Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Orden de autenticación flexible en conmutadores de la serie EX

Los conmutadores Junos OS son compatibles con 802.1X, MAC RADIUS y portal cautivo como métodos de autenticación para dispositivos que requieren conectarse a una red. Puede usar la función de orden de autenticación flexible para especificar el orden de los métodos de autenticación que usa el conmutador al intentar autenticar un cliente. Si se configuran varios métodos de autenticación en una sola interfaz, cuando se produce un error en un método de autenticación, el conmutador vuelve a otro método. Para obtener más información, lea este tema.

Configuración de orden de autenticación flexible

Puede usar la función de orden de autenticación flexible para especificar el orden de los métodos de autenticación que usa el conmutador al intentar autenticar un cliente. Si se configuran varios métodos de autenticación en una sola interfaz, cuando se produce un error en un método de autenticación, el conmutador vuelve a otro método.

De forma predeterminada, el conmutador intenta autenticar un cliente con la autenticación 802.1X primero. Si se produce un error en la autenticación 802.1X porque no hay respuesta del cliente, y la autenticación DE RADIO MAC está configurada en la interfaz, el conmutador intentará autentificación con RADIO MAC. Si se produce un error en EL RADIO MAC y el portal cautivo está configurado en la interfaz, el conmutador intenta la autenticación mediante el portal cautivo.

Con un orden de autenticación flexible, la secuencia del método de autenticación utilizada se puede cambiar según el tipo de clientes conectados a la interfaz. Puede configurar la instrucción para especificar si la authentication-order autenticación 802.1X o la autenticación DE RADIO MAC deben ser el primer método de autenticación probado. El portal cautivo siempre es el último método de autenticación probado.

Si la autenticación RADIUS MAC se configura como el primer método de autenticación en el orden, a continuación, al recibir datos de cualquier cliente, el conmutador intenta autenticar el cliente mediante la autenticación MAC RADIUS. Si se produce un error en la autenticación MAC RADIUS, el conmutador utiliza la autenticación 802.1X para autenticar al cliente. Si se produce un error en la autenticación 802.1X y se configura el portal cautivo en la interfaz, el conmutador intenta la autenticación mediante el portal cautivo.

Nota:

Si la autenticación 802.1X y la autenticación MAC RADIUS fallan, y el portal cautivo no está configurado en la interfaz, se niega al cliente el acceso a la LAN a menos que se configure un método de reserva de falla del servidor. Consulte Configurar la reserva de falla del servidor RADIUS (procedimiento de CLI) para obtener más información.

Se pueden usar diferentes métodos de autenticación en paralelo en una interfaz configurada en modo de varios suplicantes. Por lo tanto, si un dispositivo final se autentica en la interfaz mediante el portal cautivo, se puede autenticar otro dispositivo final conectado a esa interfaz mediante la autenticación 802.1X o MAC RADIUS.

Antes de configurar el orden de autenticación flexible en una interfaz, asegúrese de que los métodos de autenticación estén configurados en esa interfaz. El conmutador no intenta la autenticación mediante un método que no está configurado en la interfaz, incluso si ese método se incluye en el orden de autenticación; el conmutador omite ese método e intenta el siguiente método en el orden de autenticación habilitado en esa interfaz.

Utilice las siguientes pautas al configurar la authentication-order instrucción:

  • El orden de autenticación debe incluir al menos dos métodos de autenticación.

  • La autenticación 802.1X debe ser uno de los métodos incluidos en el orden de autenticación.

  • Si el portal cautivo se incluye en el orden de autenticación, debe ser el último método del orden.

  • Si mac-radius-restrict está configurado en una interfaz, entonces el orden de autenticación no se puede configurar en esa interfaz.

Para configurar un pedido de autenticación flexible, utilice una de las siguientes combinaciones válidas:

Nota:

El orden de autenticación se puede configurar globalmente mediante la interface all opción, así como localmente mediante el nombre de interfaz individual. Si el orden de autenticación está configurado tanto para una interfaz individual como para todas las interfaces, la configuración local de esa interfaz anula la configuración global.

  • Para configurar la autenticación 802.1X como el primer método de autenticación, seguido de la autenticación MAC RADIUS y, luego, el portal cautivo:
  • Para configurar la autenticación 802.1X como el primer método de autenticación, seguido por el portal cautivo:
  • Para configurar la autenticación 802.1X como el primer método de autenticación, seguido de la autenticación MAC RADIUS:
  • Para configurar la autenticación MAC RADIUS como el primer método de autenticación, seguido de 802.1X, seguido por el portal cautivo:

Después de configurar el orden de autenticación, debe usar el insert comando para realizar cualquier modificación en el pedido de autenticación. El uso del set comando no cambia el orden configurado.

Para cambiar el orden de autenticación después de la configuración inicial:

Por ejemplo, para cambiar el pedido de [mac-radius dot1x captive portal] :[dot1x mac-radius captive portal]

Configuración del bloque EAPoL para mantener una sesión de autenticación existente

Cuando un conmutador que actúa como un autenticador 802.1X recibe un mensaje EAP-Start de un cliente autenticado, el conmutador intenta volver a autenticar al cliente mediante el método 802.1X y normalmente devuelve un mensaje EAP-Request y espera una respuesta. Si el cliente no puede responder, el conmutador intenta autenticar de nuevo al cliente mediante EL RADIO MAC o el método del portal cautivo si se configuraron estos métodos. Los clientes que se autenticaron mediante MAC RADIUS o autenticación de portal cautivo no responden y el tráfico se cae en la interfaz a medida que el conmutador intenta volver a autentificación.

Si configuró el orden de autenticación flexible en la interfaz para que MAC RADIUS sea el primer método que se usa para autenticar un cliente, el conmutador aún vuelve a usar 802.1X para volver a autentificar si el cliente envía un mensaje EAP-Start, incluso si el cliente se autentifica correctamente mediante la autenticación MAC RADIUS. Puede configurar un bloque EAPoL con un pedido de autenticación fijo o flexible. Si no configura la authentication-order instrucción, el pedido se fija de forma predeterminada. La eapol-block instrucción se puede configurar con o sin configurar la authentication-order instrucción.

Puede configurar un conmutador para que ignore los mensajes EAP-Start enviados desde un cliente que se autentifica mediante la autenticación MAC RADIUS o la autenticación del portal cautivo mediante la eapol-block instrucción. Con un bloque de mensajes EAPoL en vigor, si el conmutador recibe un mensaje EAP-Start del cliente, no devuelve un mensaje eap-request y se mantiene la sesión de autenticación existente.

Nota:

Si el punto de conexión no se ha autenticado con autenticación MAC RADIUS o autenticación de portal cautivo, el bloque EAPoL no surte efecto. El punto de conexión puede autenticarse mediante la autenticación 802.1X.

Si eapol-block está configurado con la mac-radius opción, después de que el cliente se autentifica con autenticación MAC RADIUS o CWA (autenticación web central), el cliente permanece en estado autenticado incluso si envía un mensaje EAP-Start. Si eapol-block está configurado con la captive-portal opción, una vez que el cliente se autentifica con el portal cautivo, el cliente permanece en estado autenticado incluso si envía un mensaje EAP-Start.

Nota:

Esta función se admite en conmutadores EX4300 y EX9200.

Para configurar un bloque de mensajes EAPoL para mantener una sesión de autenticación existente:

  • Para configurar el bloque EAPoL para un cliente autenticado mediante la autenticación MAC RADIUS:
  • Para configurar el bloque EAPoL para un cliente autenticado mediante autenticación de portal cautivo: