Cómo configurar un servidor proxy RADIUS
En este capítulo se proporciona información sobre cómo configurar el servidor proxy del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) para un dispositivo Juniper Mist™ Edge.
Descripción general del proxy RADIUS
En una red de Juniper Mist™, puede usar puntos de acceso (AP) como origen de mensajes de solicitud de acceso del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS). Con la función de proxy RADIUS, puede usar su dispositivo Juniper Mist Edge como fuente de mensajes de solicitud de acceso RADIUS.
Es imposible agregar todos los puntos de acceso como clientes individuales en el servidor RADIUS en un escenario de despliegue grande como cualquiera de estos:
-
Instalación de una gran cantidad de AP de Juniper Mist
-
Identificadores de conjunto de servicios (SSID) con autenticación 802.1x
Cuando configura un proxy RADIUS, en lugar de agregar los AP como clientes individuales, solo puede usar una IP (el proxy RADIUS).
El proxy RADIUS actúa como un servidor hacia los clientes RADIUS del punto de acceso inalámbrico y como un cliente hacia los servidores RADIUS.
Configurar un servidor proxy RADIUS
Antes de poder configurar un servidor proxy RADIUS para usarlo en su red de Juniper Mist, debe:
-
Reclame Mist Edge y configure IP de OOBM e IP de túnel.
-
Configure túneles y mapas de Mist con el clúster de Mist Edge.
-
Configure WLAN con autenticación RADIUS y reenvío a túneles de Mist.
La función de proxy RADIUS le permite usar un dispositivo Juniper Mist Edge como origen de los mensajes de solicitud de acceso RADIUS en lugar de usar el AP como origen. Esto significa que debe configurar el servidor RADIUS para permitir la IP OOBM de Juniper Mist Edge en lugar de agregar puntos de acceso individuales como clientes. O bien, si habilita la IP del túnel como origen, debe configurar el servidor RADIUS para permitir la IP del túnel. Estas opciones de configuración significan que puede omitir la adición de varios puntos de acceso individuales al servidor RADIUS para implementaciones más grandes.
Configurar un servidor RADIUS en el nivel de organización
De forma predeterminada, un dispositivo Juniper Mist Edge es un objeto de nivel de organización. Los puntos de acceso (AP) de Juniper Mist de todos los sitios pueden formar túneles con este objeto.
Para configurar un servidor RADIUS en el nivel de organización de la jerarquía de red:
Configurar la afinidad WLAN para servidores RADIUS en el nivel de organización
En una LAN inalámbrica (WLAN), se usan servidores RADIUS diferentes en la implementación en función del nombre del identificador de conjunto de servicios (SSID). Por ejemplo, su implementación puede usar un servidor RADIUS público para un SSID denominado eduroam , pero un servidor RADIUS diferente para todos los SSID corporativos. Juniper Mist Edge permite esta flexibilidad en su servicio de proxy RADIUS. Puede configurar este servicio para reenviar solicitudes de acceso (o contabilidad) RADIUS a un cliente específico de control de acceso a la red (NAC), basado en servidor, con un SSID único.
Para configurar la afinidad WLAN para un servidor RADIUS:
Configurar un servidor proxy RADIUS en el nivel de sitio
Antes de poder configurar un servidor proxy RADIUS en el nivel de sitio, debe configurar los túneles de Mist. Si no ha configurado los túneles, hágalo ahora, antes de continuar con la tarea de configuración. Consulte Implementación de Mist Edge en el nivel de sitio .
Para realizar la transición desde una arquitectura heredada o donde los sitios son lo suficientemente grandes como para alojar un Juniper Mist Edge, necesita una implementación distribuida. En tales casos, puede asignar dispositivos Juniper Mist Edge a un sitio y configurar la tunelización y el servicio proxy RADIUS para los puntos de acceso (AP) del sitio.
Para configurar un servidor proxy RADIUS en el nivel de sitio:Configurar la afinidad WLAN para un servidor RADIUS en el sitio
En una LAN inalámbrica (WLAN), se usan servidores RADIUS diferentes en la implementación en función del nombre del identificador de conjunto de servicios (SSID). Por ejemplo, su implementación puede usar un servidor RADIUS público para un SSID denominado SSID eduroam , pero un servidor RADIUS diferente para todos los SSID corporativos. Juniper Mist Edge permite esta flexibilidad en su servicio de proxy RADIUS. Puede configurar este servicio para reenviar solicitudes de acceso (o contabilidad) RADIUS a un cliente específico de control de acceso a la red (NAC), basado en servidor, con un SSID único.
Además, si utiliza un dispositivo Juniper Mist Edge en el nivel de sitio, puede configurar un servidor RADIUS específicamente para ese dispositivo.
Para configurar la afinidad WLAN para un servidor RADIUS en el perímetro del sitio: