- play_arrow Aulas de login e configurações de login
- play_arrow Contas de usuário
- play_arrow Senhas para acesso ao usuário
- play_arrow Módulo de plataforma confiável
- play_arrow Autenticação do usuário
- play_arrow Gerenciamento de acesso remoto
- Visão geral do acesso remoto
- Modems USB para gerenciamento remoto de dispositivos de segurança
- Acesso seguro à Web para gerenciamento remoto
- Exemplo: Controle de acesso ao gerenciamento em dispositivos de rede da Juniper
- Diretrizes de configuração para proteger o acesso à porta do console
- Configuração do tipo de porta do console (procedimento CLI)
- play_arrow Controle de acesso
- Métodos de autenticação de controle de acesso
- Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot
- Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot
- Configuração do servidor RADIUS para autenticação
- RADIUS over TLS (RADSEC)
- Autenticação 802.1X
- Autenticação MAC RADIUS
- Contabilidade 802.1X e RADIUS
- Exemplo: Configuração do 802.1X para configurações de suplicante único ou múltiplo suplicante em um switch da Série EX
- Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um switch da Série EX
- Interfaces habilitadas para autenticação 802.1X ou MAC RADIUS
- Bypass MAC estático de autenticação MAC 802.1X e MAC RADIUS
- Configuração do PEAP para autenticação MAC RADIUS
- Autenticação de portal cativo
- Ordem de autenticação flexível nos switches da Série EX
- Falha no fallback e autenticação do servidor
- Tempo limite da sessão de autenticação
- Autenticação central da Web
- Atribuição dinâmica de VLAN para portas incolores
- VoIP nos switches da Série EX
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x
- play_arrow Descoberta de dispositivos
- play_arrow Segurança de nomes de domínio
- Visão geral do DNSSEC
- Configuração do valor de TTL para caching de servidor DNS
- Exemplo: Configuração do DNSSEC
- Exemplo: Configuração de domínios seguros e chaves confiáveis para DNSSEC
- Exemplo: Configuração de chaves para DNSSEC
- Visão geral do proxy de DNS
- Configurando o dispositivo como um proxy de DNS
- play_arrow Bandeiras de permissão
- acesso
- controle de acesso
- admin
- controle de administração
- todo
- claro
- configurar
- Controle
- campo
- firewall
- controle de firewall
- disquete
- flow-tap
- controle de fluxo de tap
- operação flow-tap
- operação de idp-profiler
- interface
- controle de interface
- manutenção
- rede
- espelhamento de sessão pgcp
- pgcp-session-mirroring-control
- repor
- reversão
- roteamento
- controle de roteamento
- segredo
- controle secreto
- segurança
- controle de segurança
- concha
- Snmp
- controle de snmp
- sistema
- controle do sistema
- traço
- trace-control
- vista
- configuração de visualização
- play_arrow Declarações de configuração e comandos operacionais
Exemplo: Configuração da autenticação de portal cativo em um roteador da Série MX
A partir do Junos OS Release 14.2, você pode configurar a autenticação cativa do portal (a partir de então referido como portal cativo) em um roteador para redirecionar as solicitações do navegador web para uma página de login que exige que o usuário insira um nome de usuário e senha. Após a autenticação bem-sucedida, o usuário pode continuar com a solicitação original da página e posterior acesso à rede.
Este exemplo descreve como configurar um portal cativo em um roteador da Série MX:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um roteador da Série MX que oferece suporte a um portal cativo
Versão 14.2 ou posterior do Junos OS para roteadores da Série MX
Antes de começar, certifique-se de ter:
Realizou a ponte básica e a configuração de VLAN no roteador.
Gerou um certificado SSL e o instalou no roteador.
Acesso básico configurado entre o roteador da Série MX e o servidor RADIUS.
Projete sua página de login cativo do portal. .
Visão geral e topologia
Este exemplo mostra a configuração necessária no roteador para permitir o portal cativo em uma interface. Para permitir que uma impressora conectada à interface de portal cativa acesse a LAN sem passar pelo portal cativo, adicione seu endereço MAC à lista de permissões de autenticação. Os endereços MAC desta lista têm acesso permitido na interface sem portal cativo.
Topologia
A topologia para este exemplo consiste em um roteador da Série MX conectado a um servidor de autenticação RADIUS. Uma interface no roteador está configurada para portal cativo. Neste exemplo, a interface está configurada em múltiplos modos suplicantes.
Configuração
Para configurar o portal cativo em seu roteador:
Configuração rápida da CLI
Para configurar rapidamente o portal cativo no roteador após a conclusão das tarefas na seção Requisitos, copie os seguintes comandos e cole-os na janela de terminal do roteador:
[edit] set system services web-management http set system services web-management https local-certificate my-signed-cert set protocols captive-portal-custom-options secure-authentication https set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple set protocols authentication-access-control static 00:10:12:e0:28:22 set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
Procedimento
Procedimento passo a passo
Para configurar o portal cativo no roteador:
Habilite o acesso HTTP no roteador:
content_copy zoom_out_map[edit] user@router# set system services web-management http
Para criar um canal seguro para acesso à Web ao roteador, configure um portal cativo para HTTPS:
Nota:Você pode habilitar o HTTP sem habilitar o HTTPS, mas recomendamos o HTTPS para fins de segurança.
Procedimento passo a passo
Associe o certificado de segurança com o servidor Web e habilite o acesso HTTPS no roteador:
content_copy zoom_out_map[edit] user@router# set system services web-management https local-certificate my-signed-cert
Configure um portal cativo para usar HTTPS:
content_copy zoom_out_map[edit] user@router# set protocols captive-portal-custom-options secure-authentication https
Habilite uma interface para um portal cativo:
content_copy zoom_out_map[edit] user@router# set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple
(Opcional) Permita que clientes específicos contornem o portal cativo:
Nota:Se o cliente já estiver conectado ao roteador, você deve limpar seu endereço MAC da autenticação cativa do portal usando o
clear captive-portal mac-address mac-addresscomando após adicionar seu endereço MAC à lista de permitidos. Caso contrário, a nova entrada para o endereço MAC não será adicionada à tabela de roteamento Ethernet e o desvio de autenticação não será permitido.content_copy zoom_out_map[edit] user@router# set protocols authentication-access-control static 00:10:12:e0:28:22
Nota:Opcionalmente, você pode usar para limitar o escopo à interface.
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0(Opcional) Para redirecionar os clientes para uma página especificada em vez da página solicitada originalmente, configure a URL pós-autenticação:
content_copy zoom_out_map[edit services captive-portal] user@router# set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
Resultados
Exibir os resultados da configuração:
[edit]
user@router> show
system {
services {
web-management {
http;
https {
local-certificate my-signed-cert;
}
}
}
}
security {
certificates {
local {
my-signed-cert {
"-----BEGIN RSA PRIVATE KEY-----\nMIICXwIBAAKBgQDk8sUggnXdDUmr7T vLv63yJq/LRpDASfIDZlX3z9ZDe1Kfk5C9\nr/tkyvzv
...
Pt5YmvWDoGo0mSjoE/liH0BqYdh9YGqv3T2IEUfflSTQQHEOShS0ogWDHF\ nnyOb1O/vQtjk20X9NVQg JHBwidssY9eRp\n-----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
}
protocols {
authentication-access-control {
static 00:10:12:e0:28:22/48;
interface {
ge-0/0/10.0 {
supplicant multiple;
}
}
custom-captive-portal-options {
secure-authentication https;
post-authentication-url http://www.my-home-page.com;
}
}
Verificação
Para confirmar que o portal cativo está configurado e funcionando corretamente, execute essas tarefas:
- Verificar se o portal cativo está habilitado na interface
- Verifique se o portal cativo está funcionando corretamente
Verificar se o portal cativo está habilitado na interface
Propósito
Verifique se o portal cativo está configurado na interface ge-0/0/10.
Ação
Use o comando show captive-portal interface interface-name detaildo modo operacional:
user@router> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
Significado
A saída confirma que o portal cativo está configurado na interface ge-0/0/10 com as configurações padrão para número de retries, período tranquilo, tempo de sessão de CP e tempo limite do servidor.
Verifique se o portal cativo está funcionando corretamente
Propósito
Verifique se o portal cativo está funcionando no roteador.
Ação
Conecte um cliente à interface ge-0/0/10. Do cliente, abra um navegador da Web e solicite uma página web. A página de login do portal cativo que você projetou deve ser exibida. Depois de inserir suas informações de login e ser autenticado no servidor RADIUS, o navegador da Web deve exibir a página que você solicitou ou a URL pós-autenticação que você configurou.
Solução de problemas
Para solucionar problemas de portal cativo, execute essas tarefas:
Portal cativo de solução de problemas
Problema
O roteador não retorna a página de login do portal cativo quando um usuário conectado a uma interface de portal cativa no roteador solicita uma página da Web.
Solução
Você pode examinar os contadores ARP, DHCP, HTTPS e DNS — se um ou mais desses contadores não estiverem incrementando, isso fornece uma indicação de onde está o problema. Por exemplo, se o cliente não conseguir um endereço IP, verifique a interface do roteador para determinar se o contador DHCP está incrementando — se o contador incrementa, o pacote DHCP foi recebido pelo roteador.
user@router> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.