Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración del servidor RADIUS para la autenticación

Los conmutadores Ethernet de Juniper Networks utilizan autenticación 802.1X, MAC RADIUS o portal cautivo para proporcionar control de acceso a los dispositivos o usuarios. Cuando 802.1X, MAC RADIUS o autenticación de portal cautivo se configuran en el conmutador, un servidor de autenticación (RADIUS) evalúa los dispositivos finales en la conexión inicial. Para utilizar la autenticación 802.1X o MAC RADIUS, debe especificar las conexiones en el conmutador para cada servidor RADIUS al que desea conectarse. Lea este tema para obtener más información.

Especificación de conexiones de servidor RADIUS en conmutadores (procedimiento de CLI)

La autenticación IEEE 802.1X y MAC RADIUS proporciona seguridad de borde de red, lo que protege a las LAN Ethernet del acceso de usuarios no autorizados mediante el bloqueo de todo el tráfico hacia y desde los dispositivos en la interfaz hasta que las credenciales o la dirección MAC del supplicante se presentan y coinciden en el authentication server (un servidor RADIUS). Cuando se autentica el suplicante, el conmutador deja de bloquear el acceso y abre la interfaz al suplicante.

Para utilizar la autenticación 802.1X o MAC RADIUS, debe especificar las conexiones en el conmutador para cada servidor RADIUS al que se conectará.

Para configurar varios servidores RADIUS, incluya varias radius-server instrucciones. Cuando se configuran varios servidores, se accede a los servidores en orden de configuración, de forma predeterminada. El primer servidor configurado es el servidor principal. Si el servidor principal no es accesible, el enrutador intenta llegar al segundo servidor configurado, y así sucesivamente. Puede equilibrar la carga de las solicitudes configurando el método round-robin. Los servidores se prueban en orden y de forma rotativa hasta que se recibe una respuesta válida de uno de los servidores, o hasta que se alcancen todos los límites de reintentos configurados.

Nota:

El método de acceso round-robin no se recomienda para su uso con conmutadores de la serie EX.

También puede configurar un nombre de dominio completo (FQDN) que se resuelve en una o más direcciones IP. Consulte Especificación de conexiones de servidor RADIUS en conmutadores (procedimiento de CLI).

Para configurar un servidor RADIUS en el conmutador:

  1. Configure la dirección IP del servidor RADIUS, el número de puerto de autenticación del servidor RADIUS y la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor.
    Nota:

    Especificar el puerto de autenticación es opcional y el puerto 1812 es el predeterminado. Sin embargo, recomendamos que lo configure para evitar confusiones, ya que algunos servidores RADIUS pueden hacer referencia a un valor predeterminado anterior.

  2. (Opcional) Especifique la dirección IP mediante la cual el servidor RADIUS identifica el conmutador. Si no especifica la dirección IP, el servidor RADIUS utiliza la dirección de la interfaz que envía la solicitud RADIUS. Recomendamos que especifique esta dirección IP porque si la solicitud se desvía en una ruta alternativa al servidor RADIUS, es posible que la interfaz que retransmita la solicitud no sea una interfaz en el conmutador.
  3. Configure el orden de autenticación, haciendo radius el primer método de autenticación:
  4. (Opcional) Configure el método que utiliza el enrutador para acceder a la autenticación RADIUS y a los servidores de contabilidad cuando se configuran varios servidores:
    • direct: el método predeterminado, en el que no hay equilibrio de carga. El primer servidor configurado es el servidor principal; se accede a los servidores en orden de configuración. Si el servidor principal no es accesible, el enrutador intenta llegar al segundo servidor configurado, y así sucesivamente.

    • round-robin: el método que proporciona equilibrio de carga mediante la rotación de solicitudes de enrutador entre la lista de servidores RADIUS configurados. El servidor elegido para el acceso se rota según el servidor que se usó por última vez. El primer servidor de la lista se trata como principal para la primera solicitud de autenticación, pero para la segunda solicitud, el segundo servidor configurado se trata como principal, y así sucesivamente. Con este método, todos los servidores configurados reciben aproximadamente el mismo número de solicitudes en promedio, de modo que ningún servidor único tenga que manejar todas las solicitudes.

      Nota:

      Cuando un servidor RADIUS en la lista de rotación se vuelve inalcanzable, el siguiente servidor accesible en la lista de rotación se utiliza para la solicitud actual. Ese mismo servidor también se utiliza para la próxima solicitud, ya que está en la parte superior de la lista de servidores disponibles. Como resultado, después de una falla de servidor, el servidor que se usa asume la carga de dos servidores.

    • Para configurar el método que utiliza el enrutador para acceder a los servidores de contabilidad RADIUS:

    • Para configurar el método que utiliza el enrutador para acceder a los servidores de autenticación RADIUS:

  5. Cree un perfil y especifique la lista de servidores RADIUS que se asociarán al perfil. Por ejemplo, puede elegir agrupar sus servidores RADIUS geográficamente por ciudad. Esta función permite una modificación fácil siempre que desee cambiar a un envío diferente de servidores de autenticación.
  6. Especifique el grupo de servidores que se utilizará para la autenticación 802.1X o MAC RADIUS identificando el nombre del perfil:
  7. Configure la dirección IP del conmutador en la lista de clientes del servidor RADIUS. Para obtener más información sobre cómo configurar el servidor RADIUS, consulte la documentación del servidor.

Configuración de un servidor RADIUS mediante un FQDN

Puede configurar un nombre de dominio completo (FQDN) que se resuelve en una o más direcciones IP. Configure un servidor RADIUS mediante un FQDN en el nivel de jerarquía [edit access radius-server-name hostname]. Cuando un FQDN se resuelve en varias direcciones, se accede a los servidores en orden de configuración de forma predeterminada. La primera dirección resuelta es el servidor principal. Si el servidor principal no es accesible, el enrutador intenta llegar al segundo servidor, y así sucesivamente. Puede equilibrar la carga de las solicitudes configurando el método round-robin. Los servidores se prueban en orden y de forma rotativa hasta que se recibe una respuesta válida de uno de los servidores, o hasta que se alcancen todos los límites de reintentos configurados.

  1. Configure el FQDN del servidor RADIUS, el número de puerto de autenticación del servidor RADIUS y la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor.
    Nota:

    Especificar el puerto de autenticación es opcional y el puerto 1812 es el predeterminado. Sin embargo, recomendamos que lo configure para evitar confusiones, ya que algunos servidores RADIUS pueden hacer referencia a un valor predeterminado anterior.

  2. (Opcional) Configure el intervalo para resolver un FQDN como dirección del servidor. El FQDN se resuelve dinámicamente a intervalos fijos según el valor configurado.
  3. (Opcional) Especifique la dirección IP mediante la cual el servidor RADIUS identifica el conmutador. Si no especifica la dirección IP, el servidor RADIUS utiliza la dirección de la interfaz que envía la solicitud RADIUS. Recomendamos que especifique esta dirección IP porque si la solicitud se desvía en una ruta alternativa al servidor RADIUS, es posible que la interfaz que retransmita la solicitud no sea una interfaz en el conmutador.
  4. Configure el orden de autenticación, haciendo radius el primer método de autenticación:
  5. (Opcional) Configure el método que utiliza el conmutador para acceder a la autenticación RADIUS y a los servidores de contabilidad cuando se configuran varios servidores:
    • direct: el método predeterminado, en el que no hay equilibrio de carga. El primer servidor configurado es el servidor principal; se accede a los servidores en orden de configuración. Si el servidor principal no es accesible, el enrutador intenta llegar al segundo servidor configurado, y así sucesivamente.

    • round-robin: el método que proporciona equilibrio de carga mediante la rotación de solicitudes entre la lista de servidores RADIUS configurados. El servidor elegido para el acceso se rota según el servidor que se usó por última vez. El primer servidor de la lista se trata como principal para la primera solicitud de autenticación, pero para la segunda solicitud, el segundo servidor configurado se trata como principal, y así sucesivamente. Con este método, todos los servidores configurados reciben aproximadamente el mismo número de solicitudes en promedio, de modo que ningún servidor único tenga que manejar todas las solicitudes.

      Nota:

      Cuando un servidor RADIUS en la lista de rotación se vuelve inalcanzable, el siguiente servidor accesible en la lista de rotación se utiliza para la solicitud actual. Ese mismo servidor también se utiliza para la próxima solicitud, ya que está en la parte superior de la lista de servidores disponibles. Como resultado, después de una falla de servidor, el servidor que se usa asume la carga de dos servidores.

    • Para configurar el método que utiliza el conmutador para acceder a los servidores de contabilidad RADIUS:

    • Para configurar el método que utiliza el conmutador para acceder a los servidores de autenticación RADIUS:

  6. Cree un perfil y especifique la lista de servidores RADIUS que se asociarán al perfil. Por ejemplo, puede elegir agrupar sus servidores RADIUS geográficamente por ciudad. Esta función permite una modificación fácil siempre que desee cambiar a un conjunto diferente de servidores de autenticación.
  7. Especifique el grupo de servidores que se utilizará para la autenticación 802.1X o MAC RADIUS identificando el nombre del perfil:
  8. Configure la dirección IP del conmutador en la lista de clientes del servidor RADIUS. Para obtener más información sobre cómo configurar el servidor RADIUS, consulte la documentación del servidor.

Configuración de MS-CHAPv2 para proporcionar compatibilidad con el cambio de contraseña (procedimiento de CLI)

Junos OS para conmutadores de la serie EX le permite configurar la implementación de Microsoft Corporation del protocolo de autenticación de enlace de desafío versión 2 (MS-CHAPv2) en el conmutador para proporcionar compatibilidad con el cambio de contraseña. Configurar MS-CHAPv2 en el conmutador proporciona a los usuarios que acceden a un conmutador la opción de cambiar la contraseña cuando la contraseña caduca, se restablece o se configura para cambiarse en el próximo inicio de sesión.

Consulte RFC 2433, Extensiones CHAP PPP de Microsoft para obtener información acerca de MS-CHAP.

Antes de configurar MS-CHAPv2 para proporcionar soporte para el cambio de contraseña, asegúrese de tener lo siguiente:

Para configurar MS-CHAPv2, especifique lo siguiente:

Debe tener el permiso de acceso requerido en el conmutador para cambiar su contraseña.

Configuración de MS-CHAPv2 para compatibilidad con cambios de contraseña

Antes de configurar MS-CHAPv2 para la compatibilidad con el cambio de contraseña, asegúrese de haber hecho lo siguiente:

  • Parámetros de autenticación de servidor RADIUS configurados.

  • Fije la primera opción probada en la orden de autenticación al servidor RADIUS.

Puede configurar la implementación de Microsoft del protocolo de autenticación de enlace de desafío versión 2 (MS-CHAPv2) en el enrutador o conmutador para admitir el cambio de contraseñas. Esta función proporciona a los usuarios que acceden a un enrutador o conmutan la opción de cambiar la contraseña cuando la contraseña caduca, se restablece o se configura para cambiarse en el próximo inicio de sesión.

Para configurar MS-CHAP-v2, incluya las siguientes instrucciones en el [edit system radius-options] nivel jerárquico:

En el ejemplo siguiente se muestran instrucciones para configurar el protocolo de contraseña MS-CHAPv2, el orden de autenticación de contraseña y las cuentas de usuario:

Descripción de la falla del servidor y la autenticación en conmutadores

Los conmutadores Ethernet de Juniper Networks utilizan la autenticación para implementar el control de acceso en una red empresarial. Si la autenticación 802.1X, MAC RADIUS o portal cautivo está configurada en el conmutador, un servidor de autenticación (RADIUS) evalúa los dispositivos finales en la conexión inicial. Si el dispositivo final está configurado en el servidor de autenticación, el dispositivo tiene acceso a la LAN y el conmutador de la serie EX abre la interfaz para permitir el acceso.

La conmutación por error del servidor le permite especificar cómo se admiten los dispositivos finales conectados al conmutador si el servidor de autenticación RADIUS deja de estar disponible. La conmutación por error del servidor se activa con mayor frecuencia durante la reautonicación cuando el servidor RADIUS ya configurado y en uso se vuelve inaccesible. Sin embargo, el primer intento de autenticación de un dispositivo final a través del servidor RADIUS también puede activar la conmutación por error del servidor.

La conmutación por error del servidor le permite especificar una de las cuatro acciones que se deben realizar para los dispositivos finales que esperan la autenticación cuando el servidor está fuera de tiempo. El conmutador puede aceptar o denegar el acceso a los suplicantes o mantener el acceso ya otorgado a los suplicantes antes de que se produjera el tiempo de espera radius. También puede configurar el conmutador para mover los suplicantes a una VLAN específica. La VLAN ya debe estar configurada en el conmutador. El nombre de VLAN configurado anula los atributos enviados por el servidor.

  • Permit autenticación, lo que permite que el tráfico fluya desde el dispositivo final a través de la interfaz como si el dispositivo final se autenticara correctamente por el servidor RADIUS.

  • Deny autenticación, evitando que el tráfico fluya desde el dispositivo final a través de la interfaz. Este es el valor predeterminado.

  • Move el dispositivo final a una VLAN especificada si el conmutador recibe un mensaje de rechazo de acceso RADIUS. El nombre de VLAN configurado anula los atributos enviados por el servidor. (La VLAN ya debe existir en el conmutador.)

  • Sustain dispositivos finales autenticados que ya tienen acceso LAN y deny dispositivos finales no autenticados. Si los servidores RADIUS agotan el tiempo de salida durante la reautorización, los dispositivos finales autenticados anteriormente se vuelven a autenticar y a los usuarios nuevos se les niega el acceso LAN.

Configuración de la conmutación por error del servidor RADIUS (procedimiento de CLI)

Puede configurar opciones de reserva de autenticación para especificar cómo se admiten los dispositivos finales conectados a un conmutador si el servidor de autenticación RADIUS deja de estar disponible.

Cuando configure la autenticación 802.1X o MAC RADIUS en el conmutador, especifique un servidor de autenticación principal y uno o más servidores de autenticación de respaldo. Si el conmutador no puede alcanzar el servidor de autenticación principal y los servidores de autenticación secundarios también son inalcanzables, se produce un tiempo de espera del servidor RADIUS. Si esto sucede, dado que es el servidor de autenticación el que concede o niega el acceso a los dispositivos finales que esperan la autenticación, el conmutador no recibe instrucciones de acceso para los dispositivos finales que intentan acceder a la LAN y no se puede completar la autenticación normal.

Puede configurar la función de conmutación por error del servidor para especificar una acción que el conmutador aplique a los dispositivos finales cuando los servidores de autenticación no estén disponibles. El conmutador puede aceptar o denegar el acceso a los suplicantes o mantener el acceso ya otorgado a los suplicantes antes de que se produjera el tiempo de espera radius. También puede configurar el conmutador para mover los suplicantes a una VLAN específica.

También puede configurar la función de rechazo de reserva del servidor para dispositivos finales que reciban un mensaje de rechazo de acceso RADIUS desde el servidor de autenticación. La función de rechazo de servidor de reserva proporciona acceso limitado a una LAN, por lo general solo a Internet, para dispositivos de extremo responsivos que están habilitados para 802.1X, pero que han enviado las credenciales incorrectas.

La falla del servidor se admite para el tráfico de voz a partir de la versión 14.1X53-D40 y la versión 15.1R4. Para configurar acciones de conmutación por error del servidor para clientes VoIP que envían tráfico de voz, use la server-fail-voip instrucción. Para todo el tráfico de datos, use la server-fail instrucción. El conmutador determina el método de reserva que se debe usar según el tipo de tráfico enviado por el cliente. Las tramas de datos sin etiqueta están sujetas a la acción configurada con server-fail, incluso si son enviadas por un cliente VoIP. Las tramas VLAN VoIP etiquetadas están sujetas a la acción configurada con server-fail-voip. Si server-fail-voip no está configurado, se cae el tráfico de voz.

Nota:

No se admite el rechazo del servidor para el tráfico etiquetado con VLAN VoIP. Si un cliente VoIP comienza la autenticación mediante el envío de tráfico de datos sin etiquetar a una VLAN mientras el servidor rechaza la reserva está en efecto, el cliente VoIP puede acceder a la VLAN de reserva. Si el mismo cliente envía posteriormente tráfico de voz etiquetado, el tráfico de voz se cae.

Si un cliente VoIP comienza la autenticación mediante el envío de tráfico de voz etiquetado mientras el servidor rechaza la reserva está en efecto, el cliente VoIP se niega el acceso a la VLAN de reserva.

Puede usar el siguiente procedimiento para configurar acciones de error del servidor para clientes de datos. Para configurar la conmutación por error del servidor para los clientes VoIP que envían tráfico de voz, use la server-fail-voip instrucción en lugar de la server-fail instrucción.

Para configurar acciones de conmutación por error del servidor:

  • Configure una interfaz para permitir que el tráfico fluya de un suplicante a la LAN si se produce un tiempo de espera del servidor RADIUS (como si un servidor RADIUS hubiera autenticado correctamente el dispositivo final):
  • Configure una interfaz para evitar el flujo de tráfico de un dispositivo final a la LAN (como si el dispositivo final hubiera fallado en la autenticación y el servidor RADIUS hubiera denegado el acceso):
  • Configure una interfaz para mover un dispositivo final a una VLAN especificada si se produce un tiempo de espera del servidor RADIUS:
  • Configure una interfaz para reconocer los dispositivos finales ya conectados como reautorticados si hay un tiempo de espera RADIUS durante la reautonicación (se niega el acceso a los dispositivos finales nuevos):

Puede configurar una interfaz que reciba un mensaje de rechazo de acceso RADIUS desde el servidor de autenticación para mover los dispositivos finales que intentan acceder a la LAN en la interfaz a una VLAN de rechazo del servidor, una VLAN especificada que ya está configurada en el conmutador.

Para configurar un servidor rechazar VLAN de reserva:

Tabla de historial de versiones
Liberación
Descripción
14.1X53-D40
La falla del servidor se admite para el tráfico de voz a partir de la versión 14.1X53-D40 y la versión 15.1R4.