Nesta página
Configuração das configurações da interface 802.1X (procedimento CLI)
Entender as mudanças iniciadas pelo RADIUS em uma sessão de usuário autorizada
Filtragem de suplicantes 802.1X usando atributos do servidor RADIUS
Exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX
Entendendo os filtros dinâmicos com base em atributos RADIUS
Entender a atribuição dinâmica de VLAN usando atributos RADIUS
Resolução de problemas da autenticação de dispositivos finais em switches da Série EX
Autenticação 802.1X
O padrão IEEE 802.1X para controle de acesso à rede baseado em porta e protege as LANs Ethernet contra acesso de usuário não autorizado. Ele bloqueia todo o tráfego de e para um suplicante (cliente) na interface até que as credenciais do suplicante sejam apresentadas e combinadas no servidor de autenticação (um servidor RADIUS). Quando o suplicante é autenticado, o switch para de bloquear o acesso e abre a interface para o suplicante. Leia este tópico para obter mais informações.
Visão geral do 802.1X para switches
- Como funciona a autenticação 802.1X
- Visão geral dos recursos do 802.1X
- Autenticação 802.1X em portas de tronco
- Autenticação 802.1X em interfaces de camada 3
- Suporte 802.1X no software Junos OS Evolved
Como funciona a autenticação 802.1X
A autenticação 802.1X funciona usando uma entidade de acesso à porta autenticadora (o switch) para bloquear o tráfego de entrada de um suplicante (dispositivo final) na porta até que as credenciais do suplicante sejam apresentadas e correspondam ao servidor de autenticação (um servidor RADIUS). Quando autenticado, o switch para de bloquear o tráfego e abre a porta para o suplicante.
O dispositivo final é autenticado no single supplicant modo, single-secure supplicant modo ou multiple supplicant modo:
-
suplicante único — autentica apenas o primeiro dispositivo final. Todos os outros dispositivos finais que se conectam mais tarde à porta têm acesso total sem nenhuma autenticação adicional. Eles efetivamente se aproveitam da autenticação do dispositivo de primeira ponta.
-
suplicante seguro único — permite que apenas um dispositivo final se conecte à porta. Nenhum outro dispositivo final pode ser conectado até que o primeiro dispositivo seja logado.
-
múltiplos suplicantes — permite que vários dispositivos finais se conectem à porta. Cada dispositivo final é autenticado individualmente.
O acesso à rede pode ser definido ainda mais usando VLANs e filtros de firewall, ambos atuando como filtros para separar e combinar grupos de dispositivos finais com as áreas da LAN que eles exigem. Por exemplo, você pode configurar VLANs para lidar com diferentes categorias de falhas de autenticação, dependendo de:
-
Se o dispositivo final está ou não habilitado para o 802.1X.
-
Se a autenticação MAC RADIUS está configurada ou não nas interfaces do switch às quais os hosts estão conectados.
-
Não importa se o servidor de autenticação RADIUS fica indisponível ou envia uma mensagem de rejeição de acesso RADIUS. Veja configuração da falha de falha do servidor RADIUS (procedimento CLI).
Visão geral dos recursos do 802.1X
Os seguintes recursos do 802.1X são compatíveis com switches Ethernet da Juniper Networks:
-
VLAN convidado — oferece acesso limitado a uma LAN, normalmente apenas para a Internet, para dispositivos finais não responsáveis que não estão habilitados para 802.1X quando a autenticação MAC RADIUS não está configurada nas interfaces de switch às quais os hosts estão conectados. Além disso, um VLAN convidado pode ser usado para fornecer acesso limitado a uma LAN para usuários convidados. Normalmente, o VLAN convidado oferece acesso apenas à Internet e aos dispositivos finais de outros hóspedes.
-
VLAN com rejeição de servidor — oferece acesso limitado a uma LAN, normalmente apenas para a Internet, para dispositivos finais responsivos habilitados para 802.1X, mas que enviaram as credenciais erradas. Se o dispositivo final que é autenticado usando o VLAN rejeitado por servidor for um telefone IP, o tráfego de voz não será permitido.
-
VLAN com falha no servidor — oferece acesso limitado a uma LAN, normalmente apenas para a Internet, para dispositivos finais 802.1X durante um intervalo de servidor RADIUS.
-
VLAN dinâmico — permite que um dispositivo final, após a autenticação, seja um membro de uma VLAN dinamicamente.
-
VLAN privada — permite a configuração da autenticação 802.1X em interfaces que são membros de VLANs privadas (PVLANs).
-
Mudanças dinâmicas em uma sessão de usuário — permite que o administrador do switch encerre uma sessão já autenticada. Esse recurso é baseado no suporte da Mensagem de desconexão RADIUS definida no RFC 3576.
-
VoIP VLAN — oferece suporte a telefones IP. A implementação de uma VLAN de voz em um telefone IP é específica do fornecedor. Se o telefone estiver habilitado para 802.1X, ele será autenticado como qualquer outro suplicante. Se o telefone não estiver habilitado para 802.1X, mas tiver outro dispositivo compatível com 802.1X conectado à sua porta de dados, esse dispositivo será autenticado e o tráfego voIP pode fluir de e para o telefone (desde que a interface esteja configurada em modo suplicante único e não no modo suplicante seguro único).
Nota:A configuração de um VLAN VoIP em interfaces VLAN privadas (PVLAN) não é suportada.
-
Contabilidade RADIUS — envia informações contábeis para o servidor de contabilidade RADIUS. As informações contábeis são enviadas ao servidor sempre que um assinante faz login ou faz login e sempre que um assinante ativa ou desativa uma assinatura.
-
Atributos do servidor RADIUS para 802.1X — É
Juniper-Switching-Filterum atributo específico do fornecedor (VSA) que pode ser configurado no servidor RADIUS para definir ainda mais o acesso de um suplicante durante o processo de autenticação 802.1X. A configuração central de atributos no servidor de autenticação evita a necessidade de configurar esses mesmos atributos na forma de filtros de firewall em cada switch na LAN ao qual o suplicante pode se conectar à LAN. OJuniper-Switching-Filterequivalente à regra de filtro NAS mencionada no Atributo 92 de RFC4849. -
Microsoft Challenge Authentication Protocol versão 2 (MS-CHAPv2) — permite a autenticação MS-CHAPv2 para clientes compatíveis com EAP 802.1X.
-
Segmentação micro e macro com GBP usando o Mist Access Assurance — Você pode aplicar microssegmentação e macrossegmentação em uma arquitetura de LAN virtual extensível (VXLAN) usando política baseada em grupo (GBP). O GBP aproveita a tecnologia VXLAN subjacente para fornecer controle de acesso de endpoint agnóstico de localização. Com GBP, você pode implementar políticas de segurança consistentes em todos os domínios de rede empresarial. Dessa forma, você pode evitar configurar um grande número de filtros de firewall em todos os seus switches e simplificar a configuração de sua rede. O controle de acesso à rede (NAC) da nuvem Juniper Mist atribui dinamicamente etiquetas GBP durante uma transação RADIUS. Com a autenticação RADIUS 802.1X, as operadoras de rede podem autenticar e autorizar automaticamente um usuário ou dispositivo e deixá-los entrar na rede. O Juniper Mist Access Assurance usa a identidade do usuário e do dispositivo para determinar a função e o segmento de rede que a rede atribui a cada usuário. A rede usa VLAN ou GBP para agrupar os usuários em segmentos de rede. O Juniper Mist Access Assurance então aplica políticas de rede associadas a cada segmento
Atualmente, oferecemos suporte a isso no EX4100, EX4400 e no chassi virtual EX4650 .
Para obter mais informações, veja Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN
Os recursos a seguir são suportados para autenticar dispositivos que não estão habilitados para 802.1X:
-
Bypass MAC estático — fornece um mecanismo de bypass para autenticar dispositivos que não são habilitados para 802.1X (como impressoras). O bypass MAC estático conecta esses dispositivos a portas habilitadas para 802.1X, ignorando a autenticação 802.1X.
-
Autenticação MAC RADIUS — oferece um meio de permitir que hosts que não estejam habilitados para 802.1X acessem a LAN. O MAC-RADIUS simula a funcionalidade suplicante do dispositivo cliente, usando o endereço MAC do cliente como nome de usuário e senha.
Autenticação 802.1X em portas de tronco
A partir do Junos OS Release 18.3R1, você pode configurar a autenticação 802.1X em interfaces de tronco, o que permite que o dispositivo de acesso à rede (NAS) autenticasse um ponto de acesso (AP) ou outro dispositivo de Camada 2 conectado. Um AP ou switch conectado ao NAS suportará várias VLANs, por isso deve se conectar a uma porta de tronco. Permitir a autenticação do 802.1X na interface do tronco protege o NAS de uma falha de segurança na qual um invasor pode desconectar o AP e conectar um laptop para obter acesso gratuito à rede para todas as VLANs configuradas.
Observe as seguintes advertências ao configurar a autenticação 802.1X em interfaces de tronco.
-
Apenas modos suplicantes únicos e seguros são suportados em interfaces de tronco.
-
Você deve configurar a autenticação 802.1X localmente na interface do tronco. Se você configurar a autenticação 802.1X globalmente usando o
set protocol dot1x interface allcomando, a configuração não será aplicada à interface do tronco. -
VLANS dinâmicos não são suportados em interfaces de tronco.
-
O VLAN convidado e o VLAN rejeitado por servidor não são suportados em interfaces de tronco.
-
O fallback de falha do servidor para clientes VoIP não é suportado em interfaces de tronco (
server-fail-voip). -
A autenticação na porta de tronco não é suportada usando portal cativo.
-
A autenticação na porta do tronco não é suportada em interfaces agregadas.
-
A configuração da autenticação 802.1X em interfaces que são membros de VLANs privadas (PVLANs) não é suportada em portas de tronco.
Autenticação 802.1X em interfaces de camada 3
A partir do Junos OS Release 20.2R1, você pode configurar a autenticação 802.1X em interfaces de camada 3. Observe as seguintes advertências ao configurar a autenticação 802.1X em interfaces de camada 3:
-
Apenas clientes capazes de EAP são suportados.
-
Apenas o modo suplicante único é suportado.
-
Você deve configurar a autenticação 802.1X localmente em interfaces de camada 3. Se você configurar a autenticação 802.1X globalmente usando o
set protocol dot1x interface allcomando, a configuração não será aplicada a interfaces de camada 3. -
O suporte para interfaces de camada 3 não inclui IRB ou sub-interfaces.
-
VLAN convidado, VLAN com rejeição de servidor e VLAN com falha de servidor não são suportados.
-
O fallback de falha do servidor para clientes VoIP não é suportado (
server-fail-voip). -
Apenas os atributos a seguir são aceitos do servidor de autenticação como parte de mensagens DE ACESSO RADIUS ou COA para clientes autenticados em interfaces de camada 3:
-
Nome do usuário
-
Tempo limite de sessão
-
ID da estação de chamada
-
ID da Acct-Session
-
Id nas-portas
-
Port-Bounce
-
Suporte 802.1X no software Junos OS Evolved
A partir do Junos OS Evolved Release 22.3R1, você pode configurar a autenticação 802.1X em interfaces de camada 2. Siga as advertências aplicáveis à autenticação 802.1X em interfaces de camada 2.
-
Os recursos sem suporte incluem:
-
VLAN convidado, VLAN com rejeição de servidor e VLAN com falha no servidor
-
Fallback de falha de servidor para clientes VoIP (servidor-fail-voip)
-
VLAN dinâmica
-
Autenticação em interfaces de camada 2 usando portal cativo e autenticação central da Web (CWA).
-
-
Atributos não suportados do servidor de autenticação de mensagens DE ACESSO RADIUS ou COA para clientes autenticados em interfaces de camada 2 incluem:
-
Ip-Mac-Session-Binding
-
Redirecionamento da Juniper-CWA
-
Filtro de comutação da Juniper
-
Id de filtro
-
Tipo médio de túnel
-
Juniper-VoIP-VLAN
-
Nome da saída-VLAN
-
Saída VLAN-ID
-
Tipo de túnel
-
Id de grupo privado de túneis
-
-
Se o IRB estiver no domínio da ponte, as portas habilitadas para 802.1x não descartarão tráfego roteado para modos de suplicantes únicos e múltiplos, mesmo que o usuário não seja autenticado. 802.1x portas habilitadas na interface de camada 2 reduzem o tráfego roteado apenas para configuração de modo suplicante único.
Consulte também
Configuração das configurações da interface 802.1X (procedimento CLI)
A autenticação IEEE 802.1X oferece segurança de borda de rede, protegendo LANs Ethernet contra acesso de usuário não autorizado, bloqueando todo o tráfego de e para um suplicante (cliente) na interface até que as credenciais do suplicante sejam apresentadas e combinadas no authentication server (um servidor RADIUS). Quando o suplicante é autenticado, o switch para de bloquear o acesso e abre a interface para o suplicante.
Você também pode especificar uma lista de exclusão do 802.1X para especificar suplicantes que podem ignorar a autenticação e ser conectados automaticamente à LAN. Veja configuração do bypass MAC estático do 802.1X e do MAC RADIUS Authentication (Procedimento CLI).
Você não pode configurar a autenticação do usuário 802.1X em interfaces que foram habilitadas para tunelamento Q-in-Q.
Antes de começar, especifique o servidor RADIUS ou servidores a serem usados como servidor de autenticação. Veja especificando as conexões do servidor RADIUS em switches (procedimento CLI).
Para configurar o 802.1X em uma interface:
Se os servidores de autenticação RADIUS ficarem indisponíveis ou inacessíveis, o fallback de falha do servidor será acionado. Por padrão, a opção deny está configurada sob server-fail, qual força falha na autenticação do suplicante. No entanto, existem outras opções que você pode configurar como ações a serem tomadas para dispositivos finais aguardando autenticação quando o servidor estiver esgotado.
Para obter mais informações, veja interface (802.1X)
Essa configuração especifica o número de tentativas antes que o switch coloque a interface em um estado HELD .
Consulte também
Entender as mudanças iniciadas pelo RADIUS em uma sessão de usuário autorizada
Ao usar um serviço de autenticação baseado em um modelo RADIUS cliente/servidor, as solicitações normalmente são iniciadas pelo cliente e enviadas ao servidor RADIUS. Existem casos em que uma solicitação pode ser iniciada pelo servidor e enviada ao cliente, a fim de modificar dinamicamente uma sessão de usuário autenticada já em andamento. O cliente que recebe e processa as mensagens é o switch, que atua como servidor de acesso à rede, ou NAS. O servidor pode enviar ao switch uma mensagem desconectada solicitando o encerramento de uma sessão ou uma mensagem de Mudança de Autorização (CoA) solicitando a modificação dos atributos de autorização de sessão.
O switch ouve solicitações RADIUS não solicitadas na porta UPD 3799 e aceita solicitações apenas de uma fonte confiável. A autorização para enviar uma desconexão ou solicitação de CoA é determinada com base no endereço fonte e no segredo compartilhado correspondente, que deve ser configurado no switch e no servidor RADIUS. Para obter mais informações sobre a configuração do endereço de origem e o segredo compartilhado no switch, veja Exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
- Desconectar mensagens
- Mudança de mensagens de autorização
- CoA solicite a recuperação da porta
- Códigos de causa de erro
Desconectar mensagens
O servidor RADIUS envia uma mensagem de desconectamento-solicitação ao switch para encerrar uma sessão do usuário e descartar todo o contexto de sessão associado. O switch responde a um pacote de solicitação de desconexão com uma mensagem Disconnect-ACK se a solicitação for bem sucedida, ou seja, todo o contexto de sessão associado é descartado e a sessão do usuário não está mais conectada, ou com um pacote Disconnect-NAK se a solicitação falhar, ou seja, o autenticador não pode desconectar a sessão e descartar todo o contexto de sessão associado.
Nas mensagens de solicitação de desconexão, os atributos RADIUS são usados para identificar com exclusividade o switch (NAS) e a sessão do usuário. A combinação de atributos de identificação nas e atributos de identificação de sessão incluídos na mensagem deve corresponder a pelo menos uma sessão para que a solicitação seja bem sucedida; caso contrário, o switch responde com uma mensagem Desconecte-NAK. Uma mensagem de solicitação de desconexão pode conter apenas atributos de identificação de sessão e NAS; se quaisquer outros atributos estiverem incluídos, o switch responderá com uma mensagem Disconnect-NAK.
Mudança de mensagens de autorização
As mensagens de mudança de autorização (CoA) contêm informações para modificar dinamicamente os atributos de autorização para uma sessão de usuário para alterar o nível de autorização. Isso ocorre como parte de um processo de autenticação em duas etapas, no qual o endpoint é autenticado pela primeira vez usando a autenticação MAC RADIUS e, em seguida, é perfilado com base no tipo de dispositivo. A mensagem de CoA é usada para aplicar uma política de aplicação que é apropriada para o dispositivo, normalmente alterando os filtros de dados ou a VLAN.
O switch responde a uma mensagem de CoA com uma mensagem CoA-ACK se a mudança de autorização for bem sucedida, ou uma mensagem com CoA-NAK se a mudança não tiver sucesso. Se uma ou mais alterações de autorização especificadas em uma mensagem de CoA-Request não puderem ser realizadas, o switch responderá com uma mensagem CoA-NAK.
Nas mensagens de CoA-Request, os atributos RADIUS são usados para identificar com exclusividade o switch (agindo como o NAS) e a sessão do usuário. A combinação de atributos de identificação nas e atributos de identificação de sessão incluídos na mensagem deve combinar com os atributos de identificação de pelo menos uma sessão para que a solicitação seja bem sucedida; caso contrário, o switch responde com uma mensagem CoA-NAK.
Os pacotes de CoA-Request também incluem os atributos de autorização de sessão que serão modificados se a solicitação for aceita. Os atributos de autorização de sessão suportados estão listados abaixo. A mensagem da CoA pode conter qualquer um desses ou todos esses atributos. Se algum atributo não for incluído como parte da mensagem de Solicitação de CoA, o NAS assume que o valor desse atributo permanecerá inalterado.
ID de filtro
ID do grupo privado de túneis
Filtro de comutação da Juniper
Juniper-VoIP-VLAN
Tempo limite de sessão
CoA solicite a recuperação da porta
Quando uma mensagem de CoA é usada para alterar a VLAN para um host autenticado, dispositivos finais como impressoras não têm um mecanismo para detectar a mudança de VLAN, para que eles não renovem o leasing de seu endereço DHCP na nova VLAN. A partir do Junos OS Release 17.3, o recurso de salto de porta pode ser usado para forçar o dispositivo final a iniciar a re-negociação do DHCP, causando uma aba de link na porta autenticada.
O comando para recuperar a porta é enviado do servidor RADIUS usando um atributo específico de fornecedor (VSA) da Juniper Networks. A porta é saltada se o seguinte par de valor de atributo VSA for recebido na mensagem de CoA do servidor RADIUS:
Juniper-AV-Pair = "Port-Bounce"
Para habilitar o recurso de recuperação de porta, você deve atualizar o arquivojuniper.dct junos () no servidor RADIUS com o Juniper-AV-Pair VSA. Localize o arquivo de informações e adicione o seguinte texto ao arquivo:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
Para obter mais informações sobre como adicionar o VSA, consulte a documentação do FreeRADIUS.
Você pode desabilitar o recurso configurando a ignore-port-bounce declaração no nível [edit protocols dot1x authenticator interface interface-name] de hierachy.
Códigos de causa de erro
Quando uma desconexão ou operação CoA não tem sucesso, um atributo de causa de erro (atributo RADIUS 101) pode ser incluído na mensagem de resposta enviada pelo NAS ao servidor para fornecer detalhes sobre a causa do problema. Se o erro detectado não for mapeado para um dos valores de atributos de causa de erro suportados, o roteador envia a mensagem sem um atributo de causa de erro. Veja Tabela 1 descrições de códigos de causa de erro que podem ser incluídos em mensagens de resposta enviadas do NAS.
Código |
Value |
Descrição |
|---|---|---|
201 |
Contexto residual de sessão removido |
Enviado em resposta a uma mensagem de solicitação de desconexão se uma ou mais sessões de usuário não estiverem mais ativas, mas o contexto residual da sessão foi encontrado e removido com sucesso. Este código é enviado apenas em uma mensagem Desconecte-ACK. |
401 |
Atributo sem suporte |
A solicitação contém um atributo que não é suportado (por exemplo, um atributo de terceiros). |
402 |
Atributo ausente |
Um atributo crítico (por exemplo, o atributo de identificação da sessão) está ausente de uma solicitação. |
403 |
Incompatibilidade de identificação do NAS |
A solicitação contém um ou mais atributos de identificação nas que não correspondem à identidade do NAS que recebe a solicitação. |
404 |
Solicitação inválida |
Algum outro aspecto da solicitação é inválido — por exemplo, se um ou mais atributos não forem formatados corretamente. |
405 |
Serviço sem suporte |
O atributo tipo de serviço incluído na solicitação contém um valor inválido ou sem suporte. |
406 |
Extensão sem suporte |
A entidade que recebe a solicitação (seja um nas ou um proxy RADIUS) não oferece suporte a solicitações iniciadas pelo RADIUS. |
407 |
Valor de atributo inválido |
A solicitação contém um atributo com um valor sem suporte. |
501 |
Administrativamente proibido |
O NAS está configurado para proibir a honra de mensagens de solicitação de desconexão ou coA-Request para a sessão especificada. |
503 |
Contexto de sessão não encontrado |
O contexto da sessão identificado na solicitação não existe no NAS. |
504 |
Contexto de sessão não removível |
O assinante identificado por atributos na solicitação pertence a um componente que não é compatível. Este código é enviado apenas em uma mensagem Disconnect-NAK. |
506 |
Recursos indisponíveis |
Uma solicitação não pôde ser homenageada por falta de recursos nas disponíveis (como memória). |
507 |
Solicitação iniciada |
A mensagem de Solicitação de CoA inclui um atributo tipo de serviço com um valor somente de autorização. |
508 |
Seleção de várias sessões sem suporte |
Os atributos de identificação da sessão incluídos na solicitação correspondem a várias sessões, mas o NAS não oferece suporte a solicitações que se aplicam a várias sessões. |
Filtragem de suplicantes 802.1X usando atributos do servidor RADIUS
Existem duas maneiras de configurar um servidor RADIUS com filtros de firewall de porta (filtros de firewall de Camada 2):
-
Inclua um ou mais termos de filtro no atributo Juniper-Switching-Filter. O atributo Juniper-Switching-Filter é um atributo específico do fornecedor (VSA) listado sob o atributo ID número 48 no nítido do juniper no servidor RADIUS. Use este VSA para configurar condições de filtro simples para usuários autenticados com 802.1X. Nada precisa ser configurado no switch; toda a configuração está no servidor RADIUS.
-
Configure um filtro de firewall local em cada switch e aplique esse filtro de firewall aos usuários autenticado pelo servidor RADIUS. Use este método para filtros mais complexos. O filtro de firewall deve ser configurado em cada switch.
Nota:Se a configuração do filtro de firewall for modificada após a autenticação dos usuários usando a autenticação 802.1X, então a sessão de autenticação 802.1X estabelecida deve ser terminada e restabelecida para que as alterações de configuração do filtro de firewall entrem em vigor.
Este tópico inclui as seguintes tarefas:
- Configuração de filtros de firewall no servidor RADIUS
- Aplicando um filtro de firewall configurado localmente do servidor RADIUS
Configuração de filtros de firewall no servidor RADIUS
A partir do Junos OS Evolved Release 22.4R1, você pode configurar várias portas de origem e destino (ou intervalos de porta) em uma única linha sem precisar repetir a condição de correspondência novamente. Esse recurso permite comprimentos VSA mais curtos e também ajuda a reduzir o tamanho dos pacotes de resposta de raio.
O filtro de comutação permite o provisionamento de uma lista de valores para tipo de ether, IP, tag de origem, porta de origem e porta de destino.
Juniper-Switching-Filter = match dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow
Juniper-Switching-Filter = match dst-port 500 source-tag [ 100, 200 ] action allow
Juniper-Switching-Filter = match src-port 9090 ip-proto [ 25 17] action allow
Juniper-Switching-Filter = match ether-type [ 3000-4000 8000 ] action allow
Você pode configurar condições de filtro simples usando o atributo Juniper-Switching-Filter no servidor RADIUS da Juniper. Esses filtros são enviados a um switch sempre que um novo usuário é autenticado com sucesso. Os filtros são criados e aplicados em todos os switches da Série EX que autenticam os usuários por meio desse servidor RADIUS sem a necessidade de você configurar qualquer coisa em cada switch individual.
Este procedimento descreve o uso do software FreeRADIUS para configurar o JUNiper-Switching-Filter VSA. Para obter informações específicas sobre a configuração do seu servidor, consulte a documentação AAA incluída em seu servidor.
Para configurar o atributo Juniper-Switching-Filter, insira um ou mais termos de filtro usando o CLI para o servidor RADIUS. Cada termo de filtro consiste em condições de correspondência com uma ação correspondente. Insira os termos do filtro fechados dentro das cotações (" ") usando a seguinte sintaxe:
Juniper-Switching-Filter = “match <destination-mac mac-address> <source-vlan vlan-name> <source-dot1q-tag tag> <destination-ip ip-address> <ip-protocol protocol-id> <source-port port> <destination-port port> action (allow | deny) <loss-priority (low | medium | high)>”
Mais de uma condição de correspondência pode ser incluída em um termo de filtro. Quando várias condições são especificadas em um termo de filtro, todas elas devem ser cumpridas para que o pacote corresponda ao termo filtro. Por exemplo, o termo filtro a seguir requer um pacote para combinar tanto com o endereço IP de destino quanto com o endereço MAC de destino para atender aos critérios de termo:
Juniper-Switching-Filter = “match destination-ip 10.10.10.8 destination-mac 00:00:00:01:02:03 action allow”
Vários termos de filtro devem ser separados com vírgulas — por exemplo:
Juniper-Switching-Filter = “match destination-mac 00:00:00:01:02:03 action allow, match destination-port 80 destination-mac 00:aa:bb:cc:dd:ee action allow”
Veja as condições e ações do vsa match com filtro de comutação da Juniper para definições de condições e ações de correspondência.
Nos switches EX9200 e no Junos Fusion Enterprise com o EX9200 como dispositivo agregado, o filtro de firewall dinâmico é aplicado estritamente para todos os pacotes IP. Se o filtro estiver configurado para permitir apenas um endereço IP de destino específico, os pacotes com outros endereços IP conforme o IP de destino serão descartados de acordo com as regras do filtro. Isso inclui quaisquer pacotes de protocolo IP, como DHCP, IGMP e pacotes ARP.
Para configurar condições de correspondência no servidor RADIUS:
Aplicando um filtro de firewall configurado localmente do servidor RADIUS
Você pode aplicar um filtro de firewall de porta (filtro de firewall de Camada 2) às políticas do usuário centralmente a partir do servidor RADIUS. O servidor RADIUS pode então especificar os filtros de firewall que devem ser aplicados a cada usuário que solicita autenticação, reduzindo a necessidade de configurar o mesmo filtro de firewall em vários switches. Use este método quando o filtro de firewall contém um grande número de condições ou você deseja usar condições diferentes para o mesmo filtro em diferentes switches. Os filtros de firewall devem ser configurados em cada switch.
Para obter mais informações sobre filtros de firewall, veja a visão geral dos filtros de firewall para switches da Série EX.
Para aplicar um filtro de firewall de porta centralmente do servidor RADIUS:
Se os filtros de firewall de porta também forem configurados localmente para a interface, então os filtros de firewall configurados usando VSAs têm precedência se eles entrarem em conflito com os filtros de firewall de porta configurados localmente. Se não houver conflito, eles são fundidos.
Exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX
802.1X é o padrão IEEE para controle de acesso à rede (PNAC) baseado em porta. Você usa o 802.1X para controlar o acesso à rede. Apenas usuários e dispositivos que fornecem credenciais verificadas em um banco de dados de usuários têm acesso à rede. Você pode usar um servidor RADIUS como banco de dados de usuário para autenticação 802.1X, bem como para autenticação MAC RADIUS.
Este exemplo descreve como conectar um servidor RADIUS a um switch da Série EX e configurá-lo para 802.1X:
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Versão 9.0 ou posterior do Junos OS para switches da Série EX
Um switch da Série EX atua como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Um servidor de autenticação RADIUS que oferece suporte ao 802.1X. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Antes de conectar o servidor ao switch, certifique-se de ter:
Realizou a ponte básica e a configuração de VLAN no switch. Veja a documentação que descreve a configuração de pontes básicas e uma VLAN para o seu switch. Se você estiver usando um switch que ofereça suporte ao estilo de configuração do software de camada 2 (ELS) aprimorado, veja Exemplo: Configuração de pontes básicas e uma VLAN para um switch da Série EX com suporte a ELS. Para todos os outros switches, veja Exemplo: Configurando uma ponte básica e uma VLAN para um switch da Série EX.
Nota:Para obter mais informações sobre o ELS, veja Usando a CLI de software de camada 2 aprimorada.
Usuários configurados no servidor de autenticação RADIUS.
Visão geral e topologia
O switch da Série EX funciona como um autenticador PAE. Ele bloqueia todo o tráfego e funciona como um portão de controle até que o suplicante (cliente) seja autenticado pelo servidor. Todos os outros usuários e dispositivos estão impedidos de acessar.
Figura 1mostra um switch EX4200 conectado aos dispositivos listados.Tabela 2
| Propriedade | Configurações |
|---|---|
Hardware do switch |
Switch de acesso EX4200, 24 portas Ethernet Gigabit: 8 portas PoE (ge-0/0/0 a ge-0/0/7) e 16 portas não PoE (ge-0/0/8 até ge-0/0/23) |
Nome da VLAN |
inadimplência |
Um servidor RADIUS |
Banco de dados de back-end com um endereço 10.0.0.100 conectado ao switch na porta ge-0/0/10 |
Neste exemplo, conecte o servidor RADIUS à porta de acesso ge-0/0/10 no switch EX4200. O switch atua como autenticador e encaminha credenciais do suplicante para o banco de dados do usuário no servidor RADIUS. Você deve configurar a conectividade entre o EX4200 e o servidor RADIUS especificando o endereço do servidor e configurando a senha secreta. Essas informações estão configuradas em um perfil de acesso no switch.
Para obter mais informações sobre serviços de autenticação, autorização e contabilidade (AAA), consulte o Guia de configuração básica do sistema Junos OS.
Configuração
Procedimento
Configuração rápida da CLI
Para conectar rapidamente o servidor RADIUS ao switch, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Procedimento passo a passo
Para conectar o servidor RADIUS ao switch:
Defina o endereço dos servidores e configure a senha secreta. A senha secreta do switch deve combinar com a senha secreta do servidor:
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
Configure a ordem de autenticação, fazendo o primeiro método de autenticação:radius
[edit] user@switch# set access profile profile1 authentication-order radius
Configure uma lista de endereços IP de servidor a serem testados em ordem sequencial para autenticar o suplicante:
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Resultados
Exibir os resultados da configuração:
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$ABC123"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verifique se o switch e o servidor RADIUS estão devidamente conectados
Propósito
Verifique se o servidor RADIUS está conectado ao switch na porta especificada.
Ação
Ping no servidor RADIUS para verificar a conexão entre o switch e o servidor:
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 msSignificado
Os pacotes de solicitação de eco do ICMP são enviados do switch para o servidor-alvo em 10.0.0.100 para testar se o servidor pode ser alcançado em toda a rede IP. As respostas de eco do ICMP estão sendo devolvidas do servidor, verificando se o switch e o servidor estão conectados.
Entendendo os filtros dinâmicos com base em atributos RADIUS
Você pode usar atributos do servidor RADIUS para implementar filtros de firewall de porta em um servidor de autenticação RADIUS. Esses filtros podem ser aplicados dinamicamente a suplicantes que solicitam autenticação por meio desse servidor. Os atributos do servidor RADIUS são campos de texto claro encapsulados em mensagens de aceitação de acesso enviadas do servidor de autenticação para o switch quando um suplicante conectado ao switch é autenticado com sucesso. O switch, atuando como autenticador, usa as informações nos atributos RADIUS para aplicar os filtros relacionados ao suplicante. Os filtros dinâmicos podem ser aplicados a várias portas no mesmo switch, ou a vários switches que usam o mesmo servidor de autenticação, fornecendo controle centralizado de acesso para a rede.
Você pode definir filtros de firewall diretamente no servidor RADIUS usando o atributo Juniper-Switching-Filter, que é um atributo RADIUS específico para a Juniper Networks, também conhecido como atributo específico do fornecedor (VSA). Os VSAs são descritos na RFC 2138, Remote Authentication Dial In User Service (RADIUS). O VSA do filtro de comutação da Juniper está listado no atributo ID número 48 no nítido juniper no servidor RADIUS, com o ID do fornecedor definido para o ID da Juniper Networks número 2636. Usando este atributo, você define filtros no servidor de autenticação, que são aplicados em todos os switches que autenticam suplicantes por meio desse servidor. Esse método elimina a necessidade de configurar os mesmos filtros em vários switches.
Como alternativa, você pode aplicar um filtro de firewall de porta em várias portas no mesmo switch usando o atributo ID de filtro, que é o ID de atributo RADIUS número 11. Para usar o atributo ID do filtro, você deve primeiro configurar um filtro no switch e, em seguida, adicionar o nome do filtro às políticas do usuário no servidor RADIUS como o valor do atributo ID do filtro. Quando um suplicante definido em uma dessas políticas é autenticado pelo servidor RADIUS, o filtro é aplicado à porta do switch que foi autenticada para o suplicante. Use esse método quando o filtro de firewall tiver condições complexas ou se quiser usar condições diferentes para o mesmo filtro em diferentes switches. O filtro indicado no atributo ID do filtro deve ser configurado localmente no switch no nível [edit firewall family ethernet-switching filter] de hierarquia.
Os VSAs são suportados apenas para configurações de suplicante único de 802.1X e várias configurações suplicantes.
Consulte também
Entender a atribuição dinâmica de VLAN usando atributos RADIUS
As VLANs podem ser atribuídas dinamicamente por um servidor RADIUS a suplicantes que solicitam a autenticação 802.1X por meio desse servidor. Você configura o VLAN no servidor RADIUS usando atributos de servidor RADIUS, que são campos de texto claro encapsulados em mensagens enviadas do servidor de autenticação para o switch quando um suplicante conectado à autenticação de solicitações do switch. O switch, atuando como autenticador, usa as informações nos atributos RADIUS para atribuir a VLAN ao suplicante. Com base nos resultados da autenticação, um suplicante que começou a autenticação em uma VLAN pode ser atribuído a outra VLAN.
A autenticação bem-sucedida exige que o nome VLAN ID ou VLAN esteja configurado no switch atuando como autenticador 802.1X, e que corresponda ao nome VLAN ID ou VLAN enviado pelo servidor RADIUS durante a autenticação. Se nenhum dos dois existir, o dispositivo final não será autenticado. Se um VLAN convidado for estabelecido, o dispositivo final não autenticado será transferido automaticamente para a VLAN convidada.
Os atributos do servidor RADIUS usados para atribuição dinâmica de VLAN descritos na RFC 2868, atributos RADIUS para suporte a protocolos de túnel.
Tipo de túnel — definido como atributo RADIUS tipo 64. O valor deve ser definido para
VLAN.Tipo médio de túnel — definido como atributo RADIUS tipo 65. O valor deve ser definido para
IEEE-802.Tunnel-Private Group-ID — Definido como atributo RADIUS tipo 81. O valor deve ser definido para O ID de VLAN ou o nome VLAN.
Para obter mais informações sobre a configuração de VLANs dinâmicas em seu servidor RADIUS, consulte a documentação do seu servidor RADIUS.
Consulte também
Configuração de grupos de VLAN em switches da Série EX
Com o recurso do grupo VLAN, você pode distribuir clientes pelas VLANs. Ao ativar esse recurso, você pode alinhar uma ÚNICA LAN sem fio (WLAN) a uma única VLAN ou a várias VLANs. Ao configurar o grupo VLAN, um cliente é atribuído a uma das VLANs configuradas. Esse recurso oferece suporte ao balanceamento dinâmico de carga dos usuários em VLANs em um grupo de VLAN. Esse recurso segue o algoritmo round-robin para atribuir usuários à próxima VLAN disponível em um grupo de VLAN.
Para balanceamento dinâmico de carga de VLAN, você adiciona o nome do grupo VLAN em vez de um ID VLAN regular ou um nome VLAN no Tunnel-Private-Group-ID atributo (definido em RFC 2868 como atributo RADIUS tipo 81). Posteriormente, você envia essas informações na resposta RADIUS quando um suplicante solicita a autenticação 802.1X pelo servidor RADIUS. Quando o switch recebe o nome do grupo VLAN, o switch atribui o endpoint a uma das VLANs nesse grupo usando o algoritmo round-robin. O grupo VLAN permite alocar uma VLAN de uma lista pré-configurada, reduzindo assim a necessidade de administradores carregarem o equilíbrio da rede.
Ao configurar um grupo de VLAN, observe que:
-
Você pode configurar um máximo de 4096 grupos VLAN.
-
Você deve criar uma VLAN antes de alocar para os clientes. Qualquer VLAN que não exista no switch é ignorado durante a alocação.
-
Um nome VLAN não pode ser o mesmo que o nome do grupo VLAN.
-
Um VLAN VoIP não deve fazer parte do grupo vlan. Um VLAN VoIP, se presente, será ignorado.
-
Ao excluir uma VLAN, todas as sessões autenticadas do 802.1X associadas à VLAN são terminadas.
-
Você pode excluir um grupo de VLAN sem causar qualquer interrupção para os clientes que já foram alocados para VLANs nesse grupo VLAN.
-
Você pode remover uma VLAN de um grupo VLAN sem causar qualquer interrupção aos clientes que já foram alocados nessa VLAN. No entanto, um cliente pode enfrentar interrupções se:
-
A sessão do cliente expira.
-
Uma reauthenticação ou uma mudança de função é realizada usando solicitação de alteração de autorização (CoA).
-
Para configurar grupos de VLAN em switches da Série EX:
Consulte também
Entendendo as VLANs convidadas para 802.1X em switches
As VLANs convidadas podem ser configuradas em switches que estão usando a autenticação 802.1X para fornecer acesso limitado — normalmente apenas à Internet — para convidados corporativos. O VLAN convidado é usado como um recuo quando:
O suplicante não está habilitado para 802.1X e não responde às mensagens EAP.
A autenticação MAC RADIUS não foi configurada nas interfaces do switch às quais o suplicante está conectado.
O portal cativo não foi configurado nas interfaces do switch às quais o suplicante está conectado.
Um VLAN convidado não é usado para suplicantes que enviam credenciais incorretas. Em vez disso, esses suplicantes são direcionados à VLAN com rejeição de servidor.
Para dispositivos finais que não estão habilitados para 802.1X, uma VLAN convidada pode permitir acesso limitado a um servidor do qual o dispositivo final não habilitado para 802.1X pode baixar o software suplicante e tentar a autenticação novamente.
Consulte também
Exemplo: Configurando opções de autenticação 802.1X quando o servidor RADIUS não estiver disponível em um switch da Série EX
O fallback de falha do servidor permite que você especifique como os suplicantes 802.1X conectados ao switch são suportados se o servidor de autenticação RADIUS ficar indisponível.
Você usa o 802.1X para controlar o acesso à rede. Apenas usuários e dispositivos (suplicantes) que fornecem credenciais que foram verificadas em um banco de dados de usuários podem ter acesso à rede. Você usa um servidor RADIUS como banco de dados do usuário.
Este exemplo descreve como configurar uma interface para mover um suplicante para uma VLAN no caso de um tempo limite de servidor RADIUS:
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Este exemplo também se aplica a switches QFX5100.
Versão 9.3 ou posterior do Junos OS para switches da Série EX
Um switch da Série EX atua como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Um servidor de autenticação RADIUS que oferece suporte ao 802.1X. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Antes de conectar o servidor ao switch, certifique-se de ter:
Realizou a ponte básica e a configuração de VLAN no switch. Veja a documentação que descreve a configuração de pontes básicas e uma VLAN para o seu switch. Se você estiver usando um switch que ofereça suporte ao estilo de configuração do software de camada 2 (ELS) aprimorado, veja Exemplo: Configuração de pontes básicas e uma VLAN para um switch da Série EX com suporte ou exemplo de ELS: Configuração de pontes básicas e uma VLAN em switches. Para todos os outros switches, vejaExemplo: Configurando uma ponte básica e uma VLAN para um switch da Série EX.
Nota:Para obter mais informações sobre o ELS, veja Usando a CLI de software de camada 2 aprimorada.
Configure uma conexão entre o switch e o servidor RADIUS. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
Usuários configurados no servidor de autenticação.
Visão geral e topologia
Um tempo limite de servidor RADIUS ocorre se nenhum servidor RADIUS de autenticação for acessível quando um suplicante faz login e tenta acessar a LAN. Usando o fail fallback do servidor, você configura opções alternativas para suplicantes que tentam o acesso LAN. Você pode configurar o switch para aceitar ou negar acesso a suplicantes ou manter o acesso já concedido a suplicantes antes do intervalo do servidor RADIUS. Além disso, você pode configurar o switch para mover suplicantes para uma VLAN específica se ocorrer um tempo limite RADIUS.
Figura 2 mostra a topologia usada para este exemplo. O servidor RADIUS está conectado ao switch EX4200 na porta ge-0/0/10de acesso. O switch atua como a entidade de acesso à porta autenticadora (PAE) e encaminha credenciais do suplicante para o banco de dados do usuário no servidor RADIUS. O switch bloqueia todo o tráfego e funciona como um portão de controle até que o suplicante seja autenticado pelo servidor de autenticação. Um suplicante é conectado ao switch por meio da interface ge-0/0/1.
Esse número também se aplica a switches QFX5100.
Tabela 3 descreve os componentes dessa topologia.
| Propriedade | Configurações |
|---|---|
Hardware do switch |
Switch de acesso EX4200, 24 portas Ethernet Gigabit: 16 portas não PoE e 8 portas PoE. |
Nomes de VLAN |
default VLAN vlan-sf VLAN |
Suplicante |
Suplicante tentando acesso na interface ge-0/0/1 |
Um servidor RADIUS |
Banco de dados de back-end com um endereço conectado 10.0.0.100 ao switch na porta ge-0/0/10 |
Neste exemplo, configure a interface ge-0/0/1 para mover um suplicante tentando acesso à LAN durante um intervalo RADIUS para outra VLAN. Um tempo limite radius impede a troca normal de mensagens EAP que transportam informações do servidor RADIUS para o switch e permitem a autenticação de um suplicante. O VLAN padrão está configurado na interface ge-0/0/1. Quando ocorre um tempo limite radius, os suplicantes na interface serão movidos do VLAN padrão para o VLAN chamado vlan-sf.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a falha do servidor no switch, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit protocols dot1x authenticator] set interface ge-0/0/1 server-fail vlan-name vlan-sf
Procedimento passo a passo
Para configurar uma interface para desviar suplicantes para uma VLAN específica quando ocorre um tempo limite radius (aqui, a VLAN é vlan-sf):
Defina a VLAN para quais suplicantes são desviados:
[edit protocols dot1x authenticator] user@switch# set interface ge-0/0/1 server-fail vlan-name vlan-sf
Resultados
Exibir os resultados da configuração:
user@switch> show configuration
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members default;
}
}
}
}
protocols {
dot1x {
authenticator {
interface {
ge-0/0/1.0 {
server-fail vlan-name vlan-sf;
}
}
}
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se os suplicantes são movidos para uma VLAN alternativa durante um intervalo RADIUS
Propósito
Verifique se a interface move suplicantes para uma VLAN alternativa durante um intervalo RADIUS.
Em switches que executam o Junos OS para a Série EX com suporte para ELS, a saída para o show vlans comando conterá informações adicionais. Se o seu switch executa um software que oferece suporte ao ELS, veja o show vlans. Para obter detalhes do ELS, veja Usando a CLI aprimorada de software de camada 2
Ação
Exibir as VLANs configuradas no switch; a interface ge-0/0/1.0 é um membro da default VLAN:
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/0.0, ge-0/0/1.0*, ge-0/0/5.0*, ge-0/0/10.0,
ge-0/0/12.0*, ge-0/0/14.0*, ge-0/0/15.0, ge-0/0/20.0
v2 77
None
vlan—sf 50
None
mgmt
me0.0*
Exibir informações de protocolo 802.1X no switch para visualizar suplicantes autenticados na interface ge-0/0/1.0:
user@switch> show dot1x interface brief 802.1X Information: Interface Role State MAC address User ge-0/0/1.0 Authenticator Authenticated 00:00:00:00:00:01 abc ge-0/0/10.0 Authenticator Initialize ge-0/0/14.0 Authenticator Connecting ge-0/0/15.0 Authenticator Initialize ge-0/0/20.0 Authenticator Initialize
Ocorre um tempo limite de servidor RADIUS. Exibir a tabela de comutação Ethernet para mostrar que o suplicante com o endereço 00:00:00:00:00:01 MAC que anteriormente acessa a LAN por meio da default VLAN está sendo aprendido na VLAN nomeada vlan-sf:
user@switch> show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned VLAN MAC address Type Age Interfaces v1 * Flood - All-members vlan—sf 00:00:00:00:00:01 Learn 1:07 ge-0/0/1.0 default * Flood - All-members
Exibir informações de protocolo 802.1X para mostrar que a interface ge-0/0/1.0 está se conectando e abrirá o acesso LAN a suplicantes:
user@switch> show dot1x interface brief
802.1X Information:
Interface Role State MAC address User
ge-0/0/1.0 Authenticator Connecting
ge-0/0/10.0 Authenticator Initialize
ge-0/0/14.0 Authenticator Connecting
ge-0/0/15.0 Authenticator Initialize
ge-0/0/20.0 Authenticator Initialize
Significado
O show vlans comando exibe interface ge-0/0/1.0 como um membro da default VLAN. O show dot1x interface brief comando mostra que um suplicante (abc) é autenticado na interface ge-0/0/1.0 e tem o endereço 00:00:00:00:00:01MAC. Ocorre um tempo limite de servidor RADIUS, e o servidor de autenticação não pode ser alcançado pelo switch. O show-ethernet-switching table comando mostra que o endereço 00:00:00:00:00:01 MAC é aprendido na VLAN vlan-sf. O suplicante foi transferido da default VLAN para a vlan-sf VLAN. O suplicante é então conectado à LAN por meio da VLAN chamada vlan-sf.
Exemplo: Configuração de opções de fallback em switches da Série EX para autenticação EAP-TTLS e clientes de acesso Odyssey
Para autenticação de usuários do 802.1X, os switches da Série EX oferecem suporte a servidores de autenticação RADIUS que estão usando protocolo de autenticação extensível — TLS tunelados (EAP-TTLS) para autenticar suplicantes do Odyssey Access Client (OAC). O software de redes OAC é executado em computadores endpoint (computadores desktop, notebook ou blocos de notas e dispositivos sem fio suportados) e oferece acesso seguro a redes com e sem fio.
Este exemplo descreve como configurar uma interface habilitada para 802.1X no switch para fornecer suporte de fallback para usuários OAC que entraram em credenciais de login incorretas:
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Este exemplo também se aplica a switches QFX5100.
Versão 11.2 ou posterior do Junos OS para switches da Série EX
Um switch da Série EX atua como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Um servidor de autenticação RADIUS que oferece suporte ao 802.1X. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Um dispositivo final OAC funcionando como um suplicante.
Antes de começar a configurar a opção de retorno de queda, certifique-se de que você tem:
Configure uma conexão entre o switch e o servidor RADIUS. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
EAP-TTLS configurado no servidor. Consulte a documentação do seu servidor RADIUS.
Usuários configurados no servidor RADIUS. Consulte a documentação do seu servidor RADIUS.
Visão geral e topologia
O OAC é um software de rede que é executado em computadores endpoint (desktop, laptop ou bloco de notas) e dispositivos sem fio suportados. A OAC oferece suporte total para o EAP, que é necessário para acesso lan sem fio seguro.
Nesta topologia, o OAC é implantado com um switch habilitado para 802.1X e um servidor RADIUS. O switch funciona como um ponto de aplicação na arquitetura de segurança de rede. Esta topologia:
Garante que apenas usuários autorizados possam se conectar.
Mantém a privacidade das credenciais de login.
Mantém a privacidade dos dados por meio do link sem fio.
Este exemplo inclui a configuração de um VLAN rejeitado por servidor no switch, que pode ser usado para evitar bloqueio acidental para usuários que digitaram credenciais de login incorretas. Esses usuários podem ter acesso limitado à LAN.
No entanto, essa configuração de fallback é complicada pelo fato de que o suplicante OAC e o servidor RADIUS estão usando EAP-TTLS. O EAP-TTLS cria um túnel criptografado seguro entre o servidor e o dispositivo final para concluir o processo de autenticação. Quando o usuário insira credenciais de login incorretas, o servidor RADIUS envia mensagens de falha de EAP diretamente para o cliente por este túnel. A mensagem de falha do EAP faz com que o cliente reinicie o procedimento de autenticação para que o processo de autenticação 802.1X do switch desfaça a sessão estabelecida com o switch usando o VLAN rejeitado pelo servidor. Você pode permitir que a conexão corretiva continue configurando:
eapol-block— Habilite o temporizador de bloqueio EAPoL na interface 802.1X que está configurada para pertencer à VLAN com rejeição de servidor. O temporização de blocos faz com que a entidade de acesso à porta de autenticação ignore as mensagens de início de EAP do cliente, tentando reiniciar o procedimento de autenticação.
Nota:O temporizador de bloqueio EAPoL só é acionado após o esgotamento do número configurado de reattempts permitidos (usando a opção retries ) na interface 802.1X. Você pode configurar retries para especificar o número de vezes que o switch tenta autenticar a porta após uma falha inicial. O padrão são três retries.
block-interval— Configure a quantidade de tempo que deseja que o timer de bloqueio de EAPoL continue a ignorar as mensagens de início do EAP. Se você não configurar o intervalo de blocos, o timer de bloqueio EAPoL será padrão para 120 segundos.
Quando a interface 802.1X ignora as mensagens de início do EAP do cliente, o switch permite que a sessão corretiva existente estabelecida por meio do VLAN rejeitado pelo servidor permaneça aberta.
Essas opções de configuração se aplicam a modos de autenticação únicos, seguros e múltiplos suplicantes. Neste exemplo, a interface 802.1X está configurada em modo suplicante único.
Figura 3 mostra um switch da Série EX conectando um dispositivo final OAC a um servidor RADIUS, e indica os protocolos que estão sendo usados para conectar as entidades de rede.
Esse número também se aplica a switches QFX5100.
Topologia
Tabela 4 descreve os componentes nesta implantação de OAC:.
| Propriedade | Configurações |
|---|---|
Hardware do switch |
Switch da Série EX |
VLANs |
default server-reject-vlan: O nome de VLAN é remedial e O ID da VLAN 700 |
Interface 802.1X |
ge-0/0/8 |
Suplicante de OAC |
EAP-TTLS |
Um servidor de autenticação RADIUS |
EAP-TTLS |
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente as opções de fallback para suplicantes EAP-TTLS e OAC, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set vlans remedial vlan-id 700 set protocols dot1x authenticator interface ge-0/0/8 retries 4 set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan remedial set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan eapol-block set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan block-interval 130
Procedimento passo a passo
Para configurar as opções de fallback para suplicantes de EAP-TTLS e OAC:
Neste exemplo, o switch tem apenas uma VLAN de rejeição de servidor. Portanto, a configuração especifica eapol-block e block-interval logo depois server-reject-vlan. No entanto, se você tiver configurado várias VLANs no switch, você deve incluir o nome VLAN ou ID VLAN diretamente depois server-reject-vlan para indicar qual VLAN está sendo modificada.
Configure uma VLAN que funcionará como a VLAN que rejeita o servidor para fornecer acesso lan limitado para usuários que inseriram credenciais de login incorretas:
[edit] user@switch# set vlans remedial vlan-id 700
Configure o número de vezes para que o cliente seja solicitado para nome de usuário e senha antes que um login incorreto seja direcionado à VLAN que rejeita o servidor:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set retries 4
Configure a interface do autenticador 802.1X para usar o VLAN rejeitado pelo servidor como um recuo para logins incorretos:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan remedial
Habilite o temporizador de bloqueio EAPoL na interface 802.1X que está configurada para pertencer à VLAN que rejeita o servidor.
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan eapol-block
Configure a quantidade de tempo para que o bloco de EAPoL permaneça em vigor:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan block-interval 130
Resultados
Confira os resultados da configuração:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
retries 4;
server-reject-vlan remedial block-interval 130 eapol-block;
}
Verificação
Para confirmar que a configuração e as opções de fallback estão funcionando corretamente, execute esta tarefa:
Verificando a configuração da interface 802.1X
Propósito
Verifique se a interface 802.1X está configurada com as opções desejadas.
Ação
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 4
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 120 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPoL requests: 2
Guest VLAN member: guest
Number of connected supplicants: 1
Supplicant: tem, 2A:92:E6:F2:00:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Radius
Authenticated VLAN: remedial
Session Reauth interval: 120 seconds
Reauthentication due in 68 seconds
Significado
A show dot1x ge-0/0/8 detail saída de comando mostra que a ge-0/0/8 interface está no Authenticated estado e que está usando o remedial VLAN.
Monitoramento da autenticação 802.1X
Propósito
Este tópico se aplica apenas ao pacote J-Web Application.
Use o recurso de monitoramento para exibir detalhes de usuários e usuários autenticados que falharam na autenticação.
Ação
Para exibir detalhes de autenticação na interface J-Web, selecione Monitoring > Security > 802.1X.
Para exibir detalhes de autenticação no CLI, insira os seguintes comandos:
show dot1x interface detail | display xmlshow dot1x interface detail <interface> | display xmlshow dot1x auth-failed-users
Significado
Os detalhes exibidos incluem:
Uma lista de usuários autenticados.
O número de usuários conectados.
Uma lista de usuários que falharam na autenticação.
Você também pode especificar uma interface para a qual os detalhes devem ser exibidos.
Consulte também
Verificando a autenticação do 802.1X
Propósito
Verifique se os suplicantes estão sendo autenticados em uma interface em um switch com a interface configurada para autenticação 802.1X e exibir o método de autenticação que está sendo usado.
Ação
Exibir informações detalhadas sobre uma interface configurada para 802.1X (aqui, a interface é ge-0/0/16):
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: v200
Reauthentication due in 17 secondsSignificado
A saída de amostra do show dot1x interface detail comando mostra que a Number of connected supplicants é 1. O suplicante que foi autenticado e agora está conectado à LAN é conhecido como user5 no servidor RADIUS e tem o endereço 00:30:48:8C:66:BDMAC. O suplicante foi autenticado por meio do método de autenticação 802.1X chamado autenticação RADIUS, conforme indicado na Radius saída. Quando a autenticação RADIUS é usada, o suplicante é configurado no servidor RADIUS, o servidor RADIUS comunica isso ao switch e o switch abre acesso LAN na interface à qual o suplicante está conectado. A saída de amostra também mostra que o suplicante está conectado à VLAN v200.
Outros métodos de autenticação 802.1X suportados em switches da Série EX, além da autenticação RADIUS, são:
VLAN convidado — um host não responsável recebe acesso Guest-VLAN.
MAC Radius — um host não responsável é autenticado com base em seu endereço MAC. O endereço MAC é configurado conforme permitido no servidor RADIUS, o servidor RADIUS notifica o switch de que o endereço MAC é um endereço permitido, e o switch concede acesso LAN ao host não responsável na interface à qual está conectado.
Negação de falha do servidor — se os servidores RADIUS estiverem fora, todos os suplicantes serão impedidos de acessar a LAN, impedindo o tráfego do suplicante de atravessar pela interface. Esse é o padrão.
Permissão de falha do servidor — quando o servidor RADIUS está indisponível, um suplicante ainda é permitido acesso à LAN como se o suplicante tivesse sido autenticado com sucesso pelo servidor RADIