Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Métodos de autenticación de control de acceso

Puede controlar el acceso a la red a través de un dispositivo mediante varias autentificaciones diferentes. Los dispositivos Junos OS admiten 802.1X, MAC RADIUS y el portal cautivo como métodos de autenticación para dispositivos que requieren conectarse a una red. Lea este tema para obtener más información.

Descripción general de la autenticación

Puede controlar el acceso a su red a través de un dispositivo de Juniper Networks mediante métodos de autenticación como 802.1X, MAC RADIUS o portal cautivo. La autenticación impide que los dispositivos y usuarios no autenticados obtengan acceso a su LAN. Para la autenticación 802.1X y MAC RADIUS, los dispositivos finales deben autenticarse antes de recibir una dirección IP de un servidor de Protocolo de configuración dinámica de host (DHCP). Para la autenticación de portal cautivo, el dispositivo permite que los dispositivos finales adquieran una dirección IP para redirigirlos a una página de inicio de sesión para la autenticación.

Autenticación 802.1X

802.1X es un estándar IEEE para el control de acceso a la red basado en puertos (PNAC). Proporciona un mecanismo de autenticación para dispositivos que buscan acceder a una LAN. La función de autenticación 802.1X se basa en el control de acceso a la red basado en puertos estándar IEEE 802.1X.

El protocolo de comunicación entre el dispositivo final y el dispositivo es el Protocolo de autenticación extensible a través de LAN (EAPoL). EAPoL es una versión de EAP diseñada para funcionar con redes Ethernet. El protocolo de comunicación entre el servidor de autenticación y el dispositivo es RADIUS.

Durante el proceso de autenticación, el dispositivo completa varios intercambios de mensajes entre el dispositivo final y el servidor de autenticación. Mientras la autenticación 802.1X está en proceso, solo el tráfico 802.1X y el tráfico de control pueden transitar por la red. Otro tráfico, como el tráfico DHCP y el tráfico HTTP, se bloquea en la capa de vínculo de datos.

Nota:

Puede configurar tanto el número máximo de veces que se retransmite un paquete de solicitud EAPoL como el período de tiempo de espera entre intentos. Para obtener información, consulte Configuración de la interfaz 802.1X (procedimiento de la CLI).

Una configuración de autenticación 802.1X para una LAN contiene tres componentes básicos:

Supplicant (also called end device)

Suplicante es el término IEEE para un dispositivo final que solicita unirse a la red. El dispositivo final puede responder o no responder. Un dispositivo final responsivo está habilitado para 802.1X y proporciona credenciales de autenticación mediante EAP. Las credenciales necesarias dependen de la versión de EAP que se use, específicamente, un nombre de usuario y una contraseña para EAP MD5 o un nombre de usuario y certificados de cliente para Seguridad de capa de transporte del Protocolo de autenticación extensible (EAP-TLS), Seguridad de la capa de transporte tunelizada (EAP-TTLS) y EAP protegido (PEAP).

Puede configurar una VLAN de rechazo de servidor para proporcionar acceso LAN limitado a los dispositivos finales habilitados para 802.1X con capacidad de respuesta que enviaron credenciales incorrectas. Una VLAN de rechazo de servidor puede proporcionar una conexión correctiva, normalmente solo a Internet, para estos dispositivos. Consulte Ejemplo: Configuración de opciones de reserva en conmutadores de la serie EX para clientes de autenticación EAP-TTLS y Odyssey Access para obtener información adicional.

Nota:

Si el dispositivo final que se autentica mediante la VLAN de rechazo del servidor es un teléfono IP, el tráfico de voz se interrumpe.

Un dispositivo final que no responde es aquel que no está habilitado para 802.1X. Se puede autenticar mediante la autenticación MAC RADIUS.

Authenticator port access entity

El término IEEE para el autenticador. El dispositivo es el autenticador y controla el acceso bloqueando todo el tráfico hacia y desde los dispositivos finales hasta que se autentiquen.

Authentication server

El servidor de autenticación contiene la base de datos back-end que toma decisiones de autenticación. Contiene información de credenciales para cada dispositivo final que se autentica para conectarse a la red. El autenticador reenvía las credenciales proporcionadas por el dispositivo final al servidor de autenticación. Si las credenciales reenviadas por el autenticador coinciden con las credenciales de la base de datos del servidor de autenticación, se concede acceso. Si las credenciales reenviadas no coinciden, se deniega el acceso.

Nota:

No puede configurar la autenticación 802.1X en grupos troncales redundantes (RTG). Para obtener más información acerca de los RTG, consulte Descripción de vínculos troncales redundantes (configuración de RTG heredada).

Autenticación MAC RADIUS

El método de autenticación 802.1X solo funciona si el dispositivo final está habilitado para 802.1X, pero muchos dispositivos de red de propósito único, como impresoras y teléfonos IP, no admiten el protocolo 802.1X. Puede configurar la autenticación MAC RADIUS en interfaces conectadas a dispositivos de red que no admiten 802.1X y a los que desea permitir el acceso a la LAN. Cuando se detecta un dispositivo final que no está habilitado para 802.1X en la interfaz, el dispositivo transmite la dirección MAC del dispositivo al servidor de autenticación. A continuación, el servidor intenta hacer coincidir la dirección MAC con una lista de direcciones MAC en su base de datos. Si la dirección MAC coincide con una dirección de la lista, se autenticará el dispositivo final.

Puede configurar los métodos de autenticación 802.1X y MAC RADIUS en la interfaz. En este caso, el dispositivo primero intenta autenticar el dispositivo final mediante 802.1X y, si se produce un error en ese método, intenta autenticar el dispositivo final mediante la autenticación MAC RADIUS. Si sabe que solo los suplicantes que no responden se conectan en esa interfaz, puede eliminar el retraso que se produce para que el dispositivo determine que el dispositivo final no está habilitado para 802.1X configurando la mac-radius restrict opción. Cuando se configura esta opción, el dispositivo no intenta autenticar el dispositivo final mediante la autenticación 802.1X, sino que envía inmediatamente una solicitud al servidor RADIUS para la autenticación de la dirección MAC del dispositivo final. Si la dirección MAC de ese dispositivo final está configurada como una dirección MAC válida en el servidor RADIUS, el dispositivo abre el acceso LAN al dispositivo final en la interfaz a la que está conectado.

La mac-radius-restrict opción es útil cuando no se necesitan otros métodos de autenticación 802.1X, como VLAN invitada, en la interfaz. Si configura mac-radius-restrict en una interfaz, el dispositivo descarta todos los paquetes 802.1X.

Los protocolos de autenticación admitidos para la autenticación MAC RADIUS son EAP-MD5, que es el predeterminado, EAP protegido (EAP-PEAP) y Protocolo de autenticación de contraseña (PAP). Puede especificar el protocolo de autenticación que se utilizará para la autenticación MAC RADIUS mediante la authentication-protocol instrucción.

Autenticación de portal cautivo

La autenticación de portal cautivo (en adelante, portal cautivo) le permite autenticar usuarios redirigiendo las solicitudes del explorador web a una página de inicio de sesión que requiere que los usuarios ingresen un nombre de usuario y una contraseña válidos antes de poder acceder a la red. El portal cautivo controla el acceso a la red solicitando a los usuarios que proporcionen información autenticada en una base de datos del servidor RADIUS mediante EAP-MD5. También puede usar el portal cautivo para mostrar una política de uso aceptable a los usuarios antes de que accedan a su red.

Junos OS proporciona una plantilla que le permite diseñar y modificar fácilmente el aspecto de la página de inicio de sesión del portal cautivo. Habilitar interfaces específicas para el portal cautivo. La primera vez que un dispositivo final conectado a una interfaz de portal cautivo intenta acceder a una página web, el dispositivo presenta la página de inicio de sesión del portal cautivo. Una vez que el dispositivo se autentica correctamente, se le permite el acceso a la red y continuar con la página original solicitada.

Nota:

Si HTTPS está habilitado, las solicitudes HTTP se redirigen a una conexión HTTPS para el proceso de autenticación del portal cautivo. Después de la autenticación, el dispositivo final vuelve a la conexión HTTP.

Si hay dispositivos finales que no están habilitados para HTTP conectados a la interfaz del portal cautivo, puede permitir que omitan la autenticación del portal cautivo agregando sus direcciones MAC a una lista blanca de autenticación.

Cuando el servidor RADIUS autentica a un usuario, las políticas por usuario (atributos) asociadas con ese usuario también se envían al dispositivo.

El portal cautivo tiene las siguientes limitaciones:

    • El portal cautivo no admite la asignación dinámica de VLAN descargadas del servidor RADIUS.

    • Si el usuario permanece inactivo durante más de unos 5 minutos y no hay tráfico pasado, el usuario debe volver a iniciar sesión en el portal cautivo.

Derivación MAC estática de autenticación

Puede permitir que los dispositivos finales accedan a la LAN sin autenticación en un servidor RADIUS incluyendo sus direcciones MAC en la lista estática de omisión de MAC (también conocida como lista de exclusión).

Puede optar por incluir un dispositivo en la lista de omisión para:

  • Permitir el acceso a la LAN de dispositivos que no estén habilitados para 802.1X.

  • Elimine el retraso que se produce para que el dispositivo determine que un dispositivo conectado es un host no habilitado para 802.1X.

Cuando se configura MAC estática, la dirección MAC del dispositivo final se comprueba primero en una base de datos local (una lista de direcciones MAC configurada por el usuario). Si se encuentra una coincidencia, el dispositivo final se autentica correctamente y la interfaz se abre para él. No se realiza ninguna autenticación adicional para ese dispositivo final. Si no se encuentra una coincidencia y la autenticación 802.1X está habilitada en el dispositivo, el dispositivo intenta autenticar el dispositivo final a través del servidor RADIUS.

Para cada dirección MAC, también puede configurar la VLAN a la que se mueve el dispositivo final o las interfaces en las que se conecta el host.

Nota:

Cuando borra las direcciones MAC aprendidas de una interfaz, utilizando el clear dot1x interface comando, se borran todas las direcciones MAC, incluidas las de la lista de omisión de MAC estática.

Respaldo de métodos de autenticación

Puede configurar la autenticación 802.1X, MAC RADIUS y de portal cautivo en una sola interfaz para habilitar el respaldo a otro método si se produce un error en la autenticación por un método. Los métodos de autenticación se pueden configurar en cualquier combinación, excepto que no puede configurar tanto MAC RADIUS como el portal cautivo en una interfaz sin configurar también 802.1X. De forma predeterminada, la mayoría de los dispositivos utilizan el siguiente orden de métodos de autenticación:

  1. Autenticación 802.1X: si 802.1X está configurado en la interfaz, el dispositivo envía solicitudes EAPoL al dispositivo final e intenta autenticarlo mediante la autenticación 802.1X. Si el dispositivo final no responde a las solicitudes EAP, el dispositivo comprueba si la autenticación MAC RADIUS está configurada en la interfaz.

  2. Autenticación MAC RADIUS: si la autenticación MAC RADIUS está configurada en la interfaz, el dispositivo envía la dirección MAC RADIUS del dispositivo final al servidor de autenticación. Si la autenticación MAC RADIUS no está configurada, el dispositivo comprueba si el portal cautivo está configurado en la interfaz.

  3. Autenticación de portal cautivo: si el portal cautivo está configurado en la interfaz, el dispositivo intenta autenticar el dispositivo final mediante este método después de que hayan fallado los demás métodos de autenticación configurados en la interfaz.

Para obtener una ilustración del flujo de proceso predeterminado cuando se configuran varios métodos de autenticación en una interfaz, consulte Descripción del control de acceso en conmutadores.

Puede anular el orden predeterminado para la reserva de métodos de autenticación configurando la instrucción authentication-order para especificar que el dispositivo utilice primero la autenticación 802.1X o la autenticación MAC RADIUS. El portal cautivo siempre debe ser el último en el orden de los métodos de autenticación. Para obtener más información, consulte Configuración del orden de autenticación flexible.

Nota:

Si una interfaz está configurada en modo de súplica múltiple, los dispositivos finales que se conectan a través de la interfaz se pueden autenticar utilizando diferentes métodos en paralelo. Por lo tanto, si un dispositivo final en la interfaz se autenticó después de recurrir al portal cautivo, aún se pueden autenticar dispositivos finales adicionales mediante la autenticación 802.1X o MAC RADIUS.