Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Pedido de autentificación flexible en los conmutadores de la serie EX

Los conmutadores de Junos OS admiten 802.1 X, MAC RADIUS y portal cautivo como métodos de autenticación para los dispositivos que necesitan conectarse a una red. Puede utilizar la función orden de autenticación flexible para especificar el orden de los métodos de autenticación que utiliza el conmutador al intentar autenticar un cliente. Si se configuran varios métodos de autenticación en una sola interfaz, cuando un método de autenticación falle, el conmutador retrocede a otro método. Para obtener más información, lea este tema.

Configuración de pedido de autenticación flexible

Puede utilizar la función orden de autenticación flexible para especificar el orden de los métodos de autenticación que utiliza el conmutador al intentar autenticar un cliente. Si se configuran varios métodos de autenticación en una sola interfaz, cuando un método de autenticación falle, el conmutador retrocede a otro método.

De forma predeterminada, el conmutador intenta autenticar un cliente utilizando en primer lugar la autenticación 802.1 X. Si la autenticación de 802.1 X falla porque no hay respuesta del cliente y se configura la autenticación de MAC RADIUS en la interfaz, el conmutador intentará la autenticación a través de RADIUS de MAC. Si el RADIUS de MAC falla, y se configura el portal cautivo en la interfaz, el conmutador intenta autenticarse usando un portal cautivo.

Con una orden de autenticación flexible, la secuencia de método de autenticación utilizada se puede cambiar en función del tipo de clientes conectados a la interfaz. Puede configurar la authentication-order instrucción para especificar si la autenticación de 802.1 x o de Mac RADIUS debe ser el primer método de autenticación intentado. El portal cautivo siempre es el último método de autenticación que ha intentado.

Si la autenticación de RADIUS de MAC se configura como el método de primera autenticación en el orden, al recibir datos desde cualquier cliente, el conmutador intenta autenticar el cliente mediante la autenticación de RADIUS MAC. Si se produce un error en la autenticación de RADIUS MAC, el conmutador utilizará autenticación de 802.1 X para autenticar el cliente. Si falla la autenticación de 802.1 X y se configura el portal cautivo en la interfaz, el conmutador intenta autenticarse usando un portal cautivo.

Nota:

Si falla la autenticación de 802.1 X y la autenticación de RADIUS de MAC, y el portal cautivo no está configurado en la interfaz, se denegará el acceso del cliente a la LAN a menos que se configure un método de reserva de un servidor sin éxito. Para obtener más información , consulte configuring RADIUS Server FAIL Fallback (procedimiento de CLI) .

En paralelo se pueden utilizar distintos métodos de autenticación en una interfaz configurada en modo de varios suplicantes. Por lo tanto, si un dispositivo final se autentica en la interfaz mediante un portal cautivo, todavía se puede autenticar otro dispositivo final conectado a dicha interfaz utilizando la autenticación 802.1 X o MAC RADIUS.

Antes de configurar el orden de autenticación flexible en una interfaz, asegúrese de que los métodos de autenticación se configuran en dicha interfaz. El modificador no intenta realizar la autenticación utilizando un método que no está configurado en la interfaz, aunque dicho método esté incluido en el orden de autenticación; el modificador omite ese método e intenta el siguiente método del orden de autenticación que está habilitado en dicha interfaz.

Siga estas directrices a la hora de authentication-order configurar el extracto:

  • El orden de autenticación debe incluir al menos dos métodos de autenticación.

  • 802.1 x la autenticación debe ser uno de los métodos incluidos en el orden de autenticación.

  • Si se incluye un portal cautivo en el pedido de autenticación, debe ser el último método en el pedido.

  • Si mac-radius-restrict está configurado en una interfaz, no se puede configurar el orden de autenticación en dicha interfaz.

Para configurar un orden de autenticación flexible, utilice una de las siguientes combinaciones válidas:

Nota:

El orden de autenticación puede configurarse globalmente interface all mediante la opción, además de utilizar localmente el nombre de la interfaz individual. Si se configura el orden de autenticación tanto para una interfaz individual como para todas las interfaces, la configuración local de esa interfaz invalida la configuración global.

  • Para configurar la autenticación de 802.1 X como primer método de autenticación, seguido de la autenticación de MAC RADIUS y el portal cautivo:
  • Para configurar la autenticación 802.1 X como primer método de autenticación, seguido del portal cautivo:
  • Para configurar la autenticación de 802.1 X como el primer método de autenticación, seguido de la autenticación de MAC RADIUS:
  • Para configurar la autenticación de RADIUS de MAC como el método de primera autenticación, seguido por 802.1 X, seguido de portal cautivo:

Después de configurar el orden de autenticación, debe usar el insert comando para realizar cualquier modificación en el orden de autenticación. El uso set del comando no cambia el orden configurado.

Para cambiar el orden de autenticación después de la configuración inicial:

Por ejemplo, para cambiar el orden de [mac-radius dot1x captive portal] a [dot1x mac-radius captive portal]:

Configurando el bloque EAPoL para mantener una sesión de autenticación existente

Cuando un conmutador que actúa como autenticador de 802.1 X recibe un mensaje de inicio EAP de un cliente autenticado, intenta volver a autenticar al cliente mediante el método 802.1 X y, normalmente, devuelve un mensaje de solicitud EAP y espera una respuesta. Si el cliente no responde, el conmutador intenta volver a autenticar el cliente mediante MAC RADIUS o el método del portal cautivo si se configuraron estos métodos. Los clientes que se han autenticado mediante el RADIUS o la autenticación de portal cautivo no responden, y el tráfico se descarta en la interfaz mientras el conmutador intenta volverse a autenticar.

Si configuró el orden de autenticación flexible en la interfaz, de modo que MAC RADIUS es el primer método utilizado para autenticar un cliente, el conmutador sigue revertido al uso de 802.1 X para la autenticación si el cliente envía un mensaje EAP-Start, incluso si el cliente estaba autenticado correctamente con la autenticación de RADIUS MAC. Puede configurar un bloque de EAPoL con un orden de autenticación fijo o flexible. Si no configura la authentication-order instrucción, el orden será fijo de forma predeterminada. La eapol-block instrucción puede configurarse con o sin la authentication-order configuración de la instrucción.

Puede configurar un modificador para omitir los mensajes de inicio de EAP enviados desde un cliente que se ha autenticado mediante el uso de la autenticación de eapol-block RADIUS de Mac o del portal cautivo mediante la instrucción. Con un bloque de mensajes EAPoL en vigor, si el conmutador recibe un mensaje de inicio EAP del cliente, no devuelve un mensaje de solicitud EAP y se mantiene la sesión de autenticación existente.

Nota:

Si el extremo no se ha autenticado con autenticación de MAC RADIUS o autenticación de portales cautivos, el bloque EAPoL no surte efecto. El punto de conexión puede autenticarse mediante autenticación 802.1 X.

Si eapol-block se configura con la mac-radius opción, una vez que el cliente se ha autenticado con Mac RADIUS autenticación o CWA (autenticación Web central), permanece en el estado autenticado aunque envíe un mensaje de inicio EAP. Si eapol-block está configurado con la captive-portal opción, una vez que el cliente se ha autenticado con un portal cautivo, el cliente permanece en el estado autenticado aunque envíe un mensaje de inicio EAP.

Nota:

Esta característica es compatible con los conmutadores EX4300 y EX9200.

Para configurar un bloque de mensajes EAPoL para mantener una sesión de autenticación existente:

  • Para configurar el bloque EAPoL para un cliente autenticado mediante la autenticación de RADIUS MAC:
  • Para configurar el bloque EAPoL para un cliente autenticado mediante el uso de autenticación del portal cautivo: