 802.1 puertos habilitados X, omitiendo la autenticación de 802.1 X.

  • Autenticación RADIUS MAC: proporciona un medio para permitir que los hosts que no están habilitados con 802.1X accedan a la LAN. MAC: RADIUS simula la funcionalidad suplicante del dispositivo cliente, utilizando el dirección MAC del cliente como nombre de usuario y contraseña.

Autenticación de 802.1 x en puertos troncales

A partir de Junos OS versión 18.3 de R1, puede configurar la autenticación de 802.1 X en las interfaces troncales, lo que permite que el dispositivo de acceso a la red (NAS) autentique un punto de acceso (AP) u otro dispositivo conectado por capa 2. Un punto de conexión o conmutador conectado a la NAS será compatible con varias VLAN, por lo que debe conectarse a un puerto troncal. La habilitación de la autenticación 802.1 X en la interfaz de troncal protege el NAS de una infracción de seguridad en la que un atacante podría desconectar el AP y conectar un equipo portátil para obtener acceso libre a la red para todas las VLAN configuradas.

Tenga en cuenta las siguientes consideraciones cuando configure 802.1 X Authentication on interfaces troncales.

  • En las interfaces troncales solo se admiten los modos de suplicante single o Single-Secure.

  • Debe configurar la autenticación 802.1 X localmente en la interfaz troncal. Si configura la autenticación de 802.1 X de forma global set protocol dot1x interface all con el comando, la configuración no se aplica a la interfaz troncal.

  • Las VLAN dinámicas no son compatibles con las interfaces troncales.

  • Las interfaces troncales de VLAN y Server-Reject VLAN no se soportan.

  • No se admite la reserva de fallos del servidor para clientes VoIPserver-fail-voipen interfaces troncales ().

  • La autenticación en el puerto de enlace no se admite con el portal cautivo.

  • No se admite la autenticación en el puerto troncal en interfaces agregadas.

  • La configuración de la autenticación de 802.1 X en interfaces que son miembros de VLAN privadas (PVLANs) no se admite en puertos troncales.

Autenticación 802.1X en interfaces de capa 3

A partir Junos OS versión 20.2R1, puede configurar la autenticación 802.1X en interfaces de capa 3. Tenga en cuenta las siguientes advertencias cuando configure la autenticación 802.1X en interfaces de capa 3:

  • Solo se admiten clientes compatibles con EAP.

  • Solo se admite el modo de supplicante único.

  • Debe configurar la autenticación 802.1X localmente en interfaces de capa 3. Si configura la autenticación 802.1X globalmente mediante el comando, la configuración no se aplica a set protocol dot1x interface all las interfaces de capa 3.

  • La compatibilidad con interfaces de capa 3 no incluye IRB ni sub interfaces.

  • No se admiten VLAN invitados, VLAN rechazadas por el servidor y VLAN de servidor falla.

  • No se admite la devolución de errores del servidor para clientes VoIP ( server-fail-voip ).

  • Solo se aceptan los siguientes atributos del servidor de autenticación como parte de RADIUS de aceptación de acceso o COA para los clientes autenticados en interfaces de capa 3:

    • User-Name

    • Tiempo de espera de sesión

    • ID. de estación de llamada

    • ID. de sesión acct

    • NAS-Id-puerto

    • Rebote de puerto

Configuración de la interfaz 802.1 X (procedimiento de la CLI)

IEEE autenticación 802.1X proporciona seguridad de borde de red, lo que protege las LAN Ethernet del acceso de usuarios no autorizados mediante el bloqueo de todo el tráfico hacia y desde un supplicante (cliente) en la interfaz hasta que se presentan y hacen coincidir las credenciales del suplicante en el servidor de autenticación (un RADIUS server). Cuando el solicitante se autentica, el conmutador deja de bloquear el acceso y abre la interfaz al suplicante.

Nota:

Antes de comenzar, especifique el RADIUS servidor o servidores que se utilizarán como el servidor de autenticación. Consulte especificación de conexiones del servidor RADIUS en conmutadores (procedimiento de la CLI).

Para configurar 802.1 X en una interfaz:

  1. Configure el modo de suplicante como (autentica al primer supplicante), (autentica solo a un supplicante) o (autentica a varios singlesingle-securemultiple supplicantes):
    Nota:

    Las interfaces troncales no admiten el modo suplicante múltiple.

  2. Habilite la reautenticación y especifique el intervalo de reautenticación:
  3. Configure el valor de tiempo de espera de la interfaz para la respuesta del suplicante:
  4. Configure el tiempo de espera de la interfaz antes de volver a enviar una solicitud de autenticación al servidor RADIUS:
  5. Configure la duración, en segundos, de la interfaz de espera antes de retransmitir las PDU EAPOL iniciales al solicitante:
  6. Configure el número máximo de veces en que un paquete de petición EAPOL se retransmite al solicitante antes de que se agote el tiempo de espera de la sesión de autenticación:
  7. Configure el número de veces que el conmutador intenta autenticar el puerto después de un fallo inicial. El puerto permanece en un estado de espera durante el periodo de silencio tras el intento de autenticación.
  8. Establezca el server-fail para denegar para que el servidor no falle.
Nota:

Esta configuración especifica el número de intentos antes de que el conmutador ponga la interfaz en un estado de retención .

Comprensión de los cambios iniciados por RADIUS en una sesión de usuario autorizada

Cuando se utiliza un servicio de autenticación basado en un modelo de RADIUS cliente/servidor, el cliente suele iniciar solicitudes y éstas se envían al servidor RADIUS. Hay casos en los que el servidor puede iniciar una solicitud y enviarla al cliente para modificar dinámicamente una sesión de usuario autenticada que ya está en curso. El cliente que recibe y procesa los mensajes es el conmutador, que actúa como servidor de acceso de red o NAS. El servidor puede enviar el conmutador a un mensaje de desconexión para terminar una sesión o un mensaje de cambio de autorización (CoA) en el que se solicita modificar los atributos de autorización de sesión.

El conmutador escucha solicitudes de RADIUS no solicitadas en el puerto UPD 3799 y acepta únicamente solicitudes procedentes de una fuente de confianza. La autorización para enviar una solicitud de certificado de autenticidad o de desconexión se determina en función de la dirección de origen y el correspondiente secreto compartido, que deben configurarse en el conmutador, así como en el servidor RADIUS. Para obtener más información acerca de cómo configurar la dirección de origen y el secreto compartido en el conmutador, consulte ejemplo: Conexión de un servidor RADIUS para 802.1 X a un conmutadorde serie ex.

Mensajes de desconexión

El servidor RADIUS envía un mensaje Disconnect-request al conmutador para terminar una sesión de usuario y descartar todo el contexto de sesión asociado. El conmutador responde a un paquete de solicitud de desconexión con un mensaje Disconnect-ACK si la solicitud es correcta, es decir, se descarta todo el contexto de sesión asociado y la sesión de usuario ya no está conectada o con un paquete de desconexión no NAK si la solicitud falla, es decir, el autenticador no puede desconectar la sesión y descartar todo el contexto de sesión asociado.

En los mensajes de solicitud de desconexión, RADIUS atributos se utilizan para identificar de forma exclusiva el conmutador (NAS) y la sesión de usuario. La combinación de NAS atributos de identificación y atributos de identificación de sesión incluidos en el mensaje debe coincidir al menos con una sesión para que la solicitud tenga éxito; de lo contrario, el conmutador responderá con un mensaje de desconexión-NAK. Un mensaje de solicitud de desconexión solo puede contener NAS y atributos de identificación de sesión; Si se incluye cualquier otro atributo, el modificador responde con un mensaje de desconexión-NAK.

Cambio de mensajes de autorización

Los mensajes de cambio de autorización (CoA) contienen información para modificar dinámicamente los atributos de autorización de una sesión de usuario con el fin de cambiar el nivel de autorización. Esto ocurre como parte de un proceso de autenticación en dos pasos, en el que el extremo se autentica primero mediante MAC RADIUS autenticación y, a continuación, se genera un archivo basado en el tipo de dispositivo. El mensaje de CoA se usa para aplicar una directiva de aplicación adecuada para el dispositivo, normalmente cambiando los filtros de datos o la VLAN.

El conmutador responde a un mensaje de CoA con un mensaje de certificado de autenticidad si el cambio de autorización se realiza correctamente o si se produce un mensaje with NAK-CoA si el cambio no se realiza correctamente. Si no se puede llevar a cabo uno o más cambios de autorización especificados en un mensaje de solicitud de CoA, el conmutador responde con un mensaje de CoA-NAK.

En mensajes de solicitud de CoA, RADIUS atributos se utilizan para identificar de forma exclusiva el conmutador (que actúa como NAS) y la sesión de usuario. La combinación de NAS atributos de identificación y los atributos de identificación de sesión incluidos en el mensaje deben coincidir con los atributos de identificación de, al menos, una sesión para que la solicitud se realice correctamente; de lo contrario, el conmutador responde con un mensaje de certificado NAK.

Los paquetes de solicitud de CoA también incluyen los atributos de autorización de sesión que se modificarán si se acepta la solicitud. Los atributos de autorización de sesión admitidos se enumeran a continuación. El mensaje del CoA puede contener cualquiera de estos atributos o todos ellos. Si alguno de los atributos no se incluye como parte del mensaje de solicitud de CoA, el NAS supone que el valor de ese atributo debe permanecer invariable.

  • Filter-ID

  • Tunnel-Private-Group-ID

  • Filtro de Juniper-conmutación

  • Juniper-VoIP-VLAN

  • Tiempo de espera de sesión

Rebote de puerto de solicitud de CoA

Cuando un mensaje de CoA se utiliza para cambiar la VLAN de un host autenticado, los dispositivos de fin tales como las impresoras no tienen un mecanismo para detectar el cambio en la VLAN, por lo que no renuevan la concesión de su dirección DHCP en la nueva VLAN. A partir de Junos OS versión 17,3, la característica de devolución de puertos puede utilizarse para forzar al dispositivo final a que inicie la negociación DHCP provocando una ligera de vínculos en el puerto autenticado.

El comando de devolución del puerto se envía desde el servidor de RADIUS mediante un atributo específico del proveedor (VSA) Juniper Networks. El puerto se Debounce si se recibe la siguiente pareja de atributo de VSA en el mensaje de CoA del servidor RADIUS:

  • Juniper-PAR-AV = "Rebote de puerto"

Para activar la característica de devolución de puertos, debe actualizar el Junos archivo de diccionariojuniper.dct() del servidor RADIUS con el VSA Juniper-par-Av. Localice el archivo del diccionario y agregue el siguiente texto al archivo:

Para obtener más información sobre cómo agregar el VSA, consulte la documentación de FreeRADIUS.

Puede deshabilitar la característica configurando ignore-port-bounce la instrucción en eledit protocols dot1x authenticator interface interface-namenivel [] hierachy.

Códigos de causa de errores

Cuando una operación de desconexión o de CoA no se realiza correctamente, se puede incluir un atributo de causa de error (RADIUS atributo 101) en el mensaje de respuesta enviado por el NAS al servidor para proporcionar detalles sobre la causa del problema. Si el error detectado no se asigna a uno de los valores de atributo de causa de error admitidos, el enrutador envía el mensaje sin un atributo de causa de error. Consulte Tabla 1 para obtener descripciones de códigos de causa de error que se pueden incluir en los mensajes de respuesta enviados desde el NAS.

Tabla 1: Códigos de causa de errores (RADIUS atributo 101)

Cód

Valor

Descriptiva

201

Contexto de sesión residual eliminado

Se envía como respuesta a un mensaje de solicitud de desconexión si una o más sesiones de usuario ya no están activas, pero se encontró un contexto de sesión residual y se quitó correctamente. Este código se envía únicamente en un mensaje Disconnect-ACK.

401

Atributo no compatible

La solicitud contiene un atributo no compatible (por ejemplo, un atributo de un tercero).

402

Falta el atributo

Falta un atributo crítico (por ejemplo, el atributo de identificación de sesión) en una solicitud.

403

Identificación de NAS no coincidente

La solicitud contiene uno o varios NAS atributos de identificación que no coincide con la identidad del NAS que recibe la solicitud.

404

Solicitud no válida

Otro aspecto de la solicitud no es válido: por ejemplo, si uno o más atributos no están formateados correctamente.

405

Servicio no compatible

El atributo de tipo de servicio incluido con la solicitud contiene un valor no válido o no compatible.

406

Extensión no compatible

La entidad que recibe la solicitud (una NAS o un proxy RADIUS) no es compatible con las solicitudes iniciadas por el RADIUS.

407

Valor de atributo no válido

La solicitud contiene un atributo con un valor no compatible.

501

Prohibidas administrativamente

La NAS está configurada para prohibir el cumplimiento de mensajes de solicitud de desconexión o de petición de CoA para la sesión especificada.

503

No se encontró el contexto de sesión

El contexto de sesión identificado en la solicitud no existe en el NAS.

504

Contexto de sesión no desmontable

El suscriptor identificado con atributos en la solicitud es propiedad de un componente no compatible. Este código sólo se envía dentro de un mensaje de desconexión-NAK.

506

Recursos no disponibles

No se pudo llevar A cabo una solicitud debido a la falta de recursos NAS disponibles (como la memoria).

507

Solicitud iniciada

El mensaje de solicitud de CoA incluye un atributo de tipo de servicio con un valor de autorizar únicamente.

508

Selección de varias sesiones no compatible

Los atributos de identificación de sesión incluidos en la solicitud coinciden con varias sesiones, pero el NAS no admite solicitudes que se apliquen a varias sesiones.

Filtrar los suplicantes X 802.1 mediante RADIUS atributos del servidor

Hay dos maneras de configurar un servidor RADIUS con filtros de cortafuegos de puerto (filtros de Firewall de capa 2):

  • Incluya uno o varios términos de filtro en el atributo de filtro de conmutación de Juniper. El atributo de filtro de conmutación de Juniper es un atributo específico del proveedor (VSA) enumerado en atributo ID Number 48, en el Diccionario Juniper del servidor RADIUS. Utilice este VSA para configurar condiciones de filtro sencillas para usuarios autenticados de 802.1 X. No es necesario configurar nada en el conmutador; toda la configuración se encuentra en el servidor RADIUS.

  • Configure un filtro de Firewall local en cada conmutador y aplique ese filtro de Firewall a los usuarios autenticados a través del servidor RADIUS. Utilice este método para filtros más complejos. El filtro de Firewall debe estar configurado en cada conmutador.

    Nota:

    Si la configuración del filtro del firewall se modifica después de autenticar a los usuarios mediante la autenticación 802.1 X, la sesión de autenticación 802.1 X establecida debe terminarse y restablecerse para que los cambios en la configuración del filtro de Firewall surtan efectiva.

Este tema incluye las siguientes tareas:

Configuración de filtros del cortafuegos en el servidor RADIUS

Puede configurar condiciones sencillas de filtrado con el atributo de filtro de conmutación de Juniper del Diccionario de Juniper del servidor RADIUS. Estos filtros se envían a un conmutador siempre que se autentica satisfactoriamente a un nuevo usuario. Los filtros se crean y aplican en todos los conmutadores de la serie EX que autentiquen a los usuarios a través de la RADIUS servidor sin necesidad de configurar nada en cada conmutador individual.

Nota:

Este procedimiento describe el uso del software FreeRADIUS para configurar el VSA del filtro de conmutación de Juniper. Para obtener información específica acerca de cómo configurar el servidor, consulte la AAA documentación incluida con el servidor.

Para configurar el atributo de filtro de conmutación de Juniper, especifique uno o varios términos de filtro utilizando la CLI del servidor RADIUS. Cada término de filtro consta de condiciones de coincidencia con una acción correspondiente. Escriba las condiciones del filtro entre comillas ("") utilizando la sintaxis siguiente:

Se puede incluir más de una condición de coincidencia en un término de filtro. Cuando se especifican varias condiciones en un término de filtro, todas deben cumplirse para que el paquete coincida con el término de filtro. Por ejemplo, el siguiente término de filtro requiere que un paquete coincida con la dirección IP de destino y la dirección Mac de destino para cumplir el término criterios:

Se deben separar varios términos de filtro por comillas, por ejemplo:

Consulte Juniper: alternar condiciones y acciones de coincidencia de VSA para obtener definiciones de condiciones y acciones de coincidencia.

Nota:

En los conmutadores EX9200 y en un Junos Fusion Enterprise con EX9200 como dispositivo agregado, el filtro de cortafuegos dinámicos se aplica estrictamente a todos los paquetes IP. Si el filtro está configurado para permitir únicamente una determinada dirección IP de destino, los paquetes con otras direcciones IP como IP de destino se quitarán de acuerdo con las reglas de filtrado. Esto incluye cualquier paquete de protocolo IP, como los paquetes DHCP, IGMP y ARP.

Para configurar condiciones de coincidencia en el servidor RADIUS:

  1. Compruebe que el Juniper de texto está cargado en RADIUS servidor e incluye el atributo de filtrado Juniper-Switching-Filter (ID de atributo 48):
  2. Especifique las condiciones y acciones de coincidencia. Por ejemplo:
    • Para denegar la autenticación basada en la etiqueta 802.1Q (aquí, la etiqueta 802.1Q 10 es):

      Para cada usuario relevante, agregue el Juniper-Switching-Filter atributo:

    • Para denegar el acceso basándose en una dirección IP de destino:

      Para cada usuario relevante, agregue el Juniper-Switching-Filter atributo:

    • Para establecer la prioridad de pérdida de paquetes (PLP) en función de una dirección MAC de destino high y el protocolo IP:

      Para cada usuario relevante, agregue el Juniper-Switching-Filter atributo:

      Nota:

      Para que se aplique la opción, la clase de reenvío se debe configurar en el conmutador y se especificó la forwarding-class prioridad de pérdida del paquete. Si no se configura en el conmutador, esta opción no se tiene en cuenta. Debe especificar tanto la clase de reenvío como la prioridad de pérdida de paquetes.

  3. Detenga y reinicie el proceso de RADIUS para activar la configuración.

Aplicación de filtros de cortafuegos configurados localmente desde el servidor RADIUS

Puede aplicar un filtro de cortafuegos de puerto (filtro de Firewall de capa 2) a las directivas de usuario de forma centralizada desde el servidor de RADIUS. A continuación, el servidor RADIUS puede especificar los filtros de firewall que se aplicarán a todos los usuarios que solicitan autenticación, lo que reduce la necesidad de configurar el mismo filtro de firewall en varios conmutadores. Utilice este método cuando el filtro de Firewall contenga una gran cantidad de condiciones o cuando desee usar condiciones diferentes para el mismo filtro en distintos modificadores. Los filtros del firewall deben estar configurados en cada conmutador.

Para obtener más información sobre filtros de cortafuegos, consulte firewall filters for ex series switches Overview.

Para aplicar un filtro de cortafuegos de puertos de forma centralizada desde el servidor RADIUS:

Nota:

Si los filtros de Firewall de puertos también se configuran localmente para la interfaz, los filtros de Firewall configurados con los VSA tienen prioridad si entran en conflicto con los filtros de Firewall de puerto configurados localmente. Si no hay ningún conflicto, se combinan.

  1. Cree el filtro de cortafuegos en el conmutador local. Consulte configuración de filtros de cortafuegos (procedimiento de la CLI) para obtener más información sobre cómo configurar un filtro de cortafuegos de puertos.
  2. En el servidor RADIUS, abra el users archivo para mostrar los perfiles de usuario local de los dispositivos de fin a los que desea aplicar el filtro:

  3. Aplique el filtro a cada perfil de usuario agregando el atributo Filter-ID con el nombre de filtro como el valor de atributo:

    Por ejemplo, el perfil de usuario a supplicant1 continuación para incluye el atributo Filter-ID con el filter1nombre del filtro:

    Nota:

    No se admiten varios filtros en una sola interfaz. Sin embargo, puede admitir varios filtros para varios usuarios conectados al conmutador en la misma interfaz mediante la configuración de un único filtro con directivas para cada uno de esos usuarios.

  4. Detenga y reinicie el proceso de RADIUS para activar la configuración.

Ejemplo Conexión de un servidor RADIUS para 802.1 X a un conmutador de serie EX

802.1 x es el estándar de IEEE para el control de acceso de red basado en puertos (PNAC). Utiliza 802.1 X para controlar el acceso a la red. Solo se permite el acceso a la red a los usuarios y dispositivos que proporcionan credenciales comprobados en una base de datos de usuario. Puede usar un servidor RADIUS como base de datos de usuario para autenticación de 802.1 X, así como para la autenticación de RADIUS MAC.

En este ejemplo se describe cómo conectar un servidor RADIUS a un conmutador de la serie EX y configurarlo para 802.1 X:

Aplicables

En este ejemplo se utilizan los siguientes componentes de software y hardware:

  • Junos OS versión 9,0 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX que actúe como una entidad de acceso a puertos (PAE) del autenticador. Los puertos del autenticador PAE forman una puerta de control que bloquea todo el tráfico entrante y no de los suplicantes hasta que se autentiquen.

  • Uno RADIUS servidor de autenticación compatible con 802.1 X. El servidor de autenticación actúa como la base de datos del servidor y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de conectar el servidor al conmutador, asegúrese de que dispone de:

Descripción general y topología

El conmutador de la serie EX actúa como un autenticador PAE. Bloquea todo el tráfico y actúa como puerta de control hasta que el solicitante (cliente) lo autentica. Se deniega el acceso a todos los demás usuarios y dispositivos.

Figura 1muestra un conmutador EX4200 que está conectado a los dispositivos enumerados Tabla 2en la.

Figura 1: Topología para la configuraciónTopología para la configuración
Tabla 2: Componentes de la topología
Inspector Configuraciones

Cambiar el hardware

Conmutador de EX4200 de acceso, 24 puertos Gigabit Ethernet: 8 puertos de PoE (GE-0/0/0 a GE-0/0/7) y 16 puertos no de PoE (GE-0/0/8 a GE-0/0/23)

Nombre de VLAN

predeterminada

Un servidor RADIUS

Base de datos de backend con una 10.0.0.100 dirección conectada al conmutador en el puerto ge-0/0/10

En este ejemplo, conecte el servidor RADIUS para tener acceso al puerto GE-0/0/10 en el conmutador EX4200. El conmutador funciona como el autenticador y reenvía las credenciales del suplicante a la base de datos de usuario del servidor de RADIUS. Debe configurar la conectividad entre el EX4200 y el servidor RADIUS especificando la dirección del servidor y configurando la contraseña secreta. Esta información se configura en un perfil de acceso del conmutador.

Nota:

Para obtener más información acerca de los servicios de autenticación, autorización y contabilidad (AAA), consulte la Guía de configuración de Junos os fundamentos del sistema.

Automática

Modalidades

Configuración rápida de CLI

Para conectar rápidamente el servidor RADIUS al conmutador, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para conectar el servidor RADIUS al conmutador:

  1. Defina la dirección de los servidores y configure la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor:

  2. Configure el orden de autenticación radius , realizando el primer método de autenticación:

  3. Configure una lista de direcciones IP del servidor para que se intente en orden secuencial para autenticar al solicitante:

Resultados

Mostrar los resultados de la configuración:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Compruebe que el conmutador y el servidor RADIUS están conectados correctamente

Purpose

Compruebe que el servidor RADIUS está conectado al conmutador en el puerto especificado.

Intervención

Haga ping al servidor RADIUS para comprobar la conexión entre el conmutador y el servidor:

Efectos

Los paquetes de solicitud de eco ICMP se envían desde el conmutador al servidor de destino en 10.0.0.100 para comprobar si se puede tener acceso al servidor a través de la red IP. Las respuestas de eco ICMP se devuelven desde el servidor, comprobando que el conmutador y el servidor estén conectados.

Descripción de los filtros dinámicos basados en atributos de RADIUS

Puede utilizar atributos del servidor RADIUS para implementar filtros de Firewall de puertos en un servidor de autenticación RADIUS. Estos filtros se pueden aplicar dinámicamente a los suplicantes que solicitan autenticación a través de ese servidor. Los atributos del servidor RADIUS son campos de texto sin formato encapsulados en los mensajes de aceptación de acceso enviados desde el servidor de autenticación al conmutador cuando se autentica satisfactoriamente a un suplicante conectado al conmutador. El conmutador, que actúa como autenticador, utiliza la información contenida en los RADIUS atributos para aplicar los filtros relacionados al suplicante. Los filtros dinámicos se pueden aplicar a varios puertos del mismo conmutador o a varios conmutadores que utilicen el mismo servidor de autenticación, lo que proporciona un control de acceso centralizado para la red.

Puede definir filtros de cortafuegos directamente en el servidor RADIUS mediante el atributo de filtro de conmutación de Juniper, que es un atributo RADIUS específico de Juniper Networks, también conocido como atributo específico del proveedor (VSA). Los VSA se describen en RFC 2138, Servicio de usuario de marcado de autenticación remota (RADIUS). El VSA del filtro de conmutación de Juniper se muestra bajo el número de ID de atributo 48 del Juniper del RADIUS servidor, con el ID del proveedor establecido en el número de ID de Juniper Networks 2636. Con este atributo, se definen filtros en el servidor de autenticación, que se aplican en todos los conmutadores que autentican los suplicantes a través de ese servidor. Este método elimina la necesidad de configurar los mismos filtros en varios conmutadores.

De forma alternativa, puede aplicar un filtro de firewall de puerto a varios puertos en el mismo conmutador mediante el atributo Filter-ID, el cual RADIUS número de ID de atributo 11. Para utilizar el atributo Filter-ID, primero debe configurar un filtro en el modificador y, a continuación, agregar el nombre del filtro a las directivas de usuario del servidor de RADIUS como valor del atributo Filter-ID. Cuando el servidor RADIUS autentica a un suplicante definido en una de estas políticas, el filtro se aplica al puerto del conmutador que ha sido autenticado por el suplicante. Utilice este método cuando el filtro del firewall tenga condiciones complejas o si desea utilizar condiciones distintas para el mismo filtro en distintos modificadores. El filtro mencionado en el atributo Filter-ID debe estar configurado localmente en el conmutador en el niveledit firewall family ethernet-switching filterde jerarquía [].

Los VSA solo son compatibles con configuraciones de suplicante 802.1 X único y varias configuraciones de suplicantes.

Descripción de la asignación dinámica de VLAN mediante atributos de RADIUS

Las VLANs pueden ser asignadas dinámicamente por un servidor RADIUS a suplicantes que soliciten autenticación 802.1 X a través de ese servidor. La red VLAN del servidor de RADIUS se configura con RADIUS atributos del servidor, que son campos de texto no cifrado encapsulados en mensajes enviados desde el servidor de autenticación al conmutador cuando un suplicante que se conecta al conmutador solicita autenticación. El conmutador, que actúa como autenticador, utiliza la información contenida en los RADIUS atributos para asignar la VLAN al suplicante. Basándose en los resultados de la autenticación, un suplicante que inició la autenticación en una VLAN puede asignarse a otra VLAN.

Una autenticación correcta requiere que el ID de VLAN o el nombre de VLAN se configure en el conmutador actuando como autenticador 802.1 X, y que coincida con el ID de VLAN o nombre de VLAN enviado por el servidor RADIUS durante la autenticación. Si ninguna de ellas existe, el dispositivo final no se autentica. Si se establece una VLAN de invitado, el dispositivo de extremo no autenticado se mueve automáticamente a la VLAN invitada.

Los RADIUS de servidor utilizados para la asignación dinámica de VLAN se describen en RFC 2868, atributos RADIUS para la compatibilidad con protocolos de túnel.

  • Tipo de túnel: se define como RADIUS tipo de atributo 64. El valor debe establecerse en VLAN.

  • Tipo medio de túnel: se define como RADIUS tipo de atributo 65. El valor debe establecerse en IEEE-802.

  • ID de grupo privado de túnel: se define como RADIUS tipo de atributo 81. El valor debe establecerse en el ID de VLAN o en el nombre de VLAN.

Para obtener más información acerca de cómo configurar VLAN dinámicas en el servidor RADIUS, consulte la documentación del servidor RADIUS.

Descripción de las VLAN de invitado para 802.1 X en conmutadores

Las VLAN de invitado se pueden configurar en conmutadores que utilizan autenticación 802.1X para proporcionar acceso limitado (por lo general, solo a Internet) para invitados corporativos. La VLAN de invitado se usa como un respaldo cuando:

  • El solicitante no está habilitado para 802.1 X y no responde a los mensajes EAP.

  • La autenticación de RADIUS de MAC no se ha configurado en las interfaces del conmutador al que está conectado el solicitante.

  • No se configuraron portales cautivos en las interfaces de conmutación a las que está conectado el solicitante.

Una VLAN invitada no se utiliza para los suplicantes que envían Credenciales incorrectas. Esos suplicantes se dirigen a la VLAN de servidor-rechazo en su lugar.

En el caso de dispositivos finales que no tienen habilitada la 802.1 X, una VLAN invitada puede permitir un acceso limitado a un servidor desde el que el dispositivo final habilitado para X no 802.1 puede descargar el software suplicante e intentar de nuevo la autenticación.

Ejemplo Configuración de las opciones de autenticación de 802.1 X cuando el servidor RADIUS no está disponible para un conmutador de serie EX

La reserva de fallos del servidor le permite especificar cómo se admiten los suplicantes de 802.1 X conectados al conmutador si el servidor de RADIUS autenticación deja de estar disponible.

Utiliza 802.1 X para controlar el acceso a la red. Solo los usuarios y dispositivos (suplicantes) que proporcionan credenciales que se han comprobado en una base de datos de usuario tienen permitido el acceso a la red. Utiliza un servidor RADIUS como base de datos de usuario.

En este ejemplo se describe cómo configurar una interfaz para trasladar un suplicante a una VLAN en caso de que se agote el tiempo de espera del servidor RADIUS:

Aplicables

En este ejemplo se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a conmutadores QFX5100.

