Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Habilitar la seguridad empresarial WPA2/WPA3 (802.1X) en una WLAN

Active WPA2/WPA3 Enterprise en su WLAN para la autenticación avanzada mediante un servidor RADIUS.

Estos temas le guían a través de los pasos básicos para habilitar la seguridad 802.1x y agregar el servidor RADIUS, con información adicional acerca de varias opciones.

Establezca el tipo de seguridad WLAN y agregue su servidor RADIUS

Juniper Mist admite la seguridad IEEE 802.1X para WPA2 y WPA3.

Nota:

WPA3 u OWE son obligatorios en 6 GHz. Adoptar 6 GHz, también significa adoptar WPA3.

Para establecer el tipo de seguridad WLAN y agregar el servidor RADIUS:

  1. Vaya a la WLAN.
    • Si la WLAN está en una plantilla WLAN, seleccione Organización > inalámbrico | Plantillas WLAN, haga clic en la plantilla y, a continuación, haga clic en la WLAN.

    • Para una WLAN de nivel de sitio, seleccione WLAN de sitio > inalámbrica> y, a continuación, haga clic en WLAN.

  2. En la sección Seguridad de la ventana Editar WLAN:
    1. Haga clic en WPA3 o WPA2.
    2. Haga clic en Empresa (802.1X).

    La autenticación RADIUS solo está disponible cuando seleccionó WPA2/WPA3 y Enterprise (802.1X) en la sección Seguridad.

    Security Type Section of the Edit/Create WLAN Page
  3. En la sección Servidores de autenticación, agregue el servidor.
    1. Seleccione RADIUS como tipo de servidor.
    2. Haga clic en Agregar servidor.
      Add Server Button
    3. Escriba el nombre de host y el secreto compartido.
      Nota:

      Puede utilizar variables de sitio en lugar de escribir el nombre de host. Consulte (Opcional) Usar variables de sitio para agregar un servidor.

    4. Haga clic en el botón de marca de verificación.
      Hostname, Shared Secret, and Checkmark Button
  4. (Opcional) Configure opciones adicionales para su WLAN si es necesario (como se describe en las secciones restantes de este documento).
  5. Guarde la configuración de WLAN y guarde los cambios de plantilla (si WLAN forma parte de una plantilla de WLAN).

(Opcional) Usar variables de sitio para agregar un servidor

Mediante el uso de variables de sitio para identificar su servidor RADIUS, puede aplicar fácilmente la misma configuración de WLAN a los AP en diferentes sitios, aunque ciertos atributos sean diferentes. En este escenario, imagine que el sitio A y el sitio B usan servidores RADIUS diferentes. Utilizará variables para agregar el servidor RADIUS en la configuración de WLAN. A continuación, definirá las variables de manera diferente en las dos configuraciones del sitio.

Para usar variables de sitio para agregar un servidor:

  1. Defina las variables de sitio en la configuración del sitio para el primer sitio:
    1. Seleccione Configuración de organización > sitio en el menú izquierdo del portal de Juniper Mist.
    2. Haga clic en el sitio que desea configurar, como Sitio A.
    3. En la sección Variables del sitio, haga clic en Agregar variable.
    4. Escriba un nombre de variable y un valor para la dirección IP del servidor RADIUS y, a continuación, haga clic en Guardar.

      Como se muestra a continuación, ingrese {{RADIUS_IP}} para Variable. Introduzca la dirección IP real para Valor.

      Entering the Variable Name and Value
    5. Agregue una variable para el secreto compartido, como {{RADIUS_Secret}}, e introduzca el secreto compartido real para este servidor como valor.

      Después de agregar las dos variables, aparecen en la sección Variables del sitio de la página Configuración del sitio.

      Example: Site Variables List on the Site Configuration Page
  2. Agregue las mismas variables al siguiente sitio (sitio B) e introduzca los valores correctos para el servidor RADIUS de ese sitio.
    Por ejemplo, en la configuración del sitio para el sitio B, agregue la misma variable {{RADIUS_Server}}. En el campo Valor , escriba la dirección IP real del servidor RADIUS del sitio B. Agregue también la misma variable {{RADIUS_Secret}} e ingrese el secreto compartido correcto para el valor.
  3. Haga clic en Guardar en la esquina superior derecha de la página Configuración del sitio.
  4. Establezca el tipo de seguridad WLAN y agregue su servidor RADIUS, e ingrese variables para los detalles del servidor.

    Por ejemplo, utilice variables al agregar un servidor RADIUS o un servidor CoA/DM.

    En este ejemplo, el nombre de host es {{RADIUS_IP}} y el secreto compartido es {{RADIUS_Secret}}.

    Example: Variables in the Hostname and Shared Secret Fields
  5. Guarde la configuración de WLAN.

(Opcional) Agregar un identificador NAS y una dirección IP NAS

Cuando habilita la seguridad 802.1X en una WLAN, puede agregar un identificador de NAS o una dirección IP de NAS para personalizar la información que se pasa a su servidor RADIUS.

Por ejemplo, puede introducir el ID del sitio (en una WLAN a nivel de sitio) o una variable de nombre de sitio (en una plantilla WLAN) como identificador del NAS. Con este enfoque, puede asociar toda la actividad con un sitio para facilitar sus procesos de auditoría / contabilidad o para crear diferentes reglas RADIUS para diferentes sitios. Otro ejemplo es introducir la palabra Mist como identificador del NAS. De esta forma, puede crear una regla RADIUS diferente o una experiencia de portal de invitados para el tráfico procedente de Mist.

Si deja el campo Identificador de NAS en blanco, el ID de WLAN se utiliza como ID de NAS.

Puede introducir texto sin formato y variables. Las siguientes variables son válidas en este campo:

  • Nombre del dispositivo: {{DEVICE_NAME}}

  • Modelo—{{DEVICE_MODEL}}

  • Dirección MAC: {{DEVICE_MAC}}

  • Nombre del sitio—{{SITE_NAME}}

En este ejemplo se muestra cómo se puede usar tanto el texto como las variables en el ID.

Example: Using Variables in the NAS Identifier Field

Como se muestra a continuación, cuando un AP en esta WLAN envía una solicitud de acceso, las variables se transforman para identificar el AP.

Example: Access-Request Contents Including NAS-ID

Como alternativa, especifique una dirección IP del NAS. Normalmente, Mist pasa a través de la dirección IP real del AP. Sin embargo, es posible que desee especificar una dirección IP que se utilizará para toda la actividad, de modo que pueda hacer referencia a ella en sus directivas RADIUS.

Puede agregar el identificador del NAS o la dirección IP del NAS en la ventana Editar/Crear WLAN.

(Opcional) Agregar un servidor CoA/DM

Cuando habilita la seguridad 802.1X en una WLAN, también puede agregar un servidor CoA/DM.

Cambio de autorización (CoA) le permite modificar las sesiones RADIUS autorizadas después de la autenticación inicial para cumplir con los requisitos de acceso cambiantes. Por ejemplo, habilite casos de uso como restablecimientos de sesión iniciados por el administrador.

Nota:

Para obtener más información, consulte Cambio de autorización (CoA).

(Opcional) Habilitar RadSec

RadSec es un protocolo que permite a los servidores RADIUS transferir datos a través de TCP y TLS para mayor seguridad. Con las capacidades de RadSec, puede transferir paquetes RADIUS a través de redes públicas y, al mismo tiempo, garantizar la seguridad de extremo a extremo a través de la capa de transporte.
Para habilitar RadSec e instalar los certificados:
  1. Después de establecer el tipo de seguridad WLAN y agregar el servidor RADIUS, agregue el servidor RadSec:
    1. En la sección Servidores de autenticación, seleccione RadSec en la lista desplegable.
    2. Introduzca el nombre del servidor.
    3. Haga clic en Agregar servidor e introduzca el nombre de host.
      RadSec Settings
    4. Haga clic en el botón de marca de verificación para agregar el servidor.
    5. Guarde la configuración de WLAN y guarde los cambios de plantilla (si WLAN forma parte de una plantilla de WLAN).
  2. Obtenga su certificado de Mist desde la configuración de su organización:
    1. Seleccione Configuración del > de la organización en el menú izquierdo del portal de Juniper Mist.
    2. En Certificado de Mist, haga clic en Ver certificado. Copie el certificado. Lo necesitará para el siguiente paso.
  3. Vaya a su servidor RadSec y complete estas tareas:
    1. Cargue el certificado de Mist copiado.
    2. Copie su certificado RadSec de su servidor RadSec. Lo necesitará para el siguiente paso.
  4. Vuelva a la página Configuración de la organización en el portal de Juniper Mist y agregue su certificado de RadSec:
    1. En Certificados RadSec, haga clic en Agregar un certificado RadSec.
    2. Pegue el contenido del certificado desde su servidor RadSec.
    3. Haga clic en Agregar.
  5. (Opcional) Si desea usar sus propios certificados RadSec de AP (en lugar del certificado único que Mist genera para cada AP), haga clic en Agregar certificado RadSec de AP y, a continuación, escriba la clave privada y el certificado firmado para el certificado de CA.
  6. Haga clic en Guardar en la esquina superior derecha de la página Configuración de la organización.