Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación de portales cautivos

Puede controlar el acceso a la red a través de un conmutador con distintas autenticaciones. Los conmutadores de Junos OS admiten 802.1 X, MAC RADIUS y portal cautivo como métodos de autenticación para los dispositivos que necesitan conectarse a una red. Puede configurar una autenticación del portal cautivo en un conmutador para redirigir las solicitudes del navegador web a una página de inicio de sesión que requiere que el usuario introduzca un nombre de usuario y una contraseña. Para obtener más información, lea este tema.

Ejemplo Configuración de la autentificación del portal cautivo en un conmutador de la serie EX

Puede configurar una autenticación del portal cautivo (que en lo sucesivo se denomina portal cautivo) en un conmutador para redirigir las solicitudes del explorador Web a una página de inicio de sesión que requiere que el usuario introduzca un nombre de usuario y una contraseña. Tras una autenticación correcta, se permite que el usuario continúe con la solicitud de página original y subsiguiente acceso a la red.

En este ejemplo se describe cómo configurar un portal cautivo en un conmutador de la serie EX:

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un conmutador de serie EX que admita portales cautivos

  • Junos OS versión 10,1 o posterior para conmutadores de la serie EX

Antes de comenzar, asegúrese de que dispone de lo siguiente:

Descripción general y topología

Este ejemplo muestra la configuración requerida en el conmutador para activar el portal cautivo en una interfaz. Para permitir que una impresora conectada a la interfaz del portal cautivo acceda a la LAN sin pasar por el portal cautivo, agregue su dirección MAC a la lista de permitidor de autenticación. Las direcciones MAC de esta lista tienen permitido el acceso a la interfaz sin el portal cautivo.

Topología

La topología de este ejemplo consta de un conmutador de la serie EX conectado a una RADIUS servidor de autenticación. Una interfaz en el conmutador se configura para el portal cautivo. En este ejemplo, la interfaz está configurada en el modo suplicante múltiple.

Automática

Para configurar el portal cautivo en su conmutador:

Configuración rápida de CLI

Para configurar rápidamente el portal cautivo en el conmutador después de completar las tareas de la sección requisitos, copie los siguientes comandos y péguelos en la ventana del conmutador de terminal:

Modalidades

Procedimiento paso a paso

Para configurar el portal cautivo en el conmutador:

  1. Defina la dirección IP del servidor, el número de puerto de autenticación del servidor y configure la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor:

  2. Configure el orden de autenticación radius , realizando el primer método de autenticación:

  3. Configure la dirección IP del servidor que se va a intentar para autenticar al solicitante:

  4. Activar acceso HTTP en el conmutador:

  5. Para crear un canal seguro para acceso web al conmutador, configure portal cautivo para HTTPS:

    Nota:

    Puede habilitar HTTP sin activar HTTPS, pero recomendamos HTTPS por motivos de seguridad.

    Procedimiento paso a paso
    1. Asocie el certificado de seguridad con el servidor Web y habilite el acceso HTTPS en el conmutador:

    2. Configure portal cautivo para usar HTTPS:

  6. Activar una interfaz para portales cautivos:

  7. Especifique el nombre del perfil de acceso que se utilizará para la autenticación de portales cautivos:

  8. Adicional Permitir a clientes específicos omitir el portal cautivo:

    Nota:

    Si el cliente ya está conectado al conmutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el comando después de agregar su dirección MAC a clear captive-portal mac-address mac-address la lista de permitidos. De lo contrario, no se agregará la nueva entrada del dirección MAC a la tabla de conmutación Ethernet y no se permitirá el bypass de autenticación.

    Nota:

    Opcionalmente, puede usar set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0 para limitar el ámbito a la interfaz.

  9. Adicional Para redirigir los clientes a una página especificada en lugar de a la página solicitada originalmente, configure la dirección URL posterior a la autenticación:

Resultados

Mostrar los resultados de la configuración:

Comproba

Para confirmar que el portal cautivo está configurado y funciona correctamente, realice estas tareas:

Verificación de que el portal cautivo esté habilitado en la interfaz

Purpose

Compruebe que el portal cautivo esté configurado en interface GE-0/0/10.

Intervención

Utilice el comando show captive-portal interface interface-name detailmodo de operación:

Efectos

La salida confirma que el portal cautivo está configurado en interface GE-0/0/10 con la configuración predeterminada de número de reintentos, período no interactivo, tiempo de espera de sesión de CP y tiempo de espera del servidor.

Comprobar que el portal cautivo funciona correctamente

Purpose

Verifique que el portal cautivo esté trabajando en el conmutador.

Intervención

Conecte un cliente a la interfaz GE-0/0/10. Desde el cliente, abra un explorador Web y solicite una página web. Debe mostrarse la página de inicio de sesión del portal que ha diseñado. Una vez que haya introducido su información de inicio de sesión y esté autenticado en el RADIUS servidor, el navegador Web deberá mostrar la página solicitada o la URL posterior a la autenticación que haya configurado.

Solución de problemas

Para solucionar problemas del portal cautivo, realice estas tareas:

Solución de problemas del portal cautivo

Relacionado

El conmutador no regresa a la página de inicio de sesión del portal cautivo cuando un usuario conectado a una interfaz de portales cautivos en el conmutador solicita una página web.

Solución

Puede examinar los contadores ARP, DHCP, HTTPS y DNS: si uno o más de estos contadores no se incrementan, esto indica dónde se encuentra el problema. Por ejemplo, si el cliente no puede obtener una dirección IP, compruebe la interfaz del conmutador para determinar si el contador DHCP se incrementa: si el contador se incrementa, el paquete DHCP fue recibido por el conmutador.

Configuración de la autenticación del portal cautivo (procedimiento de CLI)

Configure la autenticación del portal cautivo (en lo sucesivo denominado portal cautivo) en un conmutador de la serie EX de manera que los usuarios conectados al conmutador se autentiquen antes de que puedan acceder a la red. Cuando el usuario solicita una página web, aparece una página de inicio de sesión que requiere que el usuario introduzca un nombre de usuario y una contraseña. Tras una autenticación correcta, se permite que el usuario continúe con la solicitud de página original y subsiguiente acceso a la red.

Antes de comenzar, asegúrese de que dispone de lo siguiente:

Este tema incluye las siguientes tareas:

Configuración del acceso seguro para el portal cautivo

Para configurar el acceso seguro para el portal cautivo:

  1. Activar acceso HTTP en el conmutador:
  2. Asocie el certificado de seguridad con el servidor Web y habilite el acceso HTTPS en el conmutador:
    Nota:

    Puede habilitar HTTP sin HTTPS, pero recomendamos HTTPS por motivos de seguridad.

  3. Configure portal cautivo para usar HTTPS:

Cómo activar una interfaz para portales cautivos

Para activar una interfaz para portales cautivos:

Por ejemplo, para habilitar el portal cautivo en la interfaz GE-0/0/10:

Configuración del bypass de la autentificación del portal cautivo

Para permitir que clientes específicos pasen por alto el portal cautivo:

Por ejemplo, para permitir que determinados clientes pasen por alto el portal cautivo:

Nota:

Opcionalmente, puede usar set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0 para limitar el ámbito a la interfaz.

Nota:

Si el cliente ya está conectado al conmutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el comando después de agregar su dirección MAC a clear captive-portal mac-address mac-address la lista de permitidos. De lo contrario, no se agregará la nueva entrada del dirección MAC a la tabla de conmutación Ethernet y no se permitirá el bypass de autenticación.

Diseño de una autenticación de portal cautivo página de inicio de sesión en conmutadores

Puede configurar una autenticación del portal cautivo en su conmutador para redirigir todas las solicitudes del navegador web a una página de inicio de sesión que requiere que los usuarios introduzcan un nombre de usuario y una contraseña antes de permitir el acceso. Tras una autenticación correcta, se permite que los usuarios tengan acceso a la red y se les redireccione a la página original solicitada.

Junos OS ofrece una plantilla personalizable para la ventana del portal cautivo que le permite diseñar y modificar fácilmente la apariencia de la página de conexión de portales cautivos. Puede modificar los elementos de diseño de la plantilla para cambiar la apariencia de su página de conexión del portal cautivo y agregar instrucciones o información a la página. También puede modificar cualquiera de los elementos de diseño de una página de conexión del portal cautivo.

La primera pantalla mostrada antes de la página de inicio de sesión cautivo requiere que el usuario Lea los términos y condiciones de uso. Al hacer clic en el botón Aceptar, el usuario puede acceder a la página de conexión del portal cautivo.

Figura 1muestra un ejemplo de una página de inicio de sesión en el portal cautivo:

Figura 1: Ejemplo de una página de inicio de sesión del portal cautivoEjemplo de una página de inicio de sesión del portal cautivo

Tabla 1resume los elementos configurables de una página de inicio de sesión del portal cautivo.

Tabla 1: Elementos configurables de una página de inicio de sesión del portal cautivo
Elemento Declaración de la CLI Descripción

Color de fondo de pie de página

footer-bgcolor hex-color

Código hexadecimal HTML para el color de fondo del pie de página de inicio de sesión del portal cautivo.

Mensaje de pie de página

footer-message text-string

Texto que se muestra en el pie de la página de inicio de sesión del portal cautivo. Puede incluir información de copyright, vínculos e información adicional, como instrucciones de ayuda, avisos legales o una política de privacidad

El texto predeterminado que se muestra en el pie de página es Copyright @2010, Juniper Networks Inc.

Color del texto del pie de página

footer- text-color color

Color del texto del pie de página. El color predeterminado es el blanco.

Color de fondo de encabezado de formulario

form-header-bgcolor hex-color

Código hexadecimal HTML para el color de fondo de la barra de encabezado a lo largo de la parte superior del área de formulario de la página de inicio de sesión en el portal cautivo.

Mensaje de encabezado de formulario

form-header-message text-string

Texto que se muestra en el encabezado de la página de inicio de sesión del portal cautivo. El texto predeterminado es Captive Portal User Authentication .

Color de texto de encabezado de formulario

form-header- text- color colora

Color del texto en el encabezado del formulario. El color predeterminado es el negro.

Etiqueta de botón de restablecimiento de formulario

form-reset-label label-name

Con el botón, el usuario puede borrar los campos de nombre de usuario y Reset contraseña en el formulario.

Etiqueta de botón de envío de formulario

form-submit-label label-name

Con el Login botón, el usuario puede enviar la información de inicio de sesión.

Color de fondo de encabezado

header-bgcolor hex-color

Código hexadecimal HTML para el color de fondo del encabezado de página de inicio de sesión del portal cautivo.

Logotipo-encabezado

header-logo filename

Nombre del fichero que contiene la imagen del logotipo que desea que aparezca en el encabezado de la página de inicio de sesión del portal cautivo. El archivo de imagen puede tener formato GIF, JPEG o PNG.

Puede cargar un archivo de imagen de logotipo en el conmutador. Copie el logotipo en el directorio/var/tmp del conmutador (durante la confirmación, los archivos se guardan en ubicaciones persistentes).

Si no especifica ninguna imagen de logotipo, aparecerá el logotipo Juniper Networks.

Mensaje de encabezado

header-message text-string

Texto que se muestra en el encabezado de página. El texto predeterminado es User Authentication .

Color de texto de encabezado

header-text- colorcolora

Color del texto del encabezado. El color predeterminado es el blanco.

Dirección URL posterior a la autenticación

post-authentication-url url

Dirección URL a la que se dirige a los usuarios en una autenticación correcta. De forma predeterminada, los usuarios se dirigen a la página que habían solicitado originalmente.

Para diseñar la página de inicio de sesión en el portal cautivo:

  1. Adicional Cargue su archivo de imagen de logotipo en el conmutador:
  2. Configure las opciones personalizadas para especificar los colores y el texto de fondo mostrados en la página del portal cautivo:

Ahora puede confirmar la configuración.

Nota:

Para las opciones personalizadas que no se especifican, se utiliza el valor predeterminado.

Configuración de la autenticación del portal cautivo (procedimiento de la CLI) en un conmutador de serie EX con soporte de ELS

Nota:

Esta tarea utiliza Junos OS para los conmutadores compatibles con el estilo de configuración Enhanced Layer 2 software (ELS). Si su conmutador funciona con software que no admite ELS, consulte Configuring cautivo portal Authentication (procedimiento de la CLI). Para obtener detalles de ELS, consulte uso de la avanzada CLI de software de capa 2.

Configure la autenticación del portal cautivo (en lo sucesivo denominado portal cautivo) en un conmutador de manera que los usuarios conectados al conmutador se autentiquen antes de que puedan acceder a la red. Cuando el usuario solicita una página web, se muestra un inicio de sesión que requiere que el usuario escriba un nombre de usuario y una contraseña. Tras una autenticación correcta, se permite que el usuario continúe con la solicitud de página original y subsiguiente acceso a la red.

Antes de comenzar, asegúrese de que dispone de lo siguiente:

Este tema incluye las siguientes tareas:

Configuración del acceso seguro para el portal cautivo

Para configurar el acceso seguro para el portal cautivo:

  1. Asocie el certificado de seguridad con el servidor Web y habilite HTTPS en el conmutador:
    Nota:

    Puede activar HTTP en lugar de HTTPS, pero recomendamos HTTPS por motivos de seguridad.

  2. Configure portal cautivo para usar HTTPS:

Cómo activar una interfaz para portales cautivos

Para activar una interfaz para su uso con autenticación de portales:

Configuración del bypass de la autentificación del portal cautivo

Puede permitir que clientes específicos omitan la autenticación del portal cautivo:

Nota:

Opcionalmente, puede usar set switch-options authentication-whitelist mac-address interface interface-name para limitar el ámbito a la interfaz.

Nota:

Si el cliente ya está conectado al conmutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el comando después de agregar su dirección MAC a clear captive-portal mac-address session-mac-addr la lista de permitidos. De lo contrario, la nueva entrada del dirección MAC no se agregará a la tabla de conmutación Ethernet y no se permitirá la omisión de autenticación.

Ejemplo Configuración de una autenticación de portal cautivo en un conmutador de la serie EX con ELS

Nota:

En este ejemplo se utiliza Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 software (ELS). Si su conmutador ejecuta software que no admite ELS, consulte ejemplo: Configuración de una autenticación de portal cautivo en un conmutadorde la serie ex. Para obtener detalles de ELS, consulte uso de la avanzada CLI de software de capa 2.

Puede configurar una autenticación del portal cautivo (que en lo sucesivo se denomina portal cautivo) en un conmutador para redirigir las solicitudes del explorador Web a una página de inicio de sesión que requiere que el usuario introduzca un nombre de usuario y una contraseña. Tras una autenticación correcta, se permite que el usuario continúe con la solicitud de página original y subsiguiente acceso a la red.

En este ejemplo se describe cómo configurar un portal cautivo en un conmutador de la serie EX:

Aplicables

En este ejemplo se utilizan los siguientes componentes de software y hardware:

  • Junos OS versión 13.2 X50 o posterior para conmutadores de la serie EX

  • Un conmutador de serie EX con compatibilidad para ELS

Antes de comenzar, asegúrese de que dispone de lo siguiente:

Descripción general y topología

Este ejemplo muestra la configuración requerida en el conmutador para activar el portal cautivo en una interfaz. Para permitir que una impresora conectada a la interfaz del portal cautivo acceda a la LAN, agregue su dirección MAC a la lista de permitidor de autenticación y asígnela a una VLAN, vlan1. Las direcciones MAC de esta lista tienen permitido el acceso a la interfaz sin llevar a cabo una autenticación del portal.

Topología

La topología de este ejemplo consta de un conmutador de la serie EX conectado a una RADIUS servidor de autenticación. Una interfaz en el conmutador se configura para el portal cautivo. En este ejemplo, la interfaz está configurada en el modo suplicante múltiple.

Automática

Para configurar el portal cautivo en su conmutador:

Configuración rápida de CLI

Para configurar rápidamente el portal cautivo en el conmutador después de completar las tareas de la sección requisitos, copie los siguientes comandos y péguelos en la ventana del conmutador de terminal:

Modalidades

Procedimiento paso a paso
  1. Para crear un canal seguro para acceso web al conmutador, configure portal cautivo para HTTPS:

    Procedimiento paso a paso
    1. Asocie el certificado de seguridad con el servidor Web y habilite HTTPS en el conmutador:

      Nota:

      Puede activar HTTP en lugar de HTTPS, pero recomendamos que habilite HTTPS por motivos de seguridad.

    2. Configure portal cautivo para usar HTTPS:

  2. Activar una interfaz para portales cautivos:

  3. Adicional Permitir a clientes específicos eludir la autenticación de portales cautivos:

    Nota:

    Si el cliente ya está conectado al conmutador, debe borrar su dirección MAC de la autenticación del portal cautivo mediante el comando después de agregar su dirección MAC a clear captive-portal mac-address mac-address la lista de permitidos. De lo contrario, la nueva entrada del dirección MAC no se agregará a la tabla de conmutación Ethernet y no se permitirá el bypass de autenticación.

    Nota:

    Opcionalmente, puede usar set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0 para limitar el ámbito a la interfaz.

  4. Adicional Para redirigir los clientes a una página especificada en lugar de a la página solicitada originalmente, configure la dirección URL posterior a la autenticación:

Resultados

Mostrar los resultados de la configuración:

Comproba

Para confirmar que la autenticación del portal cautivo está configurada y funciona correctamente, realice estas tareas:

Verificación de que el portal cautivo esté habilitado en la interfaz

Purpose

Verifique que el portal cautivo esté configurado en la interfaz GE-0/0/10.

Intervención

Utilice el comando show captive-portal interface interface-name detailmodo de operación:

Efectos

La salida confirma que el portal cautivo está configurado en la ge-0/0/10interfaz, con la configuración predeterminada para el número de reintentos, el período no interactivo, el tiempo de espera de sesión de CP y el tiempo de espera del servidor.

Comprobar que el portal cautivo funciona correctamente

Purpose

Verifique que el portal cautivo esté trabajando en el conmutador.

Intervención

Conecte un cliente a la interfaz GE-0/0/10. Desde el cliente, abra un explorador Web y solicite una página web. Debe mostrarse la página de inicio de sesión del portal que ha diseñado. Una vez que haya introducido su información de inicio de sesión y esté autenticado en el RADIUS servidor, el navegador Web deberá mostrar la página solicitada o la URL posterior a la autenticación que haya configurado.

Solución de problemas

Para solucionar problemas del portal cautivo, realice esta tarea:

Solución de problemas del portal cautivo

Relacionado

El conmutador no regresa a la página de inicio de sesión del portal cautivo cuando un usuario conectado a una interfaz de portales cautivos en el conmutador solicita una página web.

Solución

Puede examinar los contadores ARP, DHCP, HTTPS y DNS: si uno o más de estos contadores no se incrementan, esto indica dónde se encuentra el problema. Por ejemplo, si el cliente no puede obtener una dirección IP, puede comprobar la interfaz del conmutador para determinar si el contador DHCP se está incrementando: si el contador se incrementa, el paquete DHCP fue recibido por el conmutador.