  • Junos OS versión 9,3 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX que actúe como una entidad de acceso a puertos (PAE) del autenticador. Los puertos del autenticador PAE forman una puerta de control que bloquea todo el tráfico entrante y no de los suplicantes hasta que se autentiquen.

  • Uno RADIUS servidor de autenticación compatible con 802.1 X. El servidor de autenticación actúa como la base de datos del servidor y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de conectar el servidor al conmutador, asegúrese de que dispone de:

Descripción general y topología

Si un solicitante inicia sesión e intenta tener acceso a la LAN, se produce un tiempo de espera del servidor RADIUS si no RADIUS servidores de autenticación. Si se utiliza el servidor de reserva con errores, se configuran opciones alternativas para los suplicantes que intentan acceder a la LAN. Puede configurar el conmutador para que acepte o deniegue el acceso a suplicantes o para que mantenga el acceso ya otorgado a los suplicantes antes del tiempo de espera del servidor RADIUS. Además, puede configurar el conmutador para mover los suplicantes a una VLAN específica si se produce un tiempo de espera de RADIUS.

Figura 2muestra la topología utilizada para este ejemplo. El RADIUS de red está conectado al conmutador EX4200 en el puerto de ge-0/0/10 acceso. El conmutador actúa como entidad de acceso a puertos (PAE) del autenticador y envía las credenciales del suplicante a la base de datos de usuarios del servidor de RADIUS. El conmutador bloquea todo el tráfico y actúa como puerta de control hasta que el servidor de autenticación autentica al solicitante. Se conecta un suplicante al conmutador a través de la interfaz GE-0/0/1.

Nota:

Esta cifra también se aplica a los conmutadores QFX5100.

Figura 2: Topología para configurar las opciones de 802.1 XTopología para configurar las opciones de 802.1 X

Tabla 3describe los componentes de esta topología.

Tabla 3: Componentes de la topología
Inspector Configuraciones

Cambiar el hardware

Conmutador de EX4200 de acceso, 24 puertos Gigabit Ethernet: 16 puertos no PoE y 8 puertos PoE.

Nombres de VLAN

default LAN

vlan-sf LAN

Suplica

Solicitante intentando el acceso en la interfaz ge-0/0/1

Un servidor RADIUS

Base de datos de backend con una 10.0.0.100 dirección de conectado al conmutador en el puerto ge-0/0/10

En este ejemplo, configure interface GE-0/0/1 para trasladar a otra VLAN un suplicante que intente acceder a la LAN durante un RADIUS tiempo de espera. Un tiempo de espera de RADIUS impide el intercambio normal de mensajes EAP que llevan información del servidor RADIUS al conmutador y permite la autenticación de un suplicante. La VLAN predeterminada está configurada en interface GE-0/0/1. Cuando se agota el tiempo de espera de RADIUS, los suplicantes de la interfaz se moverán desde la VLAN predeterminada a la VLAN denominada VLAN-CF.

Topología

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente la reserva de errores del servidor en el conmutador, copie los comandos siguientes y péguelos en la ventana del conmutador de terminal:

Procedimiento paso a paso

Para configurar una interfaz para desviar supplicantes a una VLAN específica cuando RADIUS se produce un tiempo de espera de espera (aquí, la VLAN es vlan-sf ):

  1. Defina la VLAN a la que se desvían los suplicantes:

Resultados

Mostrar los resultados de la configuración:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobando que los suplicantes se mueven a una VLAN alternativa durante un tiempo de espera de RADIUS

Purpose

Compruebe que la interfaz mueve los suplicantes a una VLAN alternativa durante un tiempo de espera de RADIUS.

Nota:

En los conmutadores en los que se ejecuta Junos OS para la serie EX con compatibilidad show vlans con Els, la salida del comando contendrá información adicional. Si el conmutador ejecuta software que admita ELS, consulte Show VLANs. Para obtener detalles de ELS, consulte uso de la mejora de la capa 2 de la CLI de software

Intervención

Mostrar las VLAN configuradas en el conmutador; la interfaz ge-0/0/1.0 es miembro de la default VLAN:

Mostrar información de protocolo 802.1 X en el conmutador para ver suplicantes que se autentiquen ge-0/0/1.0en la interfaz:

Se superó el tiempo de espera del servidor RADIUS. Mostrar la tabla de conmutación Ethernet para mostrar que el supplicante con la dirección MAC que antes accede a la LAN a través de la VLAN ahora se está aprendiendo en la 00:00:00:00:00:01default VLAN vlan-sf denominada:

Muestra la información del protocolo 802.1X para mostrar que la interfaz se conecta y abrirá el acceso ge-0/0/1.0 LAN a los supplicantes:

Efectos

El show vlans comando muestra la interfaz como miembro de la ge-0/0/1.0default VLAN. El show dot1x interface brief comando muestra que un supplicant ( ) se autentica en la interfaz y tiene la dirección abcge-0/0/1.000:00:00:00:00:01 MAC. Se superó el tiempo de espera del servidor RADIUS, por lo que el conmutador no puede alcanzar el servidor de autenticación. El show-ethernet-switching table comando muestra que la dirección MAC se aprende en 00:00:00:00:00:01vlan-sf VLAN. El supplicante se movió de la default VLAN a la vlan-sf VLAN. Luego, el suplicante se conecta a la LAN mediante la VLAN vlan-sf denominada.

Ejemplo Configuración de opciones de fallback en conmutadores de la serie EX para clientes de autenticación EAP-TTLS y Odyssey de acceso

Para la autenticación de usuario 802.1X, los conmutadores serie EX admiten servidores de autenticación RADIUS que utilizan TLS túnel de protocolo de autenticación extensible (EAP-TTLS) para autenticar Cliente de acceso a Odyssey (OAC). El software de redes OAC se ejecuta en los equipos de los extremos (equipos de escritorio, portátiles o de Bloc de notas y dispositivos inalámbricos compatibles) y proporciona acceso seguro tanto a las redes cableadas como a las inalámbricas.

Este ejemplo describe cómo configurar una interfaz habilitada para 802.1 X en el conmutador a fin de proporcionar soporte de reserva para usuarios de OAC que han escrito credenciales de inicio de sesión incorrectas:

Aplicables

En este ejemplo se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a conmutadores QFX5100.

  • Junos OS versión 11,2 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX que actúe como una entidad de acceso a puertos (PAE) del autenticador. Los puertos del autenticador PAE forman una puerta de control que bloquea todo el tráfico entrante y no de los suplicantes hasta que se autentiquen.

  • Uno RADIUS servidor de autenticación compatible con 802.1 X. El servidor de autenticación actúa como la base de datos del servidor y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

  • Un dispositivo de OAC final que actúe como solicitante.

Antes de empezar a configurar la opción fallback, asegúrese de que:

  • Configure una conexión entre el conmutador y el servidor RADIUS. Consulte ejemplo: Conexión de un servidor RADIUS para 802.1 X a un conmutadorde serie ex.

  • Se ha configurado EAP-TTLS en el servidor. Consulte la documentación del servidor de RADIUS.

  • Usuarios configurados en el servidor RADIUS. Consulte la documentación del servidor de RADIUS.

Descripción general y topología

OAC es un software de redes que se ejecuta en los equipos de extremo (escritorio, portátil o Bloc de notas) y en los dispositivos inalámbricos compatibles. OAC ofrece compatibilidad total con EAP, que es necesario para el acceso seguro a LAN inalámbrica.

En esta topología, OAC se implementa con un conmutador habilitado para 802.1 X y un servidor RADIUS. El conmutador funciona como un punto de aplicación en la arquitectura de seguridad de la red. Esta topología:

  • Garantiza que solo los usuarios autorizados se pueden conectar.

  • Mantiene la privacidad de las credenciales de inicio de sesión.

  • Mantiene la privacidad de los datos a través del enlace inalámbrico.

Este ejemplo incluye la configuración de una VLAN de rechazo de servidor en el conmutador, que se puede usar para evitar el bloqueo accidental para usuarios que han escrito credenciales de inicio de sesión incorrectas. A estos usuarios se les puede otorgar acceso limitado a las LAN.

Sin embargo, esta configuración de reserva es complicada por el hecho de que el suplicante OAC y el servidor RADIUS utilizan EAP-TTLS. EAP-TTLS crea un túnel cifrado seguro entre el servidor y el dispositivo final para completar el proceso de autenticación. Cuando el usuario introduce credenciales de inicio de sesión incorrectas, el servidor de RADIUS envía mensajes de error de EAP directamente al cliente a través de este túnel. El mensaje de error de EAP hace que el cliente reinicie el procedimiento de autenticación, de modo que el proceso de autenticación 802.1X del conmutador derribe la sesión que se estableció con el conmutador mediante la VLAN rechazada por el servidor. Puede permitir que la conexión correctiva siga configurando:

  • eapol-block: habilite el temporizador de bloque EAPoL en la interfaz 802.1X configurada para pertenecer a la VLAN rechazada por el servidor. El temporizador de bloqueo hace que la entidad acceso del puerto de autenticación ignore los mensajes de inicio de EAP del cliente, intentando reiniciar el procedimiento de autenticación.

    Nota:

    El temporizador de bloque EAPoL se activa solo después de agotar el número configurado de reataques permitidos (mediante la opción) en la interfaz retries 802.1X. Puede configurar para especificar el número de veces que el retries conmutador intenta autenticar el puerto después de un error inicial. El valor predeterminado son tres reintentos.

  • block-interval: configure la cantidad de tiempo que desea que el temporizador de bloque de EAPoL continúe ignorando los mensajes de inicio de EAP. Si no configura el intervalo de bloqueo, el temporizador del bloque EAPoL se establece de forma predeterminada en 120 segundos.

Cuando la interfaz 802.1 X pasa por alto los mensajes de inicio de EAP del cliente, el conmutador permite que la sesión correctiva existente que se estableció a través de la VLAN de rechazo de servidor permanezca abierta.

Estas opciones de configuración se aplican a los modos de autenticación único, seguro y de varios suplicantes. En este ejemplo, la interfaz 802.1 X se configura en el modo suplicante único.

Figura 3muestra un conmutador de serie EX que conecta un dispositivo OAC extremo a un servidor RADIUS e indica los protocolos que se utilizan para conectar las entidades de red.

Nota:

Esta cifra también se aplica a los conmutadores QFX5100.

Figura 3: Conmutador de serie EX conexión de OAC al servidor RADIUS utilizando autenticación de EAP-TTLSConmutador de serie EX conexión de OAC al servidor RADIUS utilizando autenticación de EAP-TTLS

Topología

Tabla 4describe los componentes de esta implementación de OAC:.

Tabla 4: Componentes de la implementación de OAC
Inspector Configuraciones

Cambiar el hardware

Conmutador de la serie EX

Redes VLAN

default

server-reject-vlan: El nombre de VLAN remedial es y el ID de VLAN es 700

interfaz 802.1 x

ge-0/0/8

Solicitante de OAC

EAP-TTLS

Un servidor de autenticación RADIUS

EAP-TTLS

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente las opciones de suplencia para suplicantes EAP-TTLS y OAC, copie los siguientes comandos y péguelos en la ventana del conmutador de terminal:

Procedimiento paso a paso

Para configurar las opciones de reserva para los suplicantes EAP-TTLS y OAC:

Consejo:

En este ejemplo, el conmutador solo tiene una VLAN de rechazo de servidor. Por lo tanto, la configuración especifica eapol-block y directamente después de block-intervalserver-reject-vlan . Sin embargo, si configuró varias VLAN en el conmutador, debe incluir el nombre de VLAN o el ID de VLAN directamente después para indicar qué server-reject-vlan VLAN se está modificando.

  1. Configure una VLAN que funcionará como la VLAN de rechazo de servidor para proporcionar acceso limitado a LAN a los usuarios que han escrito credenciales de inicio de sesión incorrectas:

  2. Configure el número de veces que se solicitará al cliente el nombre de usuario y la contraseña antes de que se dirija un inicio de sesión incorrecto a la VLAN Server-Reject:

  3. Configure la interfaz del autenticador 802.1 X para usar la VLAN de rechazo de servidor como reserva para inicios de sesión incorrectos:

  4. Active el temporizador de bloqueo EAPoL en la interfaz 802.1 X configurada para pertenecer a la VLAN de rechazo de servidor.

  5. Configure la cantidad de tiempo durante la que el bloque EAPoL permanece en vigor:

Resultados

Compruebe los resultados de la configuración:

Comproba

Para confirmar que la configuración y las opciones de reserva funcionan correctamente, realice esta tarea:

Verificación de la configuración de la interfaz 802.1 X

Purpose

Compruebe que la interfaz 802.1 X está configurada con las opciones deseadas.

Intervención
Efectos

El resultado del comando muestra que la interfaz está en el estado y show dot1x ge-0/0/8 detail que está utilizando la ge-0/0/8Authenticatedremedial VLAN.

Supervisión de autenticación de 802.1 X

Purpose

Nota:

Este tema solo se aplica al paquete de aplicación de J-Web.

Formato de paquete de aplicación web J: revisión de 14,1 X53-a2 no admite autenticación de 802.1 X en conmutadores EX4600.

Utilice la característica supervisión para mostrar los detalles de los usuarios autenticados y los usuarios que no se pudieron autenticar.

Intervención

Para mostrar los detalles de autenticación en la interfaz J-Web, seleccione > MonitoringSecurity > 802.1X .

Para mostrar los detalles de autenticación en la CLI, escriba los siguientes comandos:

  • show dot1x interface detail | display xml

  • show dot1x interface detail <interface> | display xml

  • show dot1x auth-failed-users

Efectos

Los detalles que se muestran incluyen:

  • Una lista de usuarios autenticados.

  • Número de usuarios conectados.

  • Una lista de usuarios con errores de autenticación.

También puede especificar una interfaz para la que se deben mostrar los detalles.

Comprobación de la autenticación de 802.1 X

Purpose

Compruebe que los suplicantes se estén autenticando en una interfaz de un conmutador con la interfaz configurada para autenticación de 802.1 X, y muestre el método de autenticación que se esté usando.

Intervención

Mostrar información detallada sobre una interfaz configurada para 802.1 X (aquí, la interfaz es GE-0/0/16):

Efectos

El ejemplo de salida del show dot1x interface detail comando muestra que el es Number of connected supplicants 1. El suplicante que se autentificó y ahora está conectado a la LAN se conoce como en el servidor RADIUS user5 y tiene la dirección 00:30:48:8C:66:BD MAC. El suplicante se autenticó por medio del método de autenticación de 802.1 X llamado RADIUS autenticación, como indica Radius el resultado. Cuando se utiliza la autenticación de RADIUS, el solicitante se configura en el servidor RADIUS, el RADIUS servidor lo comunica al conmutador y abre el acceso LAN en la interfaz a la que está conectado el suplicante. El resultado de ejemplo también muestra que el supplicante está conectado a la v200 VLAN.

Otros métodos de autenticación de 802.1 X compatibles con los conmutadores de la serie EX, además de la autenticación de RADIUS son:

  • VLAN de invitado: se concede acceso a un host no responsable.

  • Radio MAC: un host no responde se autentica en función de su dirección MAC. El dirección MAC está configurado según lo permitido en el servidor RADIUS, el servidor RADIUS notifica al conmutador que el dirección MAC es una dirección permitida y el conmutador concede acceso a LAN al host que no responde en la interfaz a la que está conectado.

  • Denegación de errores del servidor: si el tiempo de espera de los servidores RADIUS, se denegue a todos los supplicantes acceso a la LAN, lo que impide que el tráfico del suplicante atrase por la interfaz. Este es el valor predeterminado.

  • Permiso de falla del servidor: cuando el servidor de RADIUS no está disponible, aún se permite el acceso de un supplicante a la LAN como si el suplicante se autentificara correctamente mediante el servidor RADIUS externo.

  • Caché de uso que no es del servidor: si el tiempo de espera de los servidores RADIUS durante la reautenticación, los supplicantes previamente autenticados tienen acceso a LAN, pero se les niega el acceso a LAN a los nuevos supplicantes.

  • VLAN no servidor: un supplicante está configurado para moverse a una VLAN especificada si el servidor RADIUS no está disponible para volver a autenticar el supplicante. (La VLAN debe existir ya en el conmutador).

Solución de problemas de autentificación de dispositivos finales en los conmutadores de la serie EX

Relacionado

Descripción

Los dispositivos finales configurados con direcciones MAC estáticas pierden la conexión al conmutador después de ejecutar el comando CLEAR DOT1x interface para borrar todas las direcciones MAC aprendidas.

Antes de borrar direcciones MAC:

Para borrar direcciones MAC:

Después de borrar direcciones MAC:

Tenga en cuenta que no hay dispositivos de fin en la lista de omisión de autenticación.

Generan

Las direcciones MAC estáticas se tratan igual que otras direcciones MAC aprendidas de una interfaz. Cuando se ejecuta el comando CLEAR DOT1x interface, se borran todas las direcciones MAC aprendidas de la interfaz, incluida la lista de omisión de MAC estática (también conocida como lista de exclusión).

Solución

Si ejecuta el comando CLEAR DOT1x interfaces en una interfaz que tiene direcciones MAC estáticas configuradas para omisión de autenticación, vuelva a agregar las direcciones MAC estáticas a la lista de omisión de MAC estática.

Tabla de historial de versiones
Liberación
Descripción
20.2R1
A partir Junos OS versión 20.2R1, puede configurar la autenticación 802.1X en interfaces de capa 3
18.4R1
A partir de Junos OS versión 18.3 de R1, puede configurar la autenticación de 802.1 X en las interfaces troncales, lo que permite que el dispositivo de acceso a la red (NAS) autentique un punto de acceso (AP) u otro dispositivo conectado por capa 2.
17.3R1
A partir de Junos OS versión 17,3, la característica de devolución de puertos puede utilizarse para forzar al dispositivo final a que inicie la negociación DHCP provocando una ligera de vínculos en el puerto autenticado.
14.1X53-A2
Formato de paquete de aplicación web J: revisión de 14,1 X53-a2 no admite autenticación de 802.1 X en conmutadores EX4600.