Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Cómo configurar un servidor proxy RADIUS

En este capítulo se proporciona información sobre cómo configurar el servidor proxy del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) para un dispositivo Juniper Mist™ Edge.

Descripción general del proxy RADIUS

En una red de Juniper Mist™, puede usar puntos de acceso (AP) como origen de mensajes de solicitud de acceso del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS). Con la función de proxy RADIUS, puede usar su dispositivo Juniper Mist Edge como fuente de mensajes de solicitud de acceso RADIUS.

Es imposible agregar todos los puntos de acceso como clientes individuales en el servidor RADIUS en un escenario de despliegue grande como cualquiera de estos:

  • Instalación de una gran cantidad de AP de Juniper Mist

  • Identificadores de conjunto de servicios (SSID) con autenticación 802.1x

Cuando configura un proxy RADIUS, en lugar de agregar los AP como clientes individuales, solo puede usar una IP (el proxy RADIUS).

El proxy RADIUS actúa como un servidor hacia los clientes RADIUS del punto de acceso inalámbrico y como un cliente hacia los servidores RADIUS.

Configurar un servidor proxy RADIUS

Antes de poder configurar un servidor proxy RADIUS para usarlo en su red de Juniper Mist, debe:

  • Reclame Mist Edge y configure IP de OOBM e IP de túnel.

  • Configure túneles y mapas de Mist con el clúster de Mist Edge.

  • Configure WLAN con autenticación RADIUS y reenvío a túneles de Mist.

La función de proxy RADIUS le permite usar un dispositivo Juniper Mist Edge como origen de los mensajes de solicitud de acceso RADIUS en lugar de usar el AP como origen. Esto significa que debe configurar el servidor RADIUS para permitir la IP OOBM de Juniper Mist Edge en lugar de agregar puntos de acceso individuales como clientes. O bien, si habilita la IP del túnel como origen, debe configurar el servidor RADIUS para permitir la IP del túnel. Estas opciones de configuración significan que puede omitir la adición de varios puntos de acceso individuales al servidor RADIUS para implementaciones más grandes.

Configurar un servidor RADIUS en el nivel de organización

De forma predeterminada, un dispositivo Juniper Mist Edge es un objeto de nivel de organización. Los puntos de acceso (AP) de Juniper Mist de todos los sitios pueden formar túneles con este objeto.

Para configurar un servidor RADIUS en el nivel de organización de la jerarquía de red:

  1. En el portal de Juniper Mist, vaya a Mist Edges > Mist Edge Clusters y seleccione un clúster.
  2. En la ventana Proxy Radius, haga clic en el botón de Enabled opción.
  3. Haga clic Add server junto a Servidores de autenticación RADIUS.
  4. Escriba el Hostname archivo y Shared Secret.
  5. Haga clic en la marca de verificación azul para guardar la configuración.

    Los servidores de autenticación y contabilidad Radius están en una lista ordenada. Esto implica que si no se puede acceder al primer servidor, el proxy RADIUS reenvía la solicitud al siguiente servidor disponible en la lista.

  6. (Opcional) Seleccione la casilla de Enable Key Wrap verificación para habilitar el ajuste de claves. Seleccione el servidor de autenticación Radius en la lista e introduzca el Key Encryption Key valor y Message Authenticator Code Key. Esta acción habilita campos adicionales de tipo de clave (seleccione ASCII o Hex) y valores de clave.
  7. Repita los pasos del 2 al 6 para los servidores de contabilidad RADIUS.
  8. (Opcional) Active la Tunnel IP as Source casilla si desea que los paquetes RADIUS (y la contabilidad) se originen con el origen como IP de túnel.
    Nota:

    En este caso, el cliente del servidor de acceso a la red (NAS) en el servidor de autenticación, autorización y contabilidad (AAA) es la IP de túnel de Juniper Mist Edge. De lo contrario, sería IP de administración fuera de banda (OOBM).
  9. Haga clic en el Save botón para guardar la configuración del proxy RADIUS en el clúster de Juniper Mist Edge.
    Si lo prefiere, puede configurar el servidor RADIUS mediante la API. La siguiente es la carga de la API.

Configurar la afinidad WLAN para servidores RADIUS en el nivel de organización

En una LAN inalámbrica (WLAN), se usan servidores RADIUS diferentes en la implementación en función del nombre del identificador de conjunto de servicios (SSID). Por ejemplo, su implementación puede usar un servidor RADIUS público para un SSID denominado eduroam , pero un servidor RADIUS diferente para todos los SSID corporativos. Juniper Mist Edge permite esta flexibilidad en su servicio de proxy RADIUS. Puede configurar este servicio para reenviar solicitudes de acceso (o contabilidad) RADIUS a un cliente específico de control de acceso a la red (NAC), basado en servidor, con un SSID único.

Para configurar la afinidad WLAN para un servidor RADIUS:

  1. En el portal de Juniper Mist, vaya a Mist Edges.
  2. En el panel Clústeres de Mist Edges, seleccione un clúster existente o cree uno.
  3. Configure el servidor proxy RADIUS siguiendo los pasos del procedimiento titulado Configurar un servidor RADIUS en el nivel de organización.
  4. En la ventana Proxy Radius, active la casilla Coincidir con SSID. Aparece un nuevo menú desplegable SSID para cada servidor de autenticación RADIUS y servidor de contabilidad RADIUS.
  5. Seleccione uno o más SSID para este servidor RADIUS haciendo clic en Agregar (+) debajo del SSID.
    Nota:

    El menú desplegable muestra el SSID solo con autenticación 802.1x o MAB. Recomendamos configurar nombres SSID únicos en todos los sitios, si la administración tiene la intención de utilizar servidores RADIUS diferentes.
  6. Haga clic en la marca de verificación azul para guardar la configuración del servidor.
  7. (Opcional) Puede repetir los pasos 5 y 6 para cualquier servidor de autenticación RADIUS adicional de la lista.
  8. Puede repetir los pasos del 5 al 7 para configurar la afinidad WLAN para los servidores de contabilidad RADIUS.
  9. Haga clic en Guardar para guardar la configuración del proxy RADIUS para el clúster.
    Si lo prefiere, puede configurar la afinidad WLAN para el servidor RADIUS mediante la API.

    A continuación se muestra la API y un blob de ejemplo con la configuración. Esta configuración garantiza que Juniper Mist Edge reciba información de configuración relacionada con RADIUS e inicie el servicio proxy RADIUS.

Configurar un servidor proxy RADIUS en el nivel de sitio

Antes de poder configurar un servidor proxy RADIUS en el nivel de sitio, debe configurar los túneles de Mist. Si no ha configurado los túneles, hágalo ahora, antes de continuar con la tarea de configuración. Consulte Implementación de Mist Edge en el nivel de sitio .

Para realizar la transición desde una arquitectura heredada o donde los sitios son lo suficientemente grandes como para alojar un Juniper Mist Edge, necesita una implementación distribuida. En tales casos, puede asignar dispositivos Juniper Mist Edge a un sitio y configurar la tunelización y el servicio proxy RADIUS para los puntos de acceso (AP) del sitio.

Para configurar un servidor proxy RADIUS en el nivel de sitio:
  1. En el portal de Juniper Mist, vaya a Configuración de la organización > los sitios y seleccione un sitio.
    Aparecerá la ventana de configuración del sitio.
  2. En la ventana Proxy RADIUS, haga clic en el Enable botón para habilitar el servidor proxy RADIUS.
  3. Haga clic en Agregar servidor.
  4. Configure los detalles del servidor introduciendo valores para Hostname, Port, y Shared Secret.
  5. (Opcional) Seleccione la casilla de Enable Key Wrap verificación para habilitar el ajuste de claves. Seleccione el servidor de autenticación Radius en la lista e introduzca el Key Encryption Key valor y Message Authenticator Code Key. Esto habilita campos adicionales de tipo de clave (seleccione ASCII o hexadecimal) y valores de clave.
  6. [Opcional] Active la Tunnel IP as Source casilla si desea que los paquetes RADIUS (y la contabilidad) se originen con IP de túnel como origen.
  7. Haga clic en la marca de verificación azul para guardar la configuración.
  8. Repita los pasos 2 a 7 para los servidores de contabilidad RADIUS.
    Si lo prefiere, puede configurar un servidor RADIUS en el nivel de sitio mediante la API. La siguiente es la carga de la API.

Configurar la afinidad WLAN para un servidor RADIUS en el sitio

En una LAN inalámbrica (WLAN), se usan servidores RADIUS diferentes en la implementación en función del nombre del identificador de conjunto de servicios (SSID). Por ejemplo, su implementación puede usar un servidor RADIUS público para un SSID denominado SSID eduroam , pero un servidor RADIUS diferente para todos los SSID corporativos. Juniper Mist Edge permite esta flexibilidad en su servicio de proxy RADIUS. Puede configurar este servicio para reenviar solicitudes de acceso (o contabilidad) RADIUS a un cliente específico de control de acceso a la red (NAC), basado en servidor, con un SSID único.

Además, si utiliza un dispositivo Juniper Mist Edge en el nivel de sitio, puede configurar un servidor RADIUS específicamente para ese dispositivo.

Para configurar la afinidad WLAN para un servidor RADIUS en el perímetro del sitio:

  1. En el portal de Juniper Mist, vaya a Configuración > la organización.
  2. En la página Sitios, seleccione un sitio de la lista.
  3. Habilite el proxy Radius para el proxy de Juniper Mist Edge en la WLAN.
    Para completar el procedimiento, consulte el paso 3 en Configurar un servidor RADIUS en el nivel de organización de la jerarquía de red.
  4. Para completar la configuración, habilite la autenticación 802.1x/MAB en la WLAN tunelizada y seleccione el proxy de borde de Mist como servidor RadSec dentro de la configuración de WLAN.