Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación del portal cautivo

Puede controlar el acceso a la red a través de un conmutador mediante varias autenticación diferentes. Los conmutadores Junos OS son compatibles con 802.1X, MAC RADIUS y portal cautivo como métodos de autenticación para dispositivos que requieren conectarse a una red. Puede configurar la autenticación cautiva del portal en un conmutador para redirigir las solicitudes del navegador web a una página de inicio de sesión que requiera que el usuario introduzca un nombre de usuario y una contraseña. Para obtener más información, lea este tema.

Ejemplo: Configurar la autenticación del portal cautivo en un conmutador de la serie EX

Puede configurar la autenticación cautiva del portal (en adelante, portal cautivo) en un conmutador para redirigir las solicitudes del navegador web a una página de inicio de sesión que requiere que el usuario introduzca un nombre de usuario y una contraseña. Tras la autenticación correcta, se le permite al usuario continuar con la solicitud de página original y el acceso posterior a la red.

En este ejemplo, se describe cómo configurar el portal cautivo en un conmutador de la serie EX:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador de la serie EX que admite portal cautivo

  • Junos OS versión 10.1 o posterior para conmutadores de la serie EX

Antes de comenzar, asegúrese de tener lo siguiente:

Descripción general y topología

En este ejemplo, se muestra la configuración necesaria en el conmutador para habilitar el portal cautivo en una interfaz. Para permitir que una impresora conectada a la interfaz del portal cautivo acceda a la LAN sin pasar por el portal cautivo, agregue su dirección MAC a la lista de permitidos de autenticación. Las direcciones MAC de esta lista tienen acceso permitido en la interfaz sin portal cautivo.

Topología

La topología de este ejemplo consta de un conmutador de la serie EX conectado a un servidor de autenticación RADIUS. Una interfaz del conmutador está configurada para el portal cautivo. En este ejemplo, la interfaz se configura en modo de suplicante múltiple.

Configuración

Para configurar el portal cautivo en su conmutador:

Configuración rápida de CLI

Para configurar rápidamente el portal cautivo en el conmutador después de completar las tareas en la sección Requisitos, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso

Para configurar el portal cautivo en el conmutador:

  1. Defina la dirección IP del servidor, el número de puerto de autenticación del servidor y configure la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor:

  2. Configure el orden de autenticación, haciendo radius el primer método de autenticación:

  3. Configure la dirección IP del servidor que se probará para autenticar el suplicante:

  4. Habilite el acceso HTTP en el conmutador:

  5. Para crear un canal seguro para el acceso web al conmutador, configure el portal cautivo para HTTPS:

    Nota:

    Puede habilitar HTTP sin habilitar HTTPS, pero recomendamos HTTPS por motivos de seguridad.

    Procedimiento paso a paso
    1. Asocie el certificado de seguridad con el servidor web y habilite el acceso HTTPS en el conmutador:

    2. Configure el portal cautivo para usar HTTPS:

  6. Habilite una interfaz para el portal cautivo:

  7. Especifique el nombre del perfil de acceso que se utilizará para la autenticación cautiva del portal:

  8. (Opcional) Permitir que clientes específicos eviten el portal cautivo:

    Nota:

    Si el cliente ya está conectado al conmutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el clear captive-portal mac-address mac-address comando después de agregar su dirección MAC a la lista de permitidos. De lo contrario, la nueva entrada para la dirección MAC no se agregará a la tabla de conmutación Ethernet y no se permitirá la omisión de autenticación.

    Nota:

    Opcionalmente, puede usar set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0 para limitar el ámbito a la interfaz.

  9. (Opcional) Para redirigir clientes a una página especificada en lugar de a la página que solicitaron originalmente, configure la DIRECCIÓN URL posterior a la autenticación:

Resultados

Muestra los resultados de la configuración:

Verificación

Para confirmar que el portal cautivo está configurado y funcionando correctamente, realice estas tareas:

Verificar que el portal cautivo está habilitado en la interfaz

Propósito

Verifique que el portal cautivo esté configurado en la interfaz ge-0/0/10.

Acción

Utilice el comando show captive-portal interface interface-name detaildel modo operativo:

Significado

El resultado confirma que el portal cautivo está configurado en la interfaz ge-0/0/10 con la configuración predeterminada para la cantidad de reintentos, el período de silencio, el tiempo de espera de la sesión de CP y el tiempo de espera del servidor.

Verifique que el portal cautivo funcione correctamente

Propósito

Verifique que el portal cautivo esté funcionando en el conmutador.

Acción

Conecte un cliente a la interfaz ge-0/0/10. Desde el cliente, abra un navegador web y solicite una página web. Debe mostrarse la página de inicio de sesión del portal cautivo que diseñó. Después de introducir la información de inicio de sesión y autenticarse en el servidor RADIUS, el explorador web debe mostrar la página que solicitó o la DIRECCIÓN URL posterior a la autenticación que configuró.

Solución de problemas

Para solucionar problemas del portal cautivo, realice estas tareas:

Portal cautivo para la solución de problemas

Problema

El conmutador no devuelve la página de inicio de sesión del portal cautivo cuando un usuario conectado a una interfaz de portal cautivo en el conmutador solicita una página web.

Solución

Puede examinar los contadores ARP, DHCP, HTTPS y DNS: si uno o más de estos contadores no se incrementan, esto proporciona una indicación de dónde se encuentra el problema. Por ejemplo, si el cliente no puede obtener una dirección IP, compruebe la interfaz del conmutador para determinar si el contador DHCP se incrementa: si el contador se incrementa, el conmutador recibió el paquete DHCP.

Configuración de la autenticación de portal cautivo (procedimiento de CLI)

Configure la autenticación de portal cautivo (en adelante, portal cautivo) en un conmutador de la serie EX para que los usuarios conectados al conmutador se autentifican antes de que se les permita acceder a la red. Cuando el usuario solicita una página web, se muestra una página de inicio de sesión que requiere que el usuario ingrese un nombre de usuario y una contraseña. Tras la autenticación correcta, se le permite al usuario continuar con la solicitud de página original y el acceso posterior a la red.

Antes de comenzar, asegúrese de tener lo siguiente:

En este tema se incluyen las siguientes tareas:

Configuración de acceso seguro para portal cautivo

Para configurar el acceso seguro para el portal cautivo:

  1. Habilite el acceso HTTP en el conmutador:
  2. Asocie el certificado de seguridad con el servidor web y habilite el acceso HTTPS en el conmutador:
    Nota:

    Puede habilitar HTTP sin HTTPS, pero recomendamos HTTPS por motivos de seguridad.

  3. Configure el portal cautivo para usar HTTPS:

Habilitación de una interfaz para portal cautivo

Para habilitar una interfaz para el portal cautivo:

Por ejemplo, para habilitar el portal cautivo en la interfaz ge-0/0/10:

Configuración de la omisión de la autenticación de portal cautivo

Para permitir que clientes específicos eviten el portal cautivo:

Por ejemplo, para permitir que clientes específicos eviten el portal cautivo:

Nota:

Opcionalmente, puede usar set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0 para limitar el ámbito a la interfaz.

Nota:

Si el cliente ya está conectado al conmutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el clear captive-portal mac-address mac-address comando después de agregar su dirección MAC a la lista de permitidos. De lo contrario, la nueva entrada para la dirección MAC no se agregará a la tabla de conmutación Ethernet y no se permitirá la omisión de autenticación.

Diseñar una página de inicio de sesión de autenticación de portal cautivo en conmutadores

Puede configurar la autenticación cautiva del portal en su conmutador para redirigir todas las solicitudes del navegador web a una página de inicio de sesión que requiera que los usuarios introduzcan un nombre de usuario y una contraseña antes de que se les permita el acceso. Tras la autenticación correcta, se les permite a los usuarios acceder a la red y se les redirige a la página original solicitada.

Junos OS ofrece una plantilla personalizable para la ventana del portal cautivo que le permite diseñar y modificar fácilmente el aspecto de la página de inicio de sesión del portal cautivo. Puede modificar los elementos de diseño de la plantilla para cambiar el aspecto de la página de inicio de sesión del portal cautivo y para agregar instrucciones o información a la página. También puede modificar cualquiera de los elementos de diseño de una página de inicio de sesión del portal cautivo.

La primera pantalla que se muestra antes de la página de inicio de sesión cautiva requiere que el usuario lea los términos y condiciones de uso. Al hacer clic en el botón Aceptar, el usuario puede acceder a la página de inicio de sesión del portal cautivo.

Figura 1 muestra un ejemplo de una página de inicio de sesión del portal cautivo:

Figura 1: Ejemplo de una página de inicio de sesión del Portal cautivoEjemplo de una página de inicio de sesión del Portal cautivo

Tabla 1 resume los elementos configurables de una página de inicio de sesión del portal cautivo.

Tabla 1: Elementos configurables de una página de inicio de sesión de portal cautivo
Elemento Instrucción CLI Descripción

Color de fondo del pie de página

footer-bgcolor hex-color

El código hexadecimal HTML para el color de fondo del pie de página de inicio de sesión del portal cautivo.

Mensaje de pie de página

footer-message text-string

Texto mostrado en el pie de página de la página de inicio de sesión del portal cautivo. Puede incluir información de derechos de autor, vínculos e información adicional, como instrucciones de ayuda, avisos legales o una política de privacidad

El texto predeterminado que se muestra en el pie de página es Copyright @2010, Juniper Networks Inc.

Color del texto del pie de página

footer- text-color color

Color del texto en el pie de página. El color predeterminado es blanco.

Color de fondo del encabezado del formulario

form-header-bgcolor hex-color

El código hexadecimal HTML para el color de fondo de la barra de encabezado en la parte superior del área de formulario de la página de inicio de sesión del portal cautivo.

Mensaje de encabezado del formulario

form-header-message text-string

Texto mostrado en el encabezado de la página de inicio de sesión del portal cautivo. El texto predeterminado es Captive Portal User Authentication .

Color del texto del encabezado del formulario

form-header- text- color Color

Color del texto en el encabezado del formulario. El color predeterminado es negro.

Etiqueta del botón de restablecimiento del formulario

form-reset-label label-name

Con el Reset botón, el usuario puede borrar los campos de nombre de usuario y contraseña del formulario.

Etiqueta del botón Enviar formulario

form-submit-label label-name

Con el Login botón, el usuario puede enviar la información de inicio de sesión.

Color de fondo del encabezado

header-bgcolor hex-color

El código hexadecimal HTML para el color de fondo del encabezado de la página de inicio de sesión del portal cautivo.

Logotipo del encabezado

header-logo filename

Nombre de archivo del archivo que contiene la imagen del logotipo que desea que aparezca en el encabezado de la página de inicio de sesión del portal cautivo. El archivo de imagen puede estar en formato GIF, JPEG o PNG.

Puede cargar un archivo de imagen de logotipo en el conmutador. Copie el logotipo en el directorio /var/tmp del conmutador (durante la confirmación, los archivos se guardan en ubicaciones persistentes).

Si no especifica una imagen de logotipo, se mostrará el logotipo de Juniper Networks.

Mensaje de encabezado

header-message text-string

Texto mostrado en el encabezado de la página. El texto predeterminado es User Authentication.

Color del texto del encabezado

header-text- colorColor

Color del texto en el encabezado. El color predeterminado es blanco.

URL posterior a la autenticación

post-authentication-url url

DIRECCIÓN URL a la que los usuarios se dirigen a la autenticación correcta. De forma predeterminada, los usuarios se dirigen a la página que habían solicitado originalmente.

Para diseñar la página de inicio de sesión del portal cautivo:

  1. (Opcional) Cargue su archivo de imagen de logotipo en el conmutador:
  2. Configure las opciones personalizadas para especificar los colores de fondo y el texto mostrados en la página del portal cautivo:

Ahora puede confirmar la configuración.

Nota:

Para las opciones personalizadas que no especifique, se utiliza el valor predeterminado.

Configuración de autenticación de portal cautivo (procedimiento de CLI) en un conmutador de la serie EX con soporte ELS

Nota:

Esta tarea utiliza Junos OS para conmutadores compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte Configurar la autenticación de portal cautivo (procedimiento de CLI). Para obtener más información sobre ELS, consulte Uso de la CLI mejorada de software de capa 2.

Configure la autenticación de portal cautivo (en adelante, portal cautivo) en un conmutador para que los usuarios conectados al conmutador se autentifican antes de que se les permita acceder a la red. Cuando el usuario solicita una página web, se muestra una página de inicio de sesión que requiere que el usuario ingrese un nombre de usuario y una contraseña. Tras la autenticación correcta, se le permite al usuario continuar con la solicitud de página original y el acceso posterior a la red.

Antes de comenzar, asegúrese de tener lo siguiente:

En este tema se incluyen las siguientes tareas:

Configuración de acceso seguro para portal cautivo

Para configurar el acceso seguro para el portal cautivo:

  1. Asocie el certificado de seguridad con el servidor web y habilite HTTPS en el conmutador:
    Nota:

    Puede habilitar HTTP en lugar de HTTPS, pero recomendamos HTTPS por motivos de seguridad.

  2. Configure el portal cautivo para usar HTTPS:

Habilitación de una interfaz para portal cautivo

Para habilitar una interfaz para usarla con autenticación de portal cautivo:

Configuración de la omisión de la autenticación de portal cautivo

Puede permitir que clientes específicos eviten la autenticación de portal cautivo:

Nota:

Opcionalmente, puede usar set switch-options authentication-whitelist mac-address interface interface-name para limitar el ámbito a la interfaz.

Nota:

Si el cliente ya está conectado al conmutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el clear captive-portal mac-address session-mac-addr comando después de agregar su dirección MAC a la lista de permitidos. De lo contrario, la nueva entrada para la dirección MAC no se agrega a la tabla de conmutación Ethernet y no se permite la omisión de autenticación.

Ejemplo: Configuración de la autenticación del portal cautivo en un conmutador de la serie EX con soporte ELS

Nota:

En este ejemplo, se utiliza Junos OS para conmutadores de la serie EX con compatibilidad con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte Ejemplo: Configurar la autenticación del portal cautivo en un conmutador de la serie EX. Para obtener más información sobre ELS, consulte Uso de la CLI mejorada de software de capa 2.

Puede configurar la autenticación cautiva del portal (en adelante, portal cautivo) en un conmutador para redirigir las solicitudes del navegador web a una página de inicio de sesión que requiere que el usuario introduzca un nombre de usuario y una contraseña. Tras la autenticación correcta, se le permite al usuario continuar con la solicitud de página original y el acceso posterior a la red.

En este ejemplo, se describe cómo configurar el portal cautivo en un conmutador de la serie EX:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de software y hardware:

  • Junos OS versión 13.2X50 o posterior para conmutadores serie EX

  • Un conmutador de la serie EX compatible con ELS

Antes de comenzar, asegúrese de tener lo siguiente:

Descripción general y topología

En este ejemplo, se muestra la configuración necesaria en el conmutador para habilitar el portal cautivo en una interfaz. Para permitir que una impresora conectada a la interfaz del portal cautivo acceda a la LAN, agregue su dirección MAC a la lista de permitidos de autenticación y asígnela a una VLAN, vlan1. Se permite el acceso a las direcciones MAC de esta lista en la interfaz sin autenticación de portal cautivo.

Topología

La topología de este ejemplo consta de un conmutador de la serie EX conectado a un servidor de autenticación RADIUS. Una interfaz del conmutador está configurada para el portal cautivo. En este ejemplo, la interfaz se configura en modo de suplicante múltiple.

Configuración

Para configurar el portal cautivo en su conmutador:

Configuración rápida de CLI

Para configurar rápidamente el portal cautivo en el conmutador después de completar las tareas en la sección Requisitos, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento

Procedimiento paso a paso
  1. Para crear un canal seguro para el acceso web al conmutador, configure el portal cautivo para HTTPS:

    Procedimiento paso a paso
    1. Asocie el certificado de seguridad con el servidor web y habilite HTTPS en el conmutador:

      Nota:

      Puede habilitar HTTP en lugar de HTTPS, pero le recomendamos que habilite HTTPS por motivos de seguridad.

    2. Configure el portal cautivo para usar HTTPS:

  2. Habilite una interfaz para el portal cautivo:

  3. (Opcional) Permitir a clientes específicos omitir la autenticación cautiva del portal:

    Nota:

    Si el cliente ya está conectado al conmutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el clear captive-portal mac-address mac-address comando después de agregar su dirección MAC a la lista de permitidos. De lo contrario, la nueva entrada para la dirección MAC no se agregará a la tabla de conmutación Ethernet y no se permitirá la omisión de autenticación.

    Nota:

    Opcionalmente, puede usar set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0 para limitar el ámbito a la interfaz.

  4. (Opcional) Para redirigir clientes a una página especificada en lugar de a la página que solicitaron originalmente, configure la DIRECCIÓN URL posterior a la autenticación:

Resultados

Muestra los resultados de la configuración:

Verificación

Para confirmar que la autenticación del portal cautivo está configurada y funciona correctamente, realice estas tareas:

Verificar que el portal cautivo está habilitado en la interfaz

Propósito

Verifique que el portal cautivo esté configurado en la interfaz ge-0/0/10.

Acción

Utilice el comando show captive-portal interface interface-name detaildel modo operativo:

Significado

El resultado confirma que el portal cautivo está configurado en la interfaz ge-0/0/10, con la configuración predeterminada para el número de reintentos, el período de silencio, el tiempo de espera de la sesión cp y el tiempo de espera del servidor.

Verifique que el portal cautivo funcione correctamente

Propósito

Verifique que el portal cautivo esté funcionando en el conmutador.

Acción

Conecte un cliente a la interfaz ge-0/0/10. Desde el cliente, abra un navegador web y solicite una página web. Debe mostrarse la página de inicio de sesión del portal cautivo que diseñó. Después de introducir la información de inicio de sesión y autenticarse en el servidor RADIUS, el explorador web debe mostrar la página que solicitó o la DIRECCIÓN URL posterior a la autenticación que configuró.

Solución de problemas

Para solucionar problemas del portal cautivo, realice esta tarea:

Portal cautivo para la solución de problemas

Problema

El conmutador no devuelve la página de inicio de sesión del portal cautivo cuando un usuario conectado a una interfaz de portal cautivo en el conmutador solicita una página web.

Solución

Puede examinar los contadores ARP, DHCP, HTTPS y DNS: si uno o más de estos contadores no se incrementan, esto proporciona una indicación de dónde se encuentra el problema. Por ejemplo, si el cliente no puede obtener una dirección IP, puede comprobar la interfaz del conmutador para determinar si el contador DHCP se incrementa: si el contador se incrementa, el conmutador recibió el paquete DHCP.