Orden de autenticación flexible en conmutadores de la serie EX
Los conmutadores Junos OS son compatibles con 802.1X, MAC RADIUS y el portal cautivo como métodos de autenticación para dispositivos que requieren conectarse a una red. Puede usar la característica de orden de autenticación flexible para especificar el orden de los métodos de autenticación que utiliza el conmutador cuando intenta autenticar a un cliente. Si se configuran varios métodos de autenticación en una sola interfaz, cuando se produce un error en un método de autenticación, el conmutador vuelve a pasar a otro método. Para obtener más información, lea este tema.
Configuración de un orden de autenticación flexible
Puede usar la característica de orden de autenticación flexible para especificar el orden de los métodos de autenticación que utiliza el conmutador cuando intenta autenticar a un cliente. Si se configuran varios métodos de autenticación en una sola interfaz, cuando se produce un error en un método de autenticación, el conmutador vuelve a pasar a otro método.
De forma predeterminada, el conmutador intenta autenticar un cliente mediante la autenticación 802.1X primero. Si la autenticación 802.1X falla porque no hay respuesta del cliente y la autenticación MAC RADIUS está configurada en la interfaz, el conmutador intentará autenticar con MAC RADIUS. Si MAC RADIUS falla y el portal cautivo está configurado en la interfaz, el conmutador intenta autenticar mediante el portal cautivo.
Con un orden de autenticación flexible, la secuencia del método de autenticación utilizado se puede cambiar según el tipo de clientes conectados a la interfaz. Puede configurar la instrucción para especificar si la authentication-order autenticación 802.1X o la autenticación MAC RADIUS deben ser el primer método de autenticación probado. El portal cautivo siempre es el último método de autenticación probado.
Si la autenticación mac RADIUS está configurada como el primer método de autenticación en el orden, al recibir datos de cualquier cliente, el conmutador intenta autenticar el cliente mediante la autenticación MAC RADIUS. Si se produce un error en la autenticación de MAC RADIUS, el conmutador usa la autenticación 802.1X para autenticar al cliente. Si se produce un error en la autenticación 802.1X y se configura el portal cautivo en la interfaz, el conmutador intenta autenticar mediante el portal cautivo.
Si la autenticación 802.1X y la autenticación MAC RADIUS fallan y el portal cautivo no está configurado en la interfaz, se niega al cliente el acceso a la LAN a menos que se configure un método de reserva por error del servidor. Consulte Configuración de errores del servidor RADIUS (procedimiento de CLI) para obtener más información.
Se pueden usar diferentes métodos de autenticación en paralelo en una interfaz configurada en modo de suplicante múltiple. Por lo tanto, si un dispositivo final se autentica en la interfaz mediante el portal cautivo, otro dispositivo final conectado a esa interfaz aún se puede autenticar mediante la autenticación 802.1X o MAC RADIUS.
Antes de configurar el orden de autenticación flexible en una interfaz, asegúrese de que los métodos de autenticación estén configurados en esa interfaz. El conmutador no intenta autenticación con un método que no esté configurado en la interfaz, incluso si ese método se incluye en el orden de autenticación; el conmutador ignora ese método e intenta el siguiente método en el orden de autenticación que está habilitado en esa interfaz.
Utilice las siguientes instrucciones al configurar la authentication-order instrucción:
El orden de autenticación debe incluir al menos dos métodos de autenticación.
La autenticación 802.1X debe ser uno de los métodos incluidos en el orden de autenticación.
Si el portal cautivo se incluye en el orden de autenticación, debe ser el último método del pedido.
Si
mac-radius-restrictestá configurado en una interfaz, el orden de autenticación no se puede configurar en esa interfaz.
Para configurar un orden de autenticación flexible, utilice una de las siguientes combinaciones válidas:
El orden de autenticación se puede configurar globalmente mediante la interface all opción, así como localmente mediante el nombre de interfaz individual. Si el orden de autenticación está configurado tanto para una interfaz individual como para todas las interfaces, la configuración local de esa interfaz invalida la configuración global.
Después de configurar el orden de autenticación, debe usar el insert comando para realizar cualquier modificación en el orden de autenticación. El uso del set comando no cambia el orden configurado.
Para cambiar el orden de autenticación después de la configuración inicial:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order authentication-method before authentication-method
Por ejemplo, para cambiar el orden de [mac-radius dot1x captive portal] a [dot1x mac-radius captive portal]:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order dot1x before mac-radius
Consulte también
Configuración del bloque EAPoL para mantener una sesión de autenticación existente
Cuando un conmutador que actúa como autenticador 802.1X recibe un mensaje EAP-Start de un cliente autenticado, el conmutador intenta volver a autenticar el cliente mediante el método 802.1X y normalmente devuelve un mensaje de solicitud de EAP y espera una respuesta. Si el cliente no responde, el conmutador intenta volver a autenticar el cliente mediante MAC RADIUS o método de portal cautivo si estos métodos están configurados. Los clientes que se autenticaron mediante MAC RADIUS o la autenticación de portal cautivo no responden, y el tráfico se pierde en la interfaz a medida que el conmutador intenta volver a autentificarse.
Si configuró el orden de autenticación flexible en la interfaz de modo que MAC RADIUS sea el primer método utilizado para autenticar un cliente, el conmutador aún revierte a 802.1X para volver a autenticar si el cliente envía un mensaje EAP-Start, incluso si el cliente se autentifica correctamente mediante la autenticación mac RADIUS. Puede configurar un bloque EAPoL con un orden de autenticación fijo o flexible. Si no configura la authentication-order instrucción, el orden se fija de forma predeterminada. La eapol-block instrucción se puede configurar con o sin la configuración de la authentication-order instrucción.
Puede configurar un conmutador para ignorar los mensajes de EAP-Start enviados desde un cliente que se ha autenticado mediante la autenticación MAC RADIUS o la autenticación de portal cautivo mediante la eapol-block instrucción. Con un bloque de mensajes EAPoL en vigor, si el conmutador recibe un mensaje EAP-Start del cliente, no devuelve un mensaje de solicitud EAP y se mantiene la sesión de autenticación existente.
Si el punto de conexión no se ha autenticado con autenticación MAC RADIUS o autenticación de portal cautivo, el bloque EAPoL no tendrá efecto. El punto de conexión puede autenticarse mediante la autenticación 802.1X.
Si eapol-block está configurado con la mac-radius opción, una vez que el cliente se autentifica con autenticación MAC RADIUS o CWA (autenticación web central), el cliente permanece en estado autenticado incluso si envía un mensaje EAP-Start. Si eapol-block está configurado con la captive-portal opción, una vez que el cliente se autentifica con el portal cautivo, el cliente permanece en estado autenticado incluso si envía un mensaje EAP-Start.
Esta función se admite en conmutadores EX4300 y EX9200.
Para configurar un bloque de mensajes EAPoL para mantener una sesión de autenticación existente: