Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración del servidor RADIUS para autenticación

Juniper Networks conmutadores Ethernet utilizan 802.1 X, MAC RADIUS o un portal cautivo para proporcionar control de acceso a los dispositivos o a los usuarios. Cuando se configuran las autenticaciones del portal 802.1 X, MAC RADIUS o cautivo en el conmutador, los dispositivos de fin se evalúan en la conexión inicial mediante un servidor de autenticación (RADIUS). Para usar 802.1 X o MAC RADIUS autenticación, debe especificar las conexiones del conmutador de cada servidor de RADIUS al que desea conectarse. Lea este tema para obtener más información.

Especificación de conexiones del servidor RADIUS en conmutadores (procedimiento de la CLI)

IEEE autenticación 802.1X y MAC RADIUS proporcionan seguridad de borde de red, lo que protege las LAN Ethernet del acceso de usuario no autorizado mediante el bloqueo de todo el tráfico hacia y desde los dispositivos en la interfaz hasta que las credenciales o la dirección MAC del suplicante se presentan y se hacen coincidir en el servidor de autenticación (un servidor RADIUS). Cuando el solicitante se autentica, el conmutador deja de bloquear el acceso y abre la interfaz al suplicante.

Para usar 802.1 X o MAC RADIUS autenticación, debe especificar las conexiones del conmutador para cada servidor de RADIUS al que se conectará.

Para configurar varios servidores RADIUS, incluya varias radius-server instrucciones. Cuando se configuran varios servidores, se accede a los servidores en orden de configuración, de forma predeterminada. El primer servidor configurado es el servidor principal. Si el servidor principal no es accesible, el enrutador intenta comunicarse con el segundo servidor configurado, y así sucesivamente. Puede equilibrar la carga de las solicitudes mediante la configuración del método round-robin. Los servidores se prueban en orden y de manera completa hasta que se recibe una respuesta válida de uno de los servidores o hasta que se alcancen todos los límites de reintento configurados.

También puede configurar un nombre de dominio completo (FQDN) que se resuelva en una o más direcciones IP. Consulte Especificación de conexiones del servidor RADIUS en conmutadores (procedimiento de la CLI)la.

Para configurar un servidor RADIUS en el conmutador:

  1. Configure la dirección IP del servidor RADIUS servidor, RADIUS número de puerto de autenticación del servidor y la contraseña confidencial. La contraseña confidencial del conmutador debe coincidir con la contraseña secreto del servidor.
    Nota:

    Especificar el puerto de autenticación es opcional, y el puerto 1812 es el predeterminado. Sin embargo, recomendamos que la configure para evitar confusiones, ya que algunos RADIUS servidores podrían hacer referencia a un valor predeterminado antiguo.

  2. Adicional Especifique la dirección IP por la que el servidor RADIUS ha identificado al conmutador. Si no especifica la dirección IP, el servidor RADIUS utilizará la dirección de la interfaz que envía la solicitud de RADIUS. Recomendamos que especifique esta dirección IP, ya que si la solicitud se desvía de una ruta alternativa al servidor RADIUS, es posible que la interfaz que retransmita la solicitud no sea una interfaz en el conmutador.
  3. Configure el orden de autenticación radius , realizando el primer método de autenticación:
  4. (Opcional) Configure el método que utiliza el enrutador para acceder RADIUS de autenticación y servidores de cuentas cuando se configuran varios servidores:
    • direct: el método predeterminado, en el que no hay equilibrio de carga. El primer servidor configurado es el servidor principal; se accede a los servidores por orden de configuración. Si el servidor principal no es accesible, el enrutador intenta comunicarse con el segundo servidor configurado, y así sucesivamente.

    • round-robin: el método que proporciona equilibrio de carga mediante la rotación de solicitudes de enrutador entre la lista de servidores RADIUS configurados. El servidor elegido para el acceso se rota según el servidor que se utilizó por última vez. El primer servidor de la lista se considera primario para la primera solicitud de autenticación, pero para la segunda solicitud, el segundo servidor configurado se trata como principal, y así sucesivamente. Con este método, todos los servidores configurados reciben aproximadamente el mismo número de solicitudes como promedio para que ningún servidor único tenga que gestionar todas las solicitudes.

      Nota:

      Cuando un RADIUS en la lista de round-robin deja de ser accesible, se utiliza el siguiente servidor accesible en la lista de round-robin para la solicitud actual. Ese mismo servidor también se usa para la siguiente solicitud, ya que se encuentra en la parte superior de la lista de servidores disponibles. Como resultado, después de una falla en el servidor, el servidor que se usa ocupa la carga de dos servidores.

    • Para configurar el método que utiliza el enrutador para acceder RADIUS servidores de cuentas:

    • Para configurar el método que utiliza el enrutador para acceder RADIUS servidores de autenticación:

  5. Crear un perfil y especificar la lista de servidores RADIUS que se asociarán con el perfil. Por ejemplo, puede optar por agrupar los servidores RADIUS geográficamente por ciudad. Esta característica permite modificar fácilmente cada vez que se desea cambiar a un envío diferente de servidores de autenticación.
  6. Especifique el grupo de servidores que se utilizará para la autenticación de 802.1 X o MAC RADIUS identificando el nombre del perfil:
  7. Configure la dirección IP del conmutador en la lista de clientes del servidor RADIUS. Para obtener información acerca de cómo configurar el servidor de RADIUS, consulte la documentación del servidor.

Configurar un servidor RADIUS completo mediante un FQDN

Puede configurar un nombre de dominio completo (FQDN) que se resuelva en una o más direcciones IP. Configure un RADIUS de red utilizando un FQDN en el nivel edit access radius-server-name hostname jerárquico [ ]. Cuando un FQDN se resuelve en varias direcciones, se accede a los servidores en orden de configuración de forma predeterminada. La primera dirección solucionada es el servidor principal. Si el servidor principal no es accesible, el enrutador intenta comunicarse con el segundo servidor, y así sucesivamente. Puede equilibrar la carga de las solicitudes mediante la configuración del método round-robin. Los servidores se prueban en orden y de manera completa hasta que se recibe una respuesta válida de uno de los servidores o hasta que se alcancen todos los límites de reintento configurados.

  1. Configure el FQDN del RADIUS servidor, RADIUS número de puerto de autenticación del servidor y la contraseña confidencial. La contraseña confidencial del conmutador debe coincidir con la contraseña secreto del servidor.
    Nota:

    Especificar el puerto de autenticación es opcional, y el puerto 1812 es el predeterminado. Sin embargo, recomendamos que la configure para evitar confusiones, ya que algunos RADIUS servidores podrían hacer referencia a un valor predeterminado antiguo.

  2. (Opcional) Configure el intervalo para resolver un FQDN como dirección del servidor. El FQDN se resuelve dinámicamente a intervalos fijos según el valor configurado.
  3. Adicional Especifique la dirección IP por la que el servidor RADIUS ha identificado al conmutador. Si no especifica la dirección IP, el servidor RADIUS utilizará la dirección de la interfaz que envía la solicitud de RADIUS. Recomendamos que especifique esta dirección IP, ya que si la solicitud se desvía de una ruta alternativa al servidor RADIUS, es posible que la interfaz que retransmita la solicitud no sea una interfaz en el conmutador.
  4. Configure el orden de autenticación radius , realizando el primer método de autenticación:
  5. (Opcional) Configure el método que utiliza el conmutador para acceder RADIUS de autenticación y servidores de cuentas cuando se configuran varios servidores:
    • direct: el método predeterminado, en el que no hay equilibrio de carga. El primer servidor configurado es el servidor principal; se accede a los servidores por orden de configuración. Si el servidor principal no es accesible, el enrutador intenta comunicarse con el segundo servidor configurado, y así sucesivamente.

    • round-robin: el método que proporciona equilibrio de carga mediante la rotación de solicitudes entre la lista de servidores RADIUS configurados. El servidor elegido para el acceso se rota según el servidor que se utilizó por última vez. El primer servidor de la lista se considera primario para la primera solicitud de autenticación, pero para la segunda solicitud, el segundo servidor configurado se trata como principal, y así sucesivamente. Con este método, todos los servidores configurados reciben aproximadamente el mismo número de solicitudes como promedio para que ningún servidor único tenga que gestionar todas las solicitudes.

      Nota:

      Cuando un RADIUS en la lista de round-robin deja de ser accesible, se utiliza el siguiente servidor accesible en la lista de round-robin para la solicitud actual. Ese mismo servidor también se usa para la siguiente solicitud, ya que se encuentra en la parte superior de la lista de servidores disponibles. Como resultado, después de una falla en el servidor, el servidor que se usa ocupa la carga de dos servidores.

    • Para configurar el método que utiliza el conmutador para acceder RADIUS servidores de cuentas:

    • Para configurar el método que utiliza el conmutador para acceder a RADIUS de autenticación:

  6. Crear un perfil y especificar la lista de servidores RADIUS que se asociarán con el perfil. Por ejemplo, puede optar por agrupar los servidores RADIUS geográficamente por ciudad. Esta función permite una fácil modificación siempre que desee cambiar a un conjunto diferente de servidores de autenticación.
  7. Especifique el grupo de servidores que se utilizará para la autenticación de 802.1 X o MAC RADIUS identificando el nombre del perfil:
  8. Configure la dirección IP del conmutador en la lista de clientes del servidor RADIUS. Para obtener información acerca de cómo configurar el servidor de RADIUS, consulte la documentación del servidor.

Configuración de MS-CHAPv2 para proporcionar compatibilidad con el cambio de contraseña (procedimiento de CLI)

Junos OS para conmutadores de la serie EX le permite configurar la implementación de Microsoft Corporation del Protocolo de autenticación por desafío mutuo, versión 2 (MS-CHAPv2) en el conmutador para proporcionar compatibilidad con el cambio de contraseña. La configuración de MS-CHAPv2 en el conmutador proporciona a los usuarios acceso a un conmutador la opción de cambiar la contraseña cuando la contraseña caduca, se restablece o se configura para que se cambie en el siguiente inicio de sesión.

Consulte RFC 2433, Extensiones DE CHAP PPP de Microsoft, para obtener información acerca de MS-CHAP.

Antes de configurar MS-CHAPv2 para que proporcione la compatibilidad con el cambio de contraseña, asegúrese de que dispone de lo siguiente:

Para configurar MS-CHAPv2, especifique lo siguiente:

Debe tener el permiso de acceso requerido en el conmutador para cambiar su contraseña.

Configurar MS-CHAPv2 para permitir el cambio de contraseña

Antes de configurar MS-CHAPv2 para la compatibilidad con el cambio de contraseña, asegúrese de haber hecho lo siguiente:

  • Configurados RADIUS parámetros de autenticación del servidor.

  • Establezca la primera opción intentada en el orden de autenticación de RADIUS servidor.

Puede configurar la implementación de Microsoft del Protocolo de autenticación por desafío mutuo versión 2 (MS-CHAPv2) en el enrutador o conmutador para que admita el cambio de contraseñas. Esta característica proporciona a los usuarios que tienen acceso a un enrutador o a un conmutador la opción de cambiar la contraseña cuando la contraseña caduca, se restablece o se configura para cambiar en el siguiente inicio de sesión.

Para configurar MS-CHAP-V2, incluya las siguientes instrucciones en el [edit system radius-options] nivel de jerarquía:

El siguiente ejemplo muestra instrucciones para configurar el protocolo de contraseñas MS-CHAPv2, el orden de autenticación de contraseñas y las cuentas de usuario:

Descripción de la reserva y autenticación de errores del servidor en conmutadores

Juniper Networks conmutadores Ethernet utilizan la autenticación para implementar el control de acceso en una red empresarial. Si se configura la autenticación 802.1 X, MAC RADIUS o el portal cautivo en el conmutador, los dispositivos finales serán evaluados en la conexión inicial por un servidor de autenticación (RADIUS). Si el dispositivo final se configura en el servidor de autenticación, se concede al dispositivo acceso a la LAN y el conmutador de la serie EX abre la interfaz para permitir el acceso.

La reserva de fallos del servidor le permite especificar cómo se admiten los dispositivos finales conectados al conmutador si el servidor de RADIUS autenticación deja de estar disponible. La reserva de errores del servidor se desencadena con mayor frecuencia durante la reautenticación cuando el servidor que ya está configurado y en uso RADIUS se vuelve inaccesible. Sin embargo, la falla de servidor también se puede desencadenar mediante el primer intento de autenticación de un dispositivo final a través del RADIUS servidor.

La reserva de fallos del servidor le permite especificar una de cuatro acciones que se deben llevar a cabo para los dispositivos finales que esperan a ser autenticadas cuando se agota el tiempo de espera del servidor. El modificador puede aceptar o denegar el acceso a suplicantes o mantener el acceso ya concedido a suplicantes antes de que se haya producido el tiempo de espera del RADIUS. También puede configurar el conmutador para mover los suplicantes a una VLAN específica. La VLAN ya debe estar configurada en el conmutador. El nombre de VLAN configurado anula cualquier atributo enviado por el servidor.

  • Permitir autenticación, lo que permite que el tráfico fluye desde el dispositivo final a través de la interfaz como si el dispositivo final se autentificara correctamente por el RADIUS servidor.

  • Denegar la autenticación, lo que impide que el tráfico fluye desde el dispositivo final a través de la interfaz. Este es el valor predeterminado.

  • Mueva el dispositivo final a una VLAN especificada si el conmutador recibe un mensaje RADIUS de rechazar acceso. El nombre de VLAN configurado anula cualquier atributo enviado por el servidor. (La VLAN debe existir ya en el conmutador).

  • Sostener dispositivos finales autenticados que ya tengan acceso a LAN y denegar dispositivos finales no autenticados. Si los servidores de RADIUS agotan el tiempo de espera durante la reautenticación, se reautenticarán los dispositivos de fin autenticados anteriormente y se rechazará a los nuevos usuarios el acceso LAN.

Configuración del servidor de RADIUS recuperación de reserva (procedimiento de CLI)

Puede configurar las opciones de reserva de autenticación para especificar cómo se admiten los dispositivos finales conectados a un conmutador si el servidor de RADIUS autenticación deja de estar disponible.

Cuando configura la autenticación 802.1 X o MAC RADIUS en el conmutador, debe especificar un servidor de autenticación principal y uno o varios servidores de autenticación de reserva. Si el conmutador no puede alcanzar el servidor de autenticación principal y los servidores de autenticación secundarios tampoco son accesibles, se produce un tiempo de espera de RADIUS Server. Si esto ocurre, ya que se trata del servidor de autenticación que concede o deniega el acceso a los dispositivos de fin en espera de autenticación, el conmutador no recibe instrucciones de acceso para los dispositivos de extremo que intentan acceder a la LAN, y la autenticación normal no se puede completado.

Puede configurar la característica servidor de reserva de errores para especificar una acción que el conmutador aplica a los dispositivos finales cuando los servidores de autenticación no están disponibles. El modificador puede aceptar o denegar el acceso a suplicantes o mantener el acceso ya concedido a suplicantes antes de que se haya producido el tiempo de espera del RADIUS. También puede configurar el conmutador para mover los suplicantes a una VLAN específica.

También puede configurar la característica de rechazo de reserva en el servidor para los dispositivos finales que reciban un mensaje de rechazo de acceso RADIUS del servidor de autenticación. La característica de rechazo de servidor de reserva proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos de fin dinámico que 802.1 X habilitados, pero que han enviado Credenciales incorrectas.

La reserva de error del servidor se admite para el tráfico de voz que comienza en la versión 14.1 X53-D40 y la versión 15.1 R4. Para configurar las acciones de reserva de errores del servidor para los clientes VoIP que server-fail-voip envían tráfico de voz, utilice la instrucción. Para todo el tráfico de datos, server-fail utilice la instrucción. El modificador determina el método de reserva que se va a utilizar en función del tipo de tráfico enviado por el cliente. Los marcos de datos sin etiquetar están sujetos a la server-failacción configurada con, incluso si son enviados por un cliente de VoIP. Las tramas VoIP geomarcadas VLAN están sujetas server-fail-voipa la acción configurada con. Si server-fail-voip no está configurado, se descarta el tráfico de voz.

Nota:

No se admite la reserva de rechazo del servidor para tráfico etiquetado VoIP VLAN. Si un cliente de VoIP inicia la autenticación mediante el envío de tráfico de datos sin etiquetar a una VLAN mientras está en vigor el servidor de respaldo rechazar, el cliente de VoIP puede acceder a la VLAN de reserva. Si, posteriormente, el mismo cliente envía tráfico de voz etiquetado, se descarta el tráfico de voz.

Si un cliente VoIP inicia la autenticación mediante el envío de tráfico de voz etiquetado mientras está en vigor el rechazo de servidor de respaldo, se denegará el acceso del cliente de VoIP a la VLAN de reserva.

Puede utilizar el siguiente procedimiento para configurar acciones de error de servidor para clientes de datos. Para configurar el respaldo de error del servidor para clientes VoIP que envían tráfico server-fail-voip de voz, utilice la server-fail instrucción en lugar de la instrucción.

Para configurar acciones de reserva de errores del servidor:

  • Configure una interfaz para permitir que el tráfico fluya de un suplicante a la LAN si se produce un tiempo de espera del servidor RADIUS (como si el dispositivo final hubiera sido autenticado correctamente por un servidor RADIUS):
  • Configure una interfaz para impedir el flujo de tráfico desde un dispositivo final a la LAN (como si el dispositivo final hubiera fallado la autenticación y hubiera sido denegado el acceso por el servidor RADIUS):
  • Configure una interfaz para mover un dispositivo final a una VLAN especificada si se agota el tiempo de espera del servidor RADIUS:
  • Configure una interfaz para que reconozca los dispositivos de fin ya conectados como reautenticados si hay un tiempo de espera de RADIUS durante la reautenticación (denegará el acceso a los nuevos dispositivos de fin):

Puede configurar una interfaz que reciba un mensaje RADIUS de rechazo de acceso desde el servidor de autenticación para mover los dispositivos finales que intenten acceder a LAN en la interfaz con una VLAN de rechazo de servidor, una VLAN especificada ya configurada en el conmutador.

Para configurar una VLAN de Reject de reserva del servidor:

Tabla de historial de versiones
Liberación
Descripción
14.1X53-D40
La reserva de error del servidor se admite para el tráfico de voz que comienza en la versión 14.1 X53-D40 y la versión 15.1 R4.