Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación 802.1X

El estándar IEEE 802.1X para el control de acceso a la red basado en puertos y protege las LAN Ethernet del acceso no autorizado de usuarios. Bloquea todo el tráfico hacia y desde un suplicante (cliente) en la interfaz hasta que las credenciales del suplicante se presenten y coincidan en el servidor de autenticación (un servidor RADIUS). Cuando se autentica el suplicante, el switch deja de bloquear el acceso y abre la interfaz al suplicante. Lea este tema para obtener más información.

Descripción general de 802.1X para conmutadores

Cómo funciona la autenticación 802.1X

La autenticación 802.1X funciona mediante el uso de una entidad de acceso al puerto del autenticador (el conmutador) para bloquear el tráfico de entrada de un suplicante (dispositivo final) en el puerto hasta que las credenciales del solicitante se presenten y coincidan en el servidor de autenticación (un servidor RADIUS). Cuando se autentica, el conmutador deja de bloquear el tráfico y abre el puerto al solicitante.

El dispositivo final se autentica en modo, modo o modo:single supplicantsingle-secure supplicant multiple supplicant

  • suplicante único: autentica solo el primer dispositivo final. Todos los demás dispositivos finales que se conectan más tarde al puerto tienen acceso completo sin ninguna autenticación adicional. Efectivamente aprovechan la autenticación del primer dispositivo final.

  • Suplicante seguro único: permite que solo un dispositivo final se conecte al puerto. No se permite que ningún otro dispositivo final se conecte hasta que el primer dispositivo cierre sesión.

  • Suplicante múltiple: permite que varios dispositivos finales se conecten al puerto. Cada dispositivo final se autentica individualmente.

El acceso a la red se puede definir aún más mediante el uso de VLAN y filtros de firewall, los cuales actúan como filtros para separar y hacer coincidir grupos de dispositivos finales con las áreas de la LAN que requieren. Por ejemplo, puede configurar VLAN para controlar diferentes categorías de errores de autenticación en función de:

  • Si el dispositivo final está habilitado para 802.1X o no.

  • Si la autenticación MAC RADIUS está configurada o no en las interfaces del conmutador a las que están conectados los hosts.

  • Si el servidor de autenticación RADIUS deja de estar disponible o envía un mensaje de rechazo de acceso RADIUS. Consulte Configuración de la reserva de errores del servidor RADIUS (procedimiento de la CLI).Configuración de la reserva de error del servidor RADIUS (procedimiento de la CLI)

Descripción general de las características de 802.1X

Las siguientes funciones 802.1X son compatibles con los conmutadores Ethernet de Juniper Networks:

  • VLAN invitada: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales que no responden y que no están habilitados para 802.1X cuando la autenticación MAC RADIUS no está configurada en las interfaces del conmutador a las que están conectados los hosts. Además, se puede utilizar una VLAN invitada para proporcionar acceso limitado a una LAN para usuarios invitados. Normalmente, la VLAN de invitado solo proporciona acceso a Internet y a los dispositivos finales de otros invitados.

  • VLAN de rechazo de servidor: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales con capacidad de respuesta habilitados para 802.1X pero que enviaron credenciales incorrectas. Si el dispositivo final que se autentica mediante la VLAN de rechazo del servidor es un teléfono IP, no se permite el tráfico de voz.

  • VLAN con error de servidor: proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales 802.1X durante un tiempo de espera del servidor RADIUS.

  • VLAN dinámica: permite que un dispositivo final, después de la autenticación, sea miembro de una VLAN dinámicamente.

  • VLAN privada: permite configurar la autenticación 802.1X en interfaces que son miembros de VLAN privadas (PVLAN).

  • Cambios dinámicos en una sesión de usuario: permite al administrador del conmutador finalizar una sesión ya autenticada. Esta característica se basa en la compatibilidad con el mensaje de desconexión RADIUS definido en RFC 3576.

  • VoIP VLAN: admite teléfonos IP. La implementación de una VLAN de voz en un teléfono IP es específica del proveedor. Si el teléfono está habilitado para 802.1X, se autentica como cualquier otro suplicante. Si el teléfono no está habilitado para 802.1X, pero tiene otro dispositivo compatible con 802.1X conectado a su puerto de datos, ese dispositivo se autentica y, a continuación, el tráfico VoIP puede fluir hacia y desde el teléfono (siempre que la interfaz esté configurada en modo suplicante único y no en modo suplicante seguro único).

    Nota:

    No se admite la configuración de una VLAN VoIP en interfaces VLAN privadas (PVLAN).

  • Contabilidad RADIUS: envía información contable al servidor de contabilidad RADIUS. La información contable se envía al servidor cada vez que un suscriptor inicia o cierra sesión y cada vez que un suscriptor activa o desactiva una suscripción.

  • Atributos del servidor RADIUS para 802.1X: es un atributo específico del proveedor (VSA) que se puede configurar en el servidor RADIUS para definir aún más el acceso de un suplicante durante el proceso de autenticación 802.1X.Juniper-Switching-Filter La configuración centralizada de atributos en el servidor de autenticación evita la necesidad de configurar estos mismos atributos en forma de filtros de firewall en cada conmutador de la LAN al que el suplicante pueda conectarse a la LAN. El es equivalente a la regla de filtro NAS a la que se hace referencia en el atributo 92 de RFC4849.Juniper-Switching-Filter

  • Segmentación micro y macro con GBP mediante Mist Access Assurance: puede aplicar microsegmentación y macrosegmentación en una arquitectura de Virtual Extensible LAN (VXLAN) mediante la política basada en grupos (GBP). GBP aprovecha la tecnología VXLAN subyacente para proporcionar un control de acceso de puntos de conexión independiente de la ubicación. Con GBP, puede implementar políticas de seguridad coherentes en todos los dominios de la red empresarial. De este modo, puede evitar configurar una gran cantidad de filtros de firewall en todos sus conmutadores y simplificar la configuración de su red. El control de acceso a la red (NAC) de la nube de Juniper Mist asigna dinámicamente etiquetas GBP durante una transacción RADIUS. Con la autenticación RADIUS 802.1X, los operadores de red pueden autenticar y autorizar automáticamente a un usuario o dispositivo y dejarlo entrar en la red. Juniper Mist Access Assurance utiliza la identidad de usuario y dispositivo para determinar el rol y el segmento de red que la red asigna a cada usuario. La red utiliza VLAN o GBP para agrupar a los usuarios en segmentos de red. A continuación, Juniper Mist Access Assurance aplica las políticas de red asociadas a cada segmento

    Actualmente admitimos esto en EX4100, EX4400, EX4650, QFX5120-32C, QFX5120-48Y y en chasis virtual QFX5120-48Y.

    Para obtener más información, consulte: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

Se admiten las siguientes características para autenticar dispositivos que no están habilitados para 802.1X:

  • Derivación de MAC estática: proporciona un mecanismo de derivación para autenticar dispositivos que no están habilitados para 802.1X (como impresoras). La derivación de MAC estática conecta estos dispositivos a puertos habilitados para 802.1X, sin pasar por la autenticación 802.1X.

  • Autenticación MAC RADIUS: proporciona un medio para permitir que los hosts que no están habilitados para 802.1X accedan a la LAN. MAC-RADIUS simula la funcionalidad suplicante del dispositivo cliente, utilizando la dirección MAC del cliente como nombre de usuario y contraseña.

Autenticación 802.1X en puertos troncales

A partir de Junos OS versión 18.3R1, puede configurar la autenticación 802.1X en interfaces troncales, lo que permite que el dispositivo de acceso a la red (NAS) autentique un punto de acceso (AP) u otro dispositivo de capa 2 conectado. Un AP o conmutador conectado al NAS admitirá varias VLAN, por lo que debe conectarse a un puerto troncal. Habilitar la autenticación 802.1X en la interfaz troncal protege el NAS de una violación de seguridad en la que un atacante podría desconectar el punto de acceso y conectar una computadora portátil para obtener acceso gratuito a la red para todas las VLAN configuradas.

Tenga en cuenta las siguientes advertencias al configurar la autenticación 802.1X en interfaces troncales.

  • Solo se admiten los modos suplicante seguro único y único en las interfaces troncales.

  • Debe configurar la autenticación 802.1X localmente en la interfaz troncal. Si configura la autenticación 802.1X globalmente mediante el comando, la configuración no se aplica a la interfaz troncal.set protocol dot1x interface all

  • Las VLAN dinámicas no son compatibles con las interfaces troncales.

  • La VLAN invitada y la VLAN de rechazo del servidor no se admiten en las interfaces troncales.

  • La reserva de errores de servidor para clientes VoIP no se admite en interfaces troncales ().server-fail-voip

  • No se admite la autenticación en el puerto troncal mediante el portal cautivo.

  • La autenticación en el puerto troncal no se admite en interfaces agregadas.

  • La configuración de la autenticación 802.1X en interfaces que son miembros de VLAN privadas (PVLAN) no se admite en los puertos de troncalización.

Autenticación 802.1X en interfaces de capa 3

A partir de Junos OS versión 20.2R1, puede configurar la autenticación 802.1X en interfaces de capa 3. Tenga en cuenta las siguientes advertencias al configurar la autenticación 802.1X en interfaces de capa 3:

  • Solo se admiten clientes compatibles con EAP.

  • Solo se admite el modo suplicante único.

  • Debe configurar la autenticación 802.1X localmente en las interfaces de capa 3. Si configura la autenticación 802.1X globalmente mediante el comando, la configuración no se aplica a las interfaces de capa 3.set protocol dot1x interface all

  • La compatibilidad con interfaces de capa 3 no incluye IRB ni subinterfaces.

  • No se admiten VLAN invitadas, VLAN de rechazo de servidor y VLAN con error de servidor.

  • No se admite la reserva de errores de servidor para clientes VoIP ().server-fail-voip

  • Solo se aceptan los siguientes atributos del servidor de autenticación como parte de los mensajes RADIUS access-accept o COA para clientes autenticados en interfaces de capa 3:

    • Nombre de usuario

    • Tiempo de espera de sesión

    • Id. de estación de llamadas

    • Acct-Session-ID

    • ID de puerto NAS

    • Rebote de puerto

Compatibilidad con 802.1X en el software Junos OS Evolved

A partir de Junos OS Evolved versión 22.3R1, puede configurar la autenticación 802.1X en interfaces de capa 2. Las siguientes advertencias se aplican a la autenticación 802.1X en interfaces de capa 2.

  • Las características no compatibles incluyen:

    • VLAN invitada, VLAN de rechazo de servidor y VLAN con error de servidor

    • Respaldo de falla de servidor para clientes VoIP (server-fail-voip)

    • VLAN dinámica

    • Autenticación en interfaces de capa 2 mediante portal cautivo y autenticación web central (CWA).

  • Los atributos no admitidos del servidor de autenticación de mensajes RADIUS de aceptación de acceso o COA para clientes autenticados en interfaces de capa 2 incluyen:

    • Enlace de sesión IP-MAC

    • Juniper-CWA-Redirect

    • Juniper-Switching-Filter

    • Filter-ID

    • Túnel de tipo medio

    • Juniper-VoIP-VLAN

    • Nombre de VLAN de salida

    • ID de VLAN de salida

    • Tipo de túnel

    • Tunnel-Private-Group-ID

  • Si IRB está en el dominio del puente, los puertos habilitados para 802.1x no descartan el tráfico enrutado para los modos de suplicante único seguro y múltiple, incluso si el usuario no está autenticado. Los puertos habilitados para 802.1x en la interfaz de capa 2 eliminan el tráfico enrutado solo para la configuración del modo de suplicante único.

Configuración de los ajustes de la interfaz 802.1X (procedimiento de la CLI)

La autenticación IEEE 802.1X proporciona seguridad en el borde de la red, protegiendo las LAN Ethernet del acceso no autorizado de usuarios mediante el bloqueo de todo el tráfico hacia y desde un suplicante (cliente) en la interfaz hasta que las credenciales del solicitante se presenten y coincidan en el (un servidor RADIUS).authentication server Cuando se autentica el suplicante, el conmutador deja de bloquear el acceso y abre la interfaz al solicitante.

Nota:

Antes de comenzar, especifique el servidor o servidores RADIUS que se utilizarán como servidor de autenticación. Consulte Especificación de conexiones de servidor RADIUS en conmutadores (procedimiento de CLI).Especificación de conexiones de servidor RADIUS en conmutadores (procedimiento de CLI)

Para configurar 802.1X en una interfaz:

  1. Configure el modo suplicante como (autentica al primer suplicante), (autentica sólo un suplicante) o (autentica varios suplicantes):singlesingle-securemultiple
    Nota:

    El modo de súplica múltiple no se admite en las interfaces troncales.

  2. Habilite la reautenticación y especifique el intervalo de reautenticación:
  3. Configure el valor de tiempo de espera de interfaz para la respuesta del suplicante:
  4. Configure el tiempo de espera para la interfaz antes de que vuelva a enviar una solicitud de autenticación al servidor RADIUS:
  5. Configure cuánto tiempo espera la interfaz en segundos antes de retransmitir las PDU iniciales de EAPOL al solicitante:
  6. Configure el número máximo de veces que se retransmite un paquete de solicitud EAPOL al solicitante antes de que se agote el tiempo de espera de la sesión de autenticación:
  7. Configure el número de veces que el conmutador intenta autenticar el puerto después de un error inicial. El puerto permanece en estado de espera durante el período de silencio después del intento de autenticación.
Nota:

Si los servidores de autenticación RADIUS dejan de estar disponibles o son inaccesibles, se activa la reserva de error del servidor. De forma predeterminada, la opción se configura en , cuya fuerza no supera la autenticación del suplicante.denyserver-fail Sin embargo, hay otras opciones que puede configurar como acciones que se deben realizar para los dispositivos finales que esperan autenticación cuando se agota el tiempo de espera del servidor.

Para obtener más información, consulte interfaz (802.1X)

Nota:

Esta configuración especifica el número de intentos antes de que el conmutador coloque la interfaz en estado HOLD .

Descripción de los cambios iniciados por RADIUS en una sesión de usuario autorizado

Cuando se utiliza un servicio de autenticación basado en un modelo RADIUS cliente/servidor, las solicitudes suelen ser iniciadas por el cliente y enviadas al servidor RADIUS. Hay casos en los que el servidor puede iniciar una solicitud y enviarla al cliente para modificar dinámicamente una sesión de usuario autenticado que ya está en curso. El cliente que recibe y procesa los mensajes es el conmutador, que actúa como servidor de acceso a la red o NAS. El servidor puede enviar al conmutador un mensaje de desconexión solicitando la finalización de una sesión o un mensaje de cambio de autorización (CoA) solicitando modificar los atributos de autorización de sesión.

El conmutador escucha solicitudes RADIUS no solicitadas en el puerto UPD 3799 y solo acepta solicitudes de una fuente confiable. La autorización para enviar una solicitud de desconexión o CoA se determina en función de la dirección de origen y el secreto compartido correspondiente, que deben configurarse en el conmutador y en el servidor RADIUS. Para obtener más información sobre cómo configurar la dirección de origen y el secreto compartido en el conmutador, consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.

Desconectar mensajes

El servidor RADIUS envía un mensaje de desconexión y solicitud al conmutador para terminar una sesión de usuario y descartar todo el contexto de sesión asociado. El conmutador responde a un paquete Disconnect-Request con un mensaje Disconnect-ACK si la solicitud se realiza correctamente, es decir, si todo el contexto de sesión asociado se descarta y la sesión de usuario ya no está conectada, o con un paquete Disconnect-NAK si se produce un error en la solicitud, es decir, el autenticador no puede desconectar la sesión y descartar todo el contexto de sesión asociado.

En los mensajes de desconexión y solicitud, los atributos RADIUS se utilizan para identificar de forma exclusiva el conmutador (NAS) y la sesión del usuario. La combinación de atributos de identificación del NAS y atributos de identificación de sesión incluidos en el mensaje debe coincidir al menos con una sesión para que la solicitud se realice correctamente; de lo contrario, el conmutador responde con un mensaje Disconnect-NAK. Un mensaje de solicitud de desconexión solo puede contener atributos de identificación de sesión y NAS; si se incluyen otros atributos, el conmutador responde con un mensaje Disconnect-NAK.

Mensajes de cambio de autorización

Los mensajes de cambio de autorización (CoA) contienen información para modificar dinámicamente los atributos de autorización de una sesión de usuario para cambiar el nivel de autorización. Esto ocurre como parte de un proceso de autenticación de dos pasos, en el que el punto de conexión se autentica primero mediante la autenticación MAC RADIUS y, a continuación, se perfila según el tipo de dispositivo. El mensaje CoA se utiliza para aplicar una política de cumplimiento adecuada para el dispositivo, normalmente cambiando los filtros de datos o la VLAN.

El conmutador responde a un mensaje CoA con un mensaje CoA-ACK si el cambio de autorización se realiza correctamente, o a un mensaje con CoA-NAK si el cambio no se realiza correctamente. Si no se pueden realizar uno o más cambios de autorización especificados en un mensaje de solicitud de CoA, el conmutador responde con un mensaje de CoA-NAK.

En los mensajes de solicitud de CoA, los atributos RADIUS se utilizan para identificar de forma exclusiva el conmutador (que actúa como NAS) y la sesión del usuario. La combinación de atributos de identificación del NAS y atributos de identificación de sesión incluidos en el mensaje debe coincidir con los atributos de identificación de al menos una sesión para que la solicitud se realice correctamente; de lo contrario, el conmutador responde con un mensaje CoA-NAK.

Los paquetes CoA-Request también incluyen los atributos de autorización de sesión que se modificarán si se acepta la solicitud. A continuación se enumeran los atributos de autorización de sesión admitidos. El mensaje CoA puede contener cualquiera o todos estos atributos. Si algún atributo no se incluye como parte del mensaje CoA-Request, el NAS asume que el valor de ese atributo permanecerá sin cambios.

  • ID de filtro

  • ID de grupo privado de túnel

  • Juniper-Switching-Filter

  • Juniper-VoIP-VLAN

  • Tiempo de espera de sesión

Rebote de puerto de solicitud de CoA

Cuando se utiliza un mensaje CoA para cambiar la VLAN de un host autenticado, los dispositivos finales, como las impresoras, no tienen un mecanismo para detectar el cambio de VLAN, por lo que no renuevan la concesión de su dirección DHCP en la nueva VLAN. A partir de Junos OS versión 17.3, la función de rebote de puerto se puede utilizar para forzar al dispositivo final a iniciar una renegociación DHCP provocando un flap de vínculo en el puerto autenticado.

El comando para hacer rebotar el puerto se envía desde el servidor RADIUS mediante un atributo específico del proveedor (VSA) de Juniper Networks. El puerto rebota si se recibe el siguiente par atributo-valor VSA en el mensaje CoA del servidor RADIUS:

  • Juniper-AV-Pair = "Puerto de rebote"

Para habilitar la función de rebote de puertos, debe actualizar el archivo de diccionario de Junos () en el servidor RADIUS con el VSA Juniper-AV-Pair.juniper.dct Busque el archivo de diccionario y agregue el texto siguiente al archivo:

Para obtener más información acerca de cómo agregar VSA, consulte la documentación de FreeRADIUS.

Puede deshabilitar la característica configurando la instrucción en el nivel de jerarquía [].ignore-port-bounceedit protocols dot1x authenticator interface interface-name

Códigos de causa de error

Cuando una desconexión u operación de CoA no se realiza correctamente, se puede incluir un atributo Error-Cause (atributo RADIUS 101) en el mensaje de respuesta enviado por el NAS al servidor para proporcionar detalles sobre la causa del problema. Si el error detectado no se asigna a uno de los valores de atributo Error-Cause admitidos, el enrutador envía el mensaje sin un atributo de causa de error. Consulte para obtener descripciones de los códigos de causa de error que se pueden incluir en los mensajes de respuesta enviados desde el NAS.Tabla 1

Tabla 1: Códigos de causa de error (atributo RADIUS 101)

Código

valor

Description

201

Se ha eliminado el contexto de la sesión residual

Se envía en respuesta a un mensaje de solicitud de desconexión si una o más sesiones de usuario ya no están activas, pero el contexto de sesión residual se encontró y se eliminó correctamente. Este código solo se envía dentro de un mensaje Disconnect-ACK.

401

Atributo no compatible

La solicitud contiene un atributo que no es compatible (por ejemplo, un atributo de terceros).

402

Falta el atributo

Falta un atributo crítico (por ejemplo, el atributo de identificación de sesión) en una solicitud.

403

No coincide la identificación del NAS

La solicitud contiene uno o más atributos de identificación del NAS que no coinciden con la identidad del NAS que recibe la solicitud.

404

Solicitud no válida

Algún otro aspecto de la solicitud no es válido, por ejemplo, si uno o más atributos no tienen el formato correcto.

405

Servicio no compatible

El atributo Service-Type incluido con la solicitud contiene un valor no válido o no admitido.

406

Extensión no compatible

La entidad que recibe la solicitud (ya sea un NAS o un proxy RADIUS) no admite solicitudes iniciadas por RADIUS.

407

Valor de atributo no válido

La solicitud contiene un atributo con un valor no admitido.

501

Prohibido administrativamente

El NAS está configurado para prohibir respetar los mensajes de solicitud de desconexión o solicitud de CoA para la sesión especificada.

503

No se encontró el contexto de la sesión

El contexto de sesión identificado en la solicitud no existe en el NAS.

504

El contexto de la sesión no se puede quitar

El suscriptor identificado por los atributos de la solicitud es propiedad de un componente que no es compatible. Este código solo se envía dentro de un mensaje Disconnect-NAK.

506

Recursos no disponibles

No se pudo cumplir una solicitud debido a la falta de recursos NAS disponibles (como la memoria).

507

Solicitud iniciada

El mensaje CoA-Request incluye un atributo Service-Type con el valor Authorize Only.

508

No se admite la selección de varias sesiones

Los atributos de identificación de sesión incluidos en la solicitud coinciden con varias sesiones, pero el NAS no admite solicitudes que se apliquen a varias sesiones.

Filtrado de suplicantes 802.1X mediante atributos de servidor RADIUS

Hay dos formas de configurar un servidor RADIUS con filtros de firewall de puerto (filtros de firewall de capa 2):

  • Incluya uno o varios términos de filtro en el atributo Juniper-Switching-Filter. El atributo Juniper-Switching-Filter es un atributo específico del proveedor (VSA) que aparece con el número de atributo 48 en el diccionario de Juniper en el servidor RADIUS. Utilice este VSA para configurar condiciones de filtro simples para usuarios autenticados 802.1X. No es necesario configurar nada en el conmutador; toda la configuración está en el servidor RADIUS.

  • Configure un filtro de firewall local en cada conmutador y aplíquelo a los usuarios autenticados a través del servidor RADIUS. Utilice este método para filtros más complejos. El filtro de firewall debe configurarse en cada conmutador.

    Nota:

    Si la configuración del filtro de firewall se modifica después de autenticar a los usuarios mediante la autenticación 802.1X, la sesión de autenticación 802.1X establecida debe finalizar y restablecerse para que los cambios en la configuración del filtro de firewall surtan efecto.

En este tema verá las siguientes secciones:

Configuración de filtros de firewall en el servidor RADIUS

A partir de Junos OS Evolved versión 22.4R1, puede configurar varios puertos de origen y destino (o rangos de puertos) dentro de una sola línea sin tener que repetir de nuevo la condición de coincidencia. Esta característica permite longitudes de VSA más cortas y también ayuda a reducir el tamaño de los paquetes de respuesta RADIUS.

El filtro de conmutación permite aprovisionar una lista de valores para el tipo de éter, IP, etiqueta de origen, puerto de origen y puerto de destino.

Juniper-Switching-Filter = match dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow

Juniper-Switching-Filter = match dst-port 500 source-tag [ 100, 200 ] action allow

Juniper-Switching-Filter = match src-port 9090 ip-proto [ 25 17] action allow

Juniper-Switching-Filter = match ether-type [ 3000-4000 8000 ] action allow

Puede configurar condiciones de filtro simples mediante el atributo Juniper-Switching-Filter del diccionario de Juniper en el servidor RADIUS. Estos filtros se envían a un conmutador cada vez que un nuevo usuario se autentica correctamente. Los filtros se crean y aplican en todos los conmutadores de la serie EX que autentican a los usuarios a través de ese servidor RADIUS sin necesidad de configurar nada en cada conmutador individual.

Nota:

Este procedimiento describe el uso del software FreeRADIUS para configurar el VSA de Juniper-Switching-Filter. Para obtener información específica acerca de la configuración del servidor, consulte la documentación AAA incluida con el servidor.

Para configurar el atributo Juniper-Switching-Filter, escriba uno o varios términos de filtro mediante la CLI para el servidor RADIUS. Cada término de filtro consta de condiciones de coincidencia con una acción correspondiente. Escriba los términos de filtro entre comillas (" ") con la sintaxis siguiente:

Se puede incluir más de una condición de coincidencia en un término de filtro. Cuando se especifican varias condiciones en un término de filtro, deben cumplirse todas para que el paquete coincida con el término de filtro. Por ejemplo, el siguiente término de filtro requiere que un paquete coincida con la dirección IP de destino y la dirección MAC de destino para cumplir los criterios de término:

Los términos de filtro múltiples deben separarse con comas, por ejemplo:

Consulte Condiciones y acciones de coincidencia de VSA de Juniper-Switching-Filter para ver definiciones de condiciones y acciones de coincidencia.Directrices de VSA de filtro de conmutación de Juniper, condiciones de coincidencia y acciones

Nota:

En conmutadores EX9200 y en Junos Fusion Enterprise con EX9200 como dispositivo agregado, el filtro de firewall dinámico se aplica estrictamente a todos los paquetes IP. Si el filtro está configurado para permitir solo una dirección IP de destino específica, los paquetes con otras direcciones IP como IP de destino se eliminarán según las reglas del filtro. Esto incluye cualquier paquete de protocolo IP, como paquetes DHCP, IGMP y ARP.

Para configurar condiciones de coincidencia en el servidor RADIUS:

  1. Verifique que el diccionario de Juniper esté cargado en el servidor RADIUS e incluya el atributo de filtrado (ID de atributo 48):Juniper-Switching-Filter
  2. Introduce las condiciones y acciones del partido. Por ejemplo:
    • Para denegar la autenticación basada en la etiqueta 802.1Q (aquí, la etiqueta 802.1Q es ):10

      Para cada usuario relevante, agregue el atributo:Juniper-Switching-Filter

    • Para denegar el acceso en función de una dirección IP de destino:

      Para cada usuario relevante, agregue el atributo:Juniper-Switching-Filter

    • Para establecer la prioridad de pérdida de paquetes (PLP) en función de una dirección MAC de destino y del protocolo IP:high

      Para cada usuario relevante, agregue el atributo:Juniper-Switching-Filter

      Nota:

      Para que se aplique la opción, se debe configurar la clase de reenvío en el conmutador y especificar la prioridad de pérdida de paquetes.forwarding-class Si no está configurada en el conmutador, se ignora esta opción. Debe especificar tanto la clase de reenvío como la prioridad de pérdida de paquetes.

  3. Detenga y reinicie el proceso RADIUS para activar la configuración.

Aplicación de un filtro de firewall configurado localmente desde el servidor RADIUS

Puede aplicar un filtro de firewall de puerto (filtro de firewall de capa 2) a las políticas de usuario de forma centralizada desde el servidor RADIUS. A continuación, el servidor RADIUS puede especificar los filtros de firewall que se aplicarán a cada usuario que solicite autenticación, lo que reduce la necesidad de configurar el mismo filtro de firewall en varios conmutadores. Utilice este método cuando el filtro de firewall contenga un gran número de condiciones o desee utilizar condiciones diferentes para el mismo filtro en distintos conmutadores. Los filtros de firewall deben configurarse en cada conmutador.

Para obtener más información acerca de los filtros de firewall, consulte Descripción general de los filtros de firewall para conmutadores de la serie EX.Firewall Filters for EX Series Switches Overview

Para aplicar un filtro de firewall de puertos de forma centralizada desde el servidor RADIUS:

Nota:

Si los filtros de firewall de puerto también se configuran localmente para la interfaz, los filtros de firewall configurados mediante VSA tienen prioridad si entran en conflicto con los filtros de firewall de puerto configurados localmente. Si no hay conflicto, se fusionan.

  1. Cree el filtro de firewall en el conmutador local. Consulte Configuración de filtros de firewall (procedimiento de CLI) para obtener más información sobre cómo configurar un filtro de firewall de puerto.Configuring Firewall Filters (CLI Procedure)
  2. En el servidor RADIUS, abra el archivo para mostrar los perfiles de usuario local de los dispositivos finales a los que desea aplicar el filtro:users
  3. Aplique el filtro a cada perfil de usuario agregando el atributo Filter-ID con el nombre del filtro como valor de atributo:

    Por ejemplo, el perfil de usuario siguiente para incluye el atributo Filter-ID con el nombre de filtro :supplicant1filter1

    Nota:

    No se admiten varios filtros en una sola interfaz. Sin embargo, puede admitir varios filtros para varios usuarios que estén conectados al conmutador en la misma interfaz configurando un único filtro con directivas para cada uno de esos usuarios.

  4. Detenga y reinicie el proceso RADIUS para activar la configuración.

Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX

802.1X es el estándar IEEE para el control de acceso a la red basado en puertos (PNAC). Se utiliza 802.1X para controlar el acceso a la red. Solo los usuarios y dispositivos que proporcionen credenciales que se hayan verificado con una base de datos de usuarios pueden acceder a la red. Puede utilizar un servidor RADIUS como base de datos de usuarios para la autenticación 802.1X, así como para la autenticación MAC RADIUS.

En este ejemplo se describe cómo conectar un servidor RADIUS a un conmutador de la serie EX y configurarlo para 802.1X:

Requisitos

En este ejemplo se utilizan los siguientes componentes de software y hardware:

  • Junos OS versión 9.0 o posterior para conmutadores serie EX

  • Un conmutador de la serie EX que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.

  • Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de conectar el servidor al conmutador, asegúrese de tener:

Descripción general y topología

El conmutador de la serie EX actúa como un PAE de autenticación. Bloquea todo el tráfico y actúa como una puerta de control hasta que el suplicante (cliente) es autenticado por el servidor. A todos los demás usuarios y dispositivos se les niega el acceso.

muestra un conmutador EX4200 conectado a los dispositivos enumerados en .Figura 1Tabla 2

Figura 1: Topología para la configuraciónTopología para la configuración
Tabla 2: Componentes de la topología
Propiedad Configuraciones

Hardware del conmutador

Conmutador de acceso EX4200, 24 puertos Gigabit Ethernet: 8 puertos PoE (ge-0/0/0 a ge-0/0/7) y 16 puertos no PoE (ge-0/0/8 a ge-0/0/23)

Nombre de VLAN

predeterminada

Un servidor RADIUS

Base de datos back-end con una dirección conectada al conmutador en el puerto 10.0.0.100ge-0/0/10

En este ejemplo, conecte el servidor RADIUS para acceder al puerto ge-0/0/10 en el conmutador EX4200. El conmutador actúa como autenticador y reenvía las credenciales del suplicante a la base de datos de usuario en el servidor RADIUS. Debe configurar la conectividad entre el EX4200 y el servidor RADIUS especificando la dirección del servidor y configurando la contraseña secreta. Esta información se configura en un perfil de acceso en el conmutador.

Nota:

Para obtener más información acerca de los servicios de autenticación, autorización y contabilidad (AAA), consulte la Guía de configuración de conceptos básicos del sistema de Junos OS.

Configuración

Procedimiento

Configuración rápida de CLI

Para conectar rápidamente el servidor RADIUS al conmutador, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para conectar el servidor RADIUS al conmutador:

  1. Defina la dirección de los servidores y configure la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor:

  2. Configure el orden de autenticación, haciendo que el primer método de autenticación:radius

  3. Configure una lista de direcciones IP de servidor que se probarán en orden secuencial para autenticar al solicitante:

Resultados

Mostrar los resultados de la configuración:

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verifique que el conmutador y el servidor RADIUS estén conectados correctamente

Propósito

Verifique que el servidor RADIUS esté conectado al conmutador en el puerto especificado.

Acción

Haga ping al servidor RADIUS para verificar la conexión entre el conmutador y el servidor:

Significado

Los paquetes de solicitud de eco ICMP se envían desde el conmutador al servidor de destino en 10.0.0.100 para probar si el servidor es accesible a través de la red IP. Las respuestas de eco ICMP se devuelven desde el servidor, verificando que el conmutador y el servidor estén conectados.

Descripción de los filtros dinámicos basados en atributos RADIUS

Puede utilizar atributos de servidor RADIUS para implementar filtros de firewall de puertos en un servidor de autenticación RADIUS. Estos filtros se pueden aplicar dinámicamente a los suplicantes que solicitan autenticación a través de ese servidor. Los atributos de servidor RADIUS son campos de texto sin cifrar encapsulados en mensajes de acceso-aceptación enviados desde el servidor de autenticación al conmutador cuando un suplicante conectado al conmutador se autentica correctamente. El conmutador, que actúa como autenticador, utiliza la información de los atributos RADIUS para aplicar los filtros relacionados al suplicante. Los filtros dinámicos se pueden aplicar a varios puertos en el mismo conmutador o a varios conmutadores que utilizan el mismo servidor de autenticación, lo que proporciona un control de acceso centralizado para la red.

Puede definir filtros de firewall directamente en el servidor RADIUS mediante el atributo Juniper-Switching-Filter, que es un atributo RADIUS específico de Juniper Networks, también conocido como atributo específico del proveedor (VSA). Los VSA se describen en RFC 2138, Servicio de usuario de marcado de autenticación remota (RADIUS). El VSA de filtro de conmutación de Juniper aparece con el número de atributo 48 en el diccionario de Juniper en el servidor RADIUS, con el ID de proveedor establecido en el número de ID de Juniper Networks 2636. Con este atributo, se definen filtros en el servidor de autenticación, que se aplican a todos los conmutadores que autentican a los suplicantes a través de ese servidor. Este método elimina la necesidad de configurar los mismos filtros en varios conmutadores.

Como alternativa, puede aplicar un filtro de firewall de puertos a varios puertos en el mismo conmutador mediante el atributo Filter-ID, que es el número de ID de atributo RADIUS 11. Para utilizar el atributo Filter-ID, primero debe configurar un filtro en el conmutador y, a continuación, agregar el nombre del filtro a las directivas de usuario en el servidor RADIUS como el valor del atributo Filter-ID. Cuando el servidor RADIUS autentica un suplicante definido en una de esas directivas, el filtro se aplica al puerto del conmutador que se ha autenticado para el suplicante. Utilice este método cuando el filtro de firewall tenga condiciones complejas o si desea utilizar condiciones diferentes para el mismo filtro en distintos conmutadores. El filtro denominado en el atributo Filter-ID debe configurarse localmente en el conmutador en el nivel de jerarquía [].edit firewall family ethernet-switching filter

Los VSA solo se admiten para configuraciones de suplicante único 802.1X y configuraciones de múltiples suplicantes.

Descripción de la asignación de VLAN dinámica mediante atributos RADIUS

Un servidor RADIUS puede asignar VLAN dinámicamente a los suplicantes que soliciten autenticación 802.1X a través de ese servidor. La VLAN se configura en el servidor RADIUS mediante atributos de servidor RADIUS, que son campos de texto sin cifrar encapsulados en mensajes enviados desde el servidor de autenticación al conmutador cuando un suplicante conectado al conmutador solicita autenticación. El conmutador, que actúa como autenticador, utiliza la información de los atributos RADIUS para asignar la VLAN al suplicante. En función de los resultados de la autenticación, un suplicante que inició la autenticación en una VLAN podría asignarse a otra VLAN.

La autenticación correcta requiere que el ID de VLAN o el nombre de VLAN esté configurado en el conmutador que actúa como autenticador 802.1X y que coincida con el ID de VLAN o el nombre de VLAN enviados por el servidor RADIUS durante la autenticación. Si no existe ninguno de los dos, el dispositivo final no se autentica. Si se establece una VLAN invitada, el dispositivo final no autenticado se mueve automáticamente a la VLAN invitada.

Los atributos de servidor RADIUS utilizados para la asignación de VLAN dinámica descritos en RFC 2868, Atributos RADIUS para compatibilidad con protocolos de túnel.

  • Tipo de túnel: se define como tipo de atributo RADIUS 64. El valor debe establecerse en .VLAN

  • Tunnel-Medium-Type: se define como tipo de atributo RADIUS 65. El valor debe establecerse en .IEEE-802

  • Tunnel-Private-Group-ID: se define como el tipo de atributo RADIUS 81. El valor debe establecerse en el ID de VLAN o el nombre de VLAN.

Para obtener más información acerca de la configuración de VLAN dinámicas en el servidor RADIUS, consulte la documentación del servidor RADIUS.

Configuración de grupos de VLAN en conmutadores de la serie EX

Con la función de grupo VLAN, puede distribuir clientes entre las VLAN. Cuando habilite esta función, puede alinear una sola LAN inalámbrica (WLAN) con una sola VLAN o con varias VLAN. Cuando se configura un grupo de VLAN, se asigna un cliente a una de las VLAN configuradas. Esta función admite el equilibrio de carga dinámico de los usuarios en las VLAN de un grupo de VLAN. Esta característica sigue el algoritmo round-robin para asignar usuarios a la siguiente VLAN disponible en un grupo de VLAN.

Para el equilibrio de carga de VLAN dinámica, agregue el nombre del grupo VLAN en lugar de un ID de VLAN normal o un nombre de VLAN en el atributo (definido en RFC 2868 como tipo de atributo RADIUS 81).Tunnel-Private-Group-ID Posteriormente, envíe esta información en la respuesta RADIUS cuando un suplicante solicite autenticación 802.1X a través del servidor RADIUS. Cuando el conmutador recibe el nombre del grupo VLAN, asigna el extremo a una de las VLAN de ese grupo mediante el algoritmo round-robin. El grupo VLAN permite asignar una VLAN de una lista preconfigurada, lo que reduce la necesidad de que los administradores equilibren la carga de la red.

Cuando configure un grupo de VLAN, tenga en cuenta que:

  • Puede configurar un máximo de 4096 grupos de VLAN.

  • Debe crear una VLAN antes de asignarla a los clientes. Cualquier VLAN que no exista en el conmutador se ignora durante la asignación.

  • Un nombre de VLAN no puede ser el mismo que el nombre de grupo de VLAN.

  • Una VLAN VoIP no debe formar parte del grupo vlan. Una VLAN VoIP, si está presente, será ignorada.

  • Cuando se elimina una VLAN, se terminan todas las sesiones autenticadas 802.1X asociadas con esa VLAN.

  • Puede eliminar un grupo de VLAN sin causar ninguna interrupción a los clientes que ya se han asignado a VLAN en ese grupo de VLAN.

  • Puede eliminar una VLAN de un grupo de VLAN sin causar ninguna interrupción a los clientes que ya se han asignado a esa VLAN. Sin embargo, un cliente puede enfrentar interrupciones si:

    • La sesión del cliente caduca.

    • Una nueva autenticación o un cambio de rol se realiza mediante la solicitud de cambio de autorización (CoA).

Para configurar grupos de VLAN en conmutadores de la serie EX:

  1. Configurar .vlans vlan-groups vlan_group_name Utilice el siguiente comando:
  2. Confirmar la configuración y salir del modo de configuración.
  3. Para verificar los resultados de la configuración en un conmutador:

Descripción de VLAN invitadas para 802.1X en conmutadores

Las VLAN para invitados se pueden configurar en conmutadores que utilizan la autenticación 802.1X para proporcionar acceso limitado, normalmente solo a Internet, para invitados corporativos. La VLAN de invitado se utiliza como reserva cuando:

  • El suplicante no está habilitado para 802.1X y no responde a los mensajes EAP.

  • La autenticación MAC RADIUS no se ha configurado en las interfaces de conmutador a las que está conectado el suplicante.

  • El portal cautivo no se ha configurado en las interfaces del conmutador a las que está conectado el suplicante.

Una VLAN de invitado no se utiliza para los suplicantes que envían credenciales incorrectas. Esos suplicantes se dirigen a la VLAN de rechazo del servidor.

Para los dispositivos finales que no están habilitados para 802.1X, una VLAN invitada puede permitir un acceso limitado a un servidor desde el cual el dispositivo final no habilitado para 802.1X puede descargar el software suplicante e intentar la autenticación nuevamente.

Ejemplo: Configuración de las opciones de autenticación 802.1X cuando el servidor RADIUS no está disponible para un conmutador de la serie EX

La reserva por error del servidor le permite especificar cómo se admiten los suplicantes 802.1X conectados al conmutador si el servidor de autenticación RADIUS deja de estar disponible.

Se utiliza 802.1X para controlar el acceso a la red. Solo los usuarios y dispositivos (suplicantes) que proporcionen credenciales que se hayan verificado con una base de datos de usuarios pueden acceder a la red. Utilice un servidor RADIUS como base de datos de usuarios.

En este ejemplo se describe cómo configurar una interfaz para mover un suplicante a una VLAN en caso de que se agote el tiempo de espera del servidor RADIUS:

Requisitos

En este ejemplo se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a los conmutadores QFX5100.

  • Junos OS versión 9.3 o posterior para conmutadores serie EX

  • Un conmutador de la serie EX que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.

  • Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de conectar el servidor al conmutador, asegúrese de tener:

Descripción general y topología

Se agota el tiempo de espera del servidor RADIUS si no se puede acceder a ningún servidor RADIUS de autenticación cuando un suplicante inicia sesión e intenta acceder a la LAN. Mediante la reserva de error del servidor, se configuran opciones alternativas para los suplicantes que intentan acceder a la LAN. Puede configurar el conmutador para aceptar o denegar el acceso a los suplicantes o para mantener el acceso ya concedido a los suplicantes antes de que se agote el tiempo de espera del servidor RADIUS. Además, puede configurar el conmutador para mover los suplicantes a una VLAN específica si se agota el tiempo de espera de RADIUS.

Figura 2 muestra la topología utilizada para este ejemplo. El servidor RADIUS está conectado al conmutador EX4200 en el puerto de acceso.ge-0/0/10 El conmutador actúa como entidad de acceso al puerto de autenticación (PAE) y reenvía las credenciales del suplicante a la base de datos de usuarios en el servidor RADIUS. El conmutador bloquea todo el tráfico y actúa como puerta de control hasta que el servidor de autenticación autentica al suplicante. Se conecta un suplicante al conmutador a través de la interfaz ge-0/0/1.

Nota:

Esta cifra también se aplica a QFX5100 conmutadores.

Figura 2: Topología para configurar las opciones de 802.1XTopología para configurar las opciones de 802.1X

Tabla 3 Describe los componentes de esta topología.

Tabla 3: Componentes de la topología
Propiedad Configuraciones

Hardware del conmutador

Conmutador de acceso EX4200, 24 puertos Gigabit Ethernet: 16 puertos no PoE y 8 puertos PoE.

Nombres de VLAN

default VLAN

vlan-sf VLAN

Solicitante

Suplicante que intenta acceder a la interfaz ge-0/0/1

Un servidor RADIUS

Base de datos backend con una dirección de conectado al conmutador en el puerto 10.0.0.100ge-0/0/10

En este ejemplo, configure la interfaz ge-0/0/1 para mover un suplicante que intenta acceder a la LAN durante un tiempo de espera RADIUS a otra VLAN. Un tiempo de espera RADIUS impide el intercambio normal de mensajes EAP que transportan información desde el servidor RADIUS al conmutador y permiten la autenticación de un suplicante. La VLAN predeterminada se configura en la interfaz ge-0/0/1. Cuando se agota el tiempo de espera de RADIUS, los suplicantes de la interfaz se moverán de la VLAN predeterminada a la VLAN denominada vlan-sf.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la reserva de errores del servidor en el conmutador, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar una interfaz para desviar los suplicantes a una VLAN específica cuando se produce un tiempo de espera RADIUS (aquí, la VLAN es ):vlan-sf

  1. Defina la VLAN a la que se desvían los suplicantes:

Resultados

Mostrar los resultados de la configuración:

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Comprobación de que los suplicantes se mueven a una VLAN alternativa durante un tiempo de espera RADIUS

Propósito

Compruebe que la interfaz mueve los suplicantes a una VLAN alternativa durante un tiempo de espera de RADIUS.

Nota:

En los conmutadores que ejecutan Junos OS para la serie EX compatibles con ELS, el resultado del comando contendrá información adicional.show vlans Si el conmutador ejecuta software compatible con ELS, consulte mostrar vlans.show vlans Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 SoftwareLayer 2 Networking

Acción

Mostrar las VLAN configuradas en el conmutador; la interfaz es miembro de la VLAN:ge-0/0/1.0default

Muestre la información del protocolo 802.1X en el conmutador para ver los suplicantes autenticados en la interfaz :ge-0/0/1.0

Se agota el tiempo de espera del servidor RADIUS. Muestre la tabla de conmutación Ethernet para mostrar que el suplicante con la dirección MAC que anteriormente accedía a la LAN a través de la VLAN ahora se está aprendiendo en la VLAN denominada :00:00:00:00:00:01defaultvlan-sf

Muestre la información del protocolo 802.1X para mostrar que la interfaz se está conectando y abrirá el acceso LAN a los suplicantes:ge-0/0/1.0

Significado

El comando muestra la interfaz como miembro de la VLAN.show vlansge-0/0/1.0default El comando muestra que un suplicante () está autenticado en la interfaz y tiene la dirección MAC.show dot1x interface briefabcge-0/0/1.000:00:00:00:00:01 Se produce un tiempo de espera del servidor RADIUS y el conmutador no puede alcanzar el servidor de autenticación. El comando muestra que la dirección MAC se aprende en VLAN .show-ethernet-switching table00:00:00:00:00:01vlan-sf El suplicante se ha movido de la VLAN a la VLAN.defaultvlan-sf A continuación, el suplicante se conecta a la LAN a través de la VLAN denominada .vlan-sf

Ejemplo: Configuración de opciones de reserva en conmutadores de la serie EX para clientes de autenticación EAP-TTLS y Odyssey Access

Para la autenticación de usuario 802.1X, los conmutadores de la serie EX admiten servidores de autenticación RADIUS que utilizan el Protocolo de autenticación extensible – TLS tunelizado (EAP-TTLS) para autenticar a los suplicantes del Odyssey Access Client (OAC). El software de redes OAC se ejecuta en computadoras de punto final (computadoras de escritorio, portátiles o con bloc de notas y dispositivos inalámbricos compatibles) y proporciona acceso seguro a redes cableadas e inalámbricas.

En este ejemplo se describe cómo configurar una interfaz habilitada para 802.1X en el conmutador para proporcionar compatibilidad de respaldo a los usuarios de OAC que han introducido credenciales de inicio de sesión incorrectas:

Requisitos

En este ejemplo se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a los conmutadores QFX5100.

  • Junos OS versión 11.2 o posterior para conmutadores serie EX

  • Un conmutador de la serie EX que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.

  • Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

  • Un dispositivo final de OAC que actúa como suplicante.

Antes de empezar a configurar la opción de reserva, asegúrese de que:

Descripción general y topología

OAC es un software de red que se ejecuta en equipos de punto final (de escritorio, portátil o bloc de notas) y en dispositivos inalámbricos compatibles. OAC proporciona compatibilidad total con EAP, que es necesario para el acceso LAN inalámbrico seguro.

En esta topología, OAC se implementa con un conmutador habilitado para 802.1X y un servidor RADIUS. El conmutador funciona como un punto de cumplimiento en la arquitectura de seguridad de red. Esta topología:

  • Garantiza que solo los usuarios autorizados puedan conectarse.

  • Mantiene la privacidad de las credenciales de inicio de sesión.

  • Mantiene la privacidad de los datos a través del enlace inalámbrico.

En este ejemplo se incluye la configuración de una VLAN de rechazo de servidor en el conmutador, que se puede utilizar para evitar bloqueos accidentales para los usuarios que introdujeron credenciales de inicio de sesión incorrectas. A estos usuarios se les puede dar acceso LAN limitado.

Sin embargo, esta configuración de reserva se complica por el hecho de que el suplicante de OAC y el servidor RADIUS utilizan EAP-TTLS. EAP-TTLS crea un túnel cifrado seguro entre el servidor y el dispositivo final para completar el proceso de autenticación. Cuando el usuario escribe credenciales de inicio de sesión incorrectas, el servidor RADIUS envía mensajes de error EAP directamente al cliente a través de este túnel. El mensaje de error del EAP hace que el cliente reinicie el procedimiento de autenticación, de modo que el proceso de autenticación 802.1X del conmutador desactive la sesión que se estableció con el conmutador mediante la VLAN de rechazo del servidor. Puede habilitar la conexión correctiva para que continúe configurando:

  • eapol-block: habilite el temporizador de bloques EAPoL en la interfaz 802.1X que está configurada para pertenecer a la VLAN de rechazo del servidor. El temporizador de bloqueo hace que la entidad de acceso al puerto de autenticación ignore los mensajes de inicio del EAP del cliente, intentando reiniciar el procedimiento de autenticación.

    Nota:

    El temporizador de bloque EAPoL se activa solo después de que se haya agotado el número configurado de reintentos permitidos (mediante la opción) en la interfaz 802.1X.retries Puede configurarlo para especificar el número de veces que el conmutador intenta autenticar el puerto después de un error inicial.retries El valor predeterminado es tres reintentos.

  • block-interval: configure la cantidad de tiempo que desea que el temporizador de bloqueo EAPoL siga ignorando los mensajes de inicio del EAP. Si no configura el intervalo de bloqueo, el temporizador de bloque EAPoL predeterminado es 120 segundos.

Cuando la interfaz 802.1X ignora los mensajes de inicio del EAP del cliente, el conmutador permite que la sesión de corrección existente que se estableció mediante la VLAN de rechazo del servidor permanezca abierta.

Estas opciones de configuración se aplican a los modos de autenticación único, seguro único y múltiple suplicante. En este ejemplo, la interfaz 802.1X se configura en modo suplicante único.

Figura 3 muestra un conmutador de la serie EX que conecta un dispositivo final OAC a un servidor RADIUS e indica los protocolos que se utilizan para conectar las entidades de red.

Nota:

Esta cifra también se aplica a QFX5100 conmutadores.

Figura 3: Conmutador de la serie EX que conecta OAC al servidor RADIUS mediante autenticación EAP-TTLSConmutador de la serie EX que conecta OAC al servidor RADIUS mediante autenticación EAP-TTLS

Topología

Tabla 4 describe los componentes de esta implementación de OAC:.

Tabla 4: Componentes de la implementación de OAC
Propiedad Configuraciones

Hardware del conmutador

Conmutador de la serie EX

VLAN

default

server-reject-vlan: El nombre de VLAN es y el ID de VLAN es remedial700

Interfaz 802.1X

ge-0/0/8

Suplicante de OAC

EAP-TTLS

Un servidor de autenticación RADIUS

EAP-TTLS

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente las opciones de reserva para los suplicantes EAP-TTLS y OAC, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar las opciones de reserva para los suplicantes EAP-TTLS y OAC:

Consejo:

En este ejemplo, el conmutador solo tiene una VLAN de rechazo de servidor. Por lo tanto, la configuración especifica y directamente después de .eapol-blockblock-intervalserver-reject-vlan Sin embargo, si ha configurado varias VLAN en el conmutador, debe incluir el nombre o el ID de VLAN inmediatamente después para indicar qué VLAN se está modificando.server-reject-vlan

  1. Configure una VLAN que funcione como VLAN de rechazo del servidor para proporcionar acceso LAN limitado a los usuarios que hayan introducido credenciales de inicio de sesión incorrectas:

  2. Configure el número de veces que se solicitará al cliente nombre de usuario y contraseña antes de que se dirija un inicio de sesión incorrecto a la VLAN de rechazo del servidor:

  3. Configure la interfaz del autenticador 802.1X para usar la VLAN de rechazo del servidor como reserva para inicios de sesión incorrectos:

  4. Habilite el temporizador de bloque EAPoL en la interfaz 802.1X que está configurada para pertenecer a la VLAN de rechazo del servidor.

  5. Configure la cantidad de tiempo que el bloque EAPoL permanecerá en vigor:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración y las opciones de reserva funcionan correctamente, realice esta tarea:

Comprobación de la configuración de la interfaz 802.1X

Propósito

Compruebe que la interfaz 802.1X está configurada con las opciones deseadas.

Acción
Significado

El resultado del comando muestra que la interfaz está en el estado y que está utilizando la VLAN.show dot1x ge-0/0/8 detailge-0/0/8Authenticatedremedial

Supervisión de la autenticación 802.1X

Propósito

Nota:

Este tema solo se aplica al paquete de aplicación J-Web.

Utilice la función de supervisión para mostrar detalles de los usuarios autenticados y de los usuarios que no lograron autenticarse.

Acción

Para mostrar los detalles de autenticación en la interfaz J-Web, seleccione > > .MonitoringSecurity802.1X

Para mostrar los detalles de autenticación en la CLI, escriba los siguientes comandos:

  • show dot1x interface detail | display xml

  • show dot1x interface detail <interface> | display xml

  • show dot1x auth-failed-users

Significado

Los detalles que se muestran incluyen:

  • Una lista de usuarios autenticados.

  • El número de usuarios conectados.

  • Una lista de usuarios que no lograron autenticarse.

También puede especificar una interfaz para la que se deben mostrar los detalles.

Verificación de la autenticación 802.1X

Propósito

Compruebe que los suplicantes se están autenticando en una interfaz de un conmutador con la interfaz configurada para la autenticación 802.1X y muestre el método de autenticación que se está utilizando.

Acción

Muestra información detallada sobre una interfaz configurada para 802.1X (aquí, la interfaz es ge-0/0/16):

Significado

El resultado de ejemplo del comando muestra que es 1. El suplicante que se autenticó y ahora está conectado a la LAN se conoce como en el servidor RADIUS y tiene la dirección MAC.show dot1x interface detailNumber of connected supplicantsuser500:30:48:8C:66:BD El suplicante se autenticó mediante el método de autenticación 802.1X llamado autenticación RADIUS, como se indica en la salida.Radius Cuando se utiliza la autenticación RADIUS, el suplicante se configura en el servidor RADIUS, el servidor RADIUS se lo comunica al conmutador y éste abre el acceso LAN en la interfaz a la que está conectado el suplicante. El resultado de ejemplo también muestra que el suplicante está conectado a VLAN .v200

Otros métodos de autenticación 802.1X admitidos en los conmutadores de la serie EX, además de la autenticación RADIUS, son:

  • VLAN de invitado: a un host que no responde se le concede acceso a la VLAN de invitado.

  • Radio MAC: un host que no responde se autentica en función de su dirección MAC. La dirección MAC se configura según lo permitido en el servidor RADIUS, el servidor RADIUS notifica al conmutador que la dirección MAC es una dirección permitida y el conmutador concede acceso LAN al host que no responde en la interfaz a la que está conectado.

  • Denegación de error del servidor: si se agota el tiempo de espera del servidor RADIUS, a todos los suplicantes se les deniega el acceso a la LAN, lo que impide que el tráfico del suplicante pase por la interfaz. Este es el valor predeterminado.

  • Permiso de error del servidor: cuando el servidor RADIUS no está disponible, se le permite al suplicante el acceso a la LAN como si el servidor RADIUS lo hubiera autenticado correctamente.

  • Caché de uso con error del servidor: si se agota el tiempo de espera de los servidores RADIUS durante la reautenticación, a los suplicantes previamente autenticados se les concede acceso a la LAN, pero a los nuevos suplicantes se les niega el acceso a la LAN.

  • VLAN con error del servidor: un suplicante está configurado para moverse a una VLAN especificada si el servidor RADIUS no está disponible para volver a autenticar al suplicante. (La VLAN ya debe existir en el conmutador).

Resolución de problemas de autenticación de dispositivos finales en conmutadores de la serie EX

Problema

Description

Los dispositivos finales configurados con direcciones MAC estáticas pierden la conexión con el conmutador después de ejecutar el comando clear dot1x interface para borrar todas las direcciones MAC aprendidas.

Antes de borrar las direcciones MAC:

Para borrar las direcciones MAC:

Después de borrar las direcciones MAC:

Tenga en cuenta que no hay dispositivos finales en la lista de omisión de autenticación.

Causa

Las direcciones MAC estáticas se tratan de la misma manera que otras direcciones MAC aprendidas en una interfaz. Cuando se ejecuta el comando clear dot1x interface, borra todas las direcciones MAC aprendidas de la interfaz, incluida la lista estática de omisión de MAC (también conocida como lista de exclusión).

Solución

Si ejecuta el comando clear dot1x interfaces para una interfaz que tiene direcciones MAC estáticas configuradas para la omisión de autenticación, vuelva a agregar las direcciones MAC estáticas a la lista de omisión de MAC estática.

Atributos RADIUS y atributos específicos del proveedor de Juniper Networks (VSA) compatibles con 802.1X

El autenticador (servidor de acceso a la red), el suplicante (cliente) y el servidor de autenticación participan en la autenticación 802.1X (servidor RADIUS). El protocolo RADIUS se utiliza como mecanismo de solicitud/respuesta para la comunicación entre el NAS y el servidor Radius. Hay cero o más valores de longitud de tipo (TLV/Atributos) tanto en las solicitudes como en las respuestas.

El acceso de cada solicitante se puede restringir mediante el uso de un conjunto estándar de características definidas y atributos específicos del proveedor habilitados por 802.1X. (cliente). Algunos atributos se pueden utilizar más de una vez para admitir valores más largos porque el atributo Radius Class tiene un tamaño máximo de 253 bytes.

Ventajas de usar atributos estándar RADIUS y VSA

Para conectarse con un servidor RADIUS externo para autenticación, autorización y contabilidad de suscriptores, se requieren atributos estándar RADIUS.

Los VSA permiten la implementación de numerosas características valiosas que son necesarias para la administración de suscriptores y el soporte del servicio, extendiendo la capacidad del servidor RADIUS más allá de lo que proporcionan los atributos estándar públicos.

Atributos Radius y lista VSA compatibles con 802.1X

Tabla 5 lists the RADIUS Attributes and VSAs supported by 802.1X.
Tabla 5: Atributos Radius y lista VSA compatibles con 802.1X
Tipo Atributo

1

Nombre de usuario

11

Filter-ID

24

Estado

25

Clase

26

Específico del proveedor

27

Tiempo de espera de sesión

56

Egreso-VLANID

57

Nombre de VLAN de salida

64

Tipo de túnel

65

Túnel de tipo medio

81

ID de grupo privado de túnel

85

Acct-Interim-Interval

102

EAP-clave-nombre
Tabla 6lists the Vendor IDs and Juniper VSAs.
Tabla 6: ID de proveedor y VSA de Juniper
ID de proveedor Número VSA de Juniper VSA de Microsoft Cisco VSA
2636 48 Juniper-Switching-Filter    
49 Juniper-VoIP-VLAN
50 Juniper-CWA-Redirect-URL
52 Juniper-AV-Pair =

Rebote de puerto

Juniper-AV-Pair = Juniper Ip-Mac-Session-Binding

Juniper-AV-Pair = No-Mac-Binding-Reauth

Juniper-AV-Pair = Modo suplicante-Single

Juniper-AV-Pair = Modo suplicante-Single-Secure

Juniper-AV-Pair = Retain-Mac-Aged-Session

311 16   MS-MPPE-Send-Key  
17 Clave MS-MPPE-Recv
9 1    

Cisco-AVPair =

&quot;subscriber:command=bounce-host-port&quot;

Cisco-AVPair = &quot;subscriber:command=reauthenticate&quot;

Cisco-AVPair =

&quot;subscriber:reauthenticate-type=rerun&quot;

&quot;subscriber:reauthenticate-type=last&quot;
&quot;url-redirect&quot;

Atributos de RADIUS compatibles con 802.1X

Nombre de usuario:

El nombre del usuario que tiene que ser verificado se indica mediante este atributo. Si están disponibles, se deben usar paquetes de solicitud de acceso para enviar este atributo. El tipo RADIUS para este atributo es 1.

Id. de filtro:

En el servidor RADIUS, las directivas de usuario pueden estar sujetas a un filtro de firewall. El servidor RADIUS se puede utilizar para especificar los filtros de firewall que se aplicarán a cada usuario que envíe una solicitud de autenticación. Cada conmutador debe configurarse con filtros de firewall.

You must set up firewall filter on the local switch in order to apply filter centrally from the RADIUS server.

Agregue el filtro para cada usuario relevante.

Filter-Id = Filter1

To activate the configuration, restart the RADIUS server now.
Nota: Los VSA tienen prioridad sobre los filtros si los filtros de firewall de puerto también se especifican localmente para la interfaz. Los filtros VSA y firewall de puerto local se integran si no entran en conflicto. Además, no se puede implementar más de un filtro en una sola interfaz. Sin embargo, al establecer un único filtro con políticas para cada uno de esos usuarios, puede admitir varios filtros para varios usuarios que estén conectados al conmutador en la misma interfaz.

Estado:

Entre el dispositivo y el servidor RADIUS, la información de estado se puede conservar con el uso del atributo String. El tipo RADIUS para este atributo es 24.

Salida-VLANIDA:

Un VLANID de salida IEEE 802 permitido para este puerto se representa mediante el atributo Egress-VLANID, que también especifica si el VLANID está permitido para tramas etiquetadas o sin etiquetar además de VLANID. El atributo Egress-VLANID se define en In RFC 4675.

Los atributos Egress-VLANID de los paquetes Access-Request, Access-Accept o CoA-Request pueden incluir varios valores. Ningún desafío de acceso, rechazo de acceso, solicitud de desconexión, desconexión-ACK, desconexión-NAK, CoA-ACK o CoA-NAK puede incluir esta característica. Cada atributo agrega la VLAN proporcionada a la lista de VLAN de salida permitidas del puerto.

Si las tramas de la VLAN están etiquetadas (0x31) o sin etiqueta (0x31), el campo Indicación de etiqueta, que tiene un octeto de longitud, lo indica. El VLANID tiene una longitud de 12 bits y contiene el valor VID de VLAN.

Para el ID de VLAN de salida:

Por ejemplo, el siguiente perfil RADIUS incluye una VLAN etiquetada y una VLAN sin etiquetar:

Nombre de VLAN de salida:

Egress-VLAN-Name representa una VLAN permitida para este puerto. Sin embargo, de manera similar al atributo Egress-VLANID, en lugar de usar el ID de VLAN, que está definido o conocido, el nombre de VLAN se usa para identificar la VLAN dentro del sistema. RFC 4675 contiene una definición para el atributo Egress-VLAN-Name.

El nombre de VLAN es la segunda parte del atributo Egress-VLAN-Name de dos partes, que también especifica si las tramas de la VLAN para este puerto deben mostrarse en formato etiquetado o sin etiquetar.

Para Egress-VLAN-Name: 1 = etiquetado y 2 = sin etiquetar

The example below shows that VLAN 1vlan-2 is tagged, while VLAN 2vlan-3 is not.

Tipo de túnel:

Este atributo especifica el protocolo de túnel actualmente en uso o el protocolo de túnel que se utilizará (en el caso de un iniciador de túnel) (en el caso de un terminador de túnel). RFC 2868 especifica el atributo Tunnel-Type. El tipo RADIUS para este atributo es 64

Id. de grupo privado de túnel:

El ID o NOMBRE de VLAN de la sesión se muestra mediante el atributo Tunnel-Medium-Type. El dispositivo comprueba si la cadena que recibe es un nombre de VLAN o un ID después de obtener un valor proporcionado para el atributo Tunnel-Private-Group-ID del radio y comprueba si el dispositivo está configurado con una VLAN.

Si se ha configurado una VLAN, el puerto cliente se agrega a dicha VLAN. De lo contrario, debido a un error en la validación de VLAN, el cliente no estará permitido y se mantendrá en estado de retención.

El tipo RADIUS para este atributo es 81, según RFC 2868.

Acct-Interim-Interval:

El valor del atributo Acct-Interim-Interval representa el intervalo de tiempo en segundos entre cada transmisión de una actualización provisional para una sesión determinada. El número de segundos que han transcurrido desde el último mensaje de actualización de cuentas es el valor de este atributo.

Un administrador también puede establecer un valor mínimo localmente en un cliente RADIUS, sin embargo, este valor siempre tiene prioridad sobre cualquier valor Acct-Interim-Interval detectado en un paquete Access-Accept. El tipo RADIUS para este atributo es 85.

VSA de Juniper Networks

Juniper-Switching-Filter:

El atributo Juniper-Switching-Filter del diccionario Juniper del servidor RADIUS permite especificar criterios de filtro sencillos. Después de eso, cada vez que un nuevo usuario es autorizado con éxito, estos filtros se entregan a un conmutador.

Los conmutadores que utilizan el servidor RADIUS para la autenticación de usuarios construyen y aplican automáticamente los filtros sin necesidad de ninguna configuración específica del conmutador. Introduzca una o más condiciones, acciones y asociaciones de usuario de coincidencia en el servidor RADIUS para configurar la propiedad Juniper-Switching-Filter.

Para filtros de conmutación más largos, utilice varias instancias del atributo Juniper-switching-filter con un límite máximo de 20 condiciones de coincidencia y un tamaño total máximo de 4000 caracteres. La longitud máxima de cualquier atributo de radio es de 253 caracteres, por lo que cada línea del atributo &quot;Juniper-switching-filter&quot; también debe tener menos de 253 caracteres.

Se admiten las siguientes condiciones de coincidencia de filtro:

The following filter actions are supported: To configure match conditions on the RADIUS server:

i) Verifique que el diccionario de Juniper esté cargado en su servidor RADIUS e incluya el atributo de filtrado Juniper-Switching-Filter, atributo ID 48:

ii) Introducir las condiciones y acciones del partido.

Para cada usuario relevante, agregue el atributo Juniper-Switching-Filter. Para denegar o permitir el acceso en función de la MAC de destino, utilice

o

Para denegar o permitir el acceso en función de la dirección IP de destino:

o

Para enviar varios filtros con diferentes coincidencias y acciones:

o

Para establecer la prioridad de pérdida de paquetes (PLP) en alta según una dirección MAC de destino y el protocolo IP:

Nota:

La clase de reenvío debe configurarse en el conmutador para que la opción de clase de reenvío surta efecto. Esta opción no se utiliza si no está especificada en el conmutador. Se deben especificar tanto la prioridad de pérdida de paquetes como la clase de reenvío.

iii) For the configuration to take effect, stop and restart the RADIUS process.

Juniper-VoIP-VLAN:

La VLAN VOIP se recupera del servidor RADIUS mediante la VLAN Juniper-VoIP-VLAN de VSA en un mensaje de aceptación de acceso o un mensaje de solicitud COA. Este atributo es el número 49.

VoIP le permite conectar teléfonos IP al conmutador y configurar la autenticación IEEE 802.1X para teléfonos IP compatibles con 802.1X.

Las LAN Ethernet están protegidas contra el acceso ilegal de los usuarios gracias a la autenticación 802.1X. Un protocolo conocido como VoIP se utiliza para transmitir voz a través de redes conmutadas por paquetes. VoIP utiliza una conexión de red, a diferencia de una línea telefónica analógica, para transmitir llamadas de voz. Cuando VoIP se usa con 802.1X, el servidor RADIUS verifica la identidad del teléfono, mientras que Link Layer Discovery Protocol-Media Endpoint Discovery (LLDP-MED) le da al teléfono los parámetros de clase de servicio (CoS).

Juniper-CWA-Redirect:

Con el VSA Juniper-CWA-Redirect, que es el atributo número 50 en el diccionario RADIUS de Juniper, la URL de redireccionamiento se puede configurar de forma centralizada en el servidor AAA. El filtro de firewall dinámico y la URL son entregados por el servidor AAA al conmutador en el mismo mensaje de aceptación de acceso RADIUS. Como mecanismo de autenticación de reserva, la autenticación web central (CWA) redirige el navegador web del host a un servidor de autenticación web central. El usuario puede introducir un nombre de usuario y una contraseña en la interfaz web del servidor CWA. El usuario se autentica y se le da acceso a la red si el servidor CWA acepta sus credenciales.

Después de que un host falla la autenticación MAC RADIUS, se utiliza la autenticación Web central. El conmutador, que actúa como autenticador, recibe un mensaje de aceptación de acceso RADIUS del servidor AAA que contiene un filtro de firewall dinámico y una URL de redireccionamiento para la autenticación web central.

Para que se active el procedimiento de autenticación web central, es necesario que tanto la URL de redireccionamiento como el filtro de firewall dinámico estén presentes. Para utilizar el VSA Juniper-Switching-Filter para la autenticación web central, debe configurar los términos del filtro directamente en el servidor AAA. El filtro debe incluir un término para que coincida con la dirección IP de destino del servidor CWA con la acción permitida.

Por ejemplo:

Nota:

Para la URL de redireccionamiento, el conmutador no resuelve las consultas DNS. Para habilitar la dirección IP de destino del servidor CWA, debe configurar la propiedad Juniper-Switching-Filter.

Par AV de Juniper:

El atributo Juniper-AV-Pair es un atributo específico del proveedor (VSA) de Juniper Networks. Con el fin de proporcionar numerosas características importantes necesarias para la administración de suscriptores y soporte de servicio, se utiliza para mejorar las capacidades del servidor RADIUS más allá de lo ofrecido por los atributos estándar públicos.

i) Puerto de rebote:

Con el comando CoA bounce host port (inicia un evento link down seguido de un evento link up). El servidor RADIUS envía la solicitud en un mensaje típico de solicitud de CoA con el VSA enumerado a continuación:

Este comando requiere uno o varios de los atributos de identificación de sesión enumerados en la sección &quot;Identificación de sesión&quot; porque está orientado a la sesión. El dispositivo envía un mensaje CoA-NAK con el atributo de código de error &quot;Contexto de sesión no encontrado&quot; si no se puede encontrar la sesión.

El dispositivo cierra el puerto de alojamiento durante 4 segundos, lo habilita de nuevo (rebote del puerto) y, a continuación, devuelve un CoA-ACK si se ha localizado la sesión.

ii) Ip-Mac-Session-Binding:

Esto se utiliza para detener la finalización de la sesión de autenticación para ese dispositivo cuando la dirección MAC de un dispositivo caduca y necesita ser aprendida de nuevo. Recibimos este valor de atributo de un par AV de Juniper de VSA en un mensaje de solicitud de COA o de aceptación de acceso.

Configure el servidor RADIUS con los dos pares atributo-valor siguientes para mantener la sesión de autenticación basada en enlaces de direcciones IP-MAC.

iii) No-Mac-Binding-reauth:

Esto se utiliza para bloquear la reautenticación del cliente y evitar que la sesión de autenticación finalice cuando la dirección MAC de un dispositivo se vuelve obsoleta. Este valor de propiedad nos lo envía un par AV de Juniper VSA en un mensaje de solicitud de COA o de aceptación de acceso.

iv) Modo suplicante único:

The device switches from the current set mode to single in response to receiving this attribute-value from a VSA Juniper-AV-Pair on an access-accept or COA request message.

v) Modo suplicante-único-seguro:

El dispositivo cambia de su modo establecido actual a seguro único en respuesta a recibir este valor de atributo de un VSA Juniper-AV-Pair en un mensaje de aceptación de acceso o solicitud COA.

vi) Retain-Mac-Aged-Session:

If this attribute-value is received from a VSA Juniper-AV-Pair on an access-accept message for an 802.11X client, the client stays active even if the mac has aged out, and the mac is re-learned.

MS-MPPE-Send-Key y MS-MPPE-Recv-Key:

These are the MACSEC CAK generation keys together with the EAP key name that are utilised in dynamic CAK scenarios.

Cisco-AVPair:

Cisco Systems, IANA private enterprise number 9, uses a single VSA, Cisco-AVPair (26-1). Based on the values it has, this VSA transmits various pieces of information. In some subscriber access networks with a BNG connected to a RADIUS server and a Cisco BroadHop application that serves as the Policy Control and Charging Rules Function (PCRF) server for provisioning services using RADIUS change of authorization (CoA) messages, you can use this VSA in RADIUS messages to activate and deactivate services.

Cuando el BNG entrega mensajes RADIUS, no puede cambiar ninguna de las propiedades de las respuestas de contabilidad, CoA o autenticación.

i) Cisco-AVPair = &quot;subscriber:command=bounce-host-port&quot;

Se finaliza una sesión y el puerto rebota mediante el comando CoA bounce host port (inicia un evento de vínculo caído seguido de un evento de vínculo). La solicitud es enviada por el servidor AAA en un mensaje típico de solicitud de CoA con el VSA enumerado a continuación.

Este comando requiere uno o varios de los atributos de identificación de sesión enumerados en la sección &quot;Identificación de sesión&quot; porque está orientado a la sesión. El dispositivo envía un mensaje CoA-NAK con el atributo de código de error &quot;Contexto de sesión no encontrado&quot; si no se puede encontrar la sesión. El dispositivo cierra el puerto de alojamiento durante 4 segundos, lo habilita de nuevo (rebote del puerto) y, a continuación, devuelve un CoA-ACK si se ha localizado la sesión.

ii) Comando Cisco-AVPair Reauthenticate

Para iniciar la autenticación de sesión, el servidor AAA envía un mensaje de solicitud de CoA estándar que contiene los siguientes VSA:

reauthenticate-type define si la solicitud de reautenticación de CoA utiliza el método de autenticación que se realizó por última vez en la sesión o si el proceso de autenticación se vuelve a ejecutar por completo.

"subscriber:command=reauthenticate" debe estar presente para provocar una nueva autenticación. La acción predeterminada es repetir el método de autenticación correcto anterior utilizado para la sesión si no se proporciona &quot;subscriber:reauthenticate-type&quot;. Si el método se vuelve a autenticar correctamente, todos los datos de autorización anteriores se intercambian por los datos de autorización recién reautenticados.

Solo cuando &quot;subscriber:command=reauthenticate&quot; también está presente es válido &quot;subscriber:reauthenticate-type&quot;. El VSA no se tiene en cuenta si está contenido en otro comando de CoA.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
20.2R1
A partir de Junos OS versión 20.2R1, puede configurar la autenticación 802.1X en interfaces de capa 3
18.4R1
A partir de Junos OS versión 18.3R1, puede configurar la autenticación 802.1X en interfaces troncales, lo que permite que el dispositivo de acceso a la red (NAS) autentique un punto de acceso (AP) u otro dispositivo de capa 2 conectado.
17.3R1
A partir de Junos OS versión 17.3, la función de rebote de puerto se puede utilizar para forzar al dispositivo final a iniciar una renegociación DHCP provocando un flap de vínculo en el puerto autenticado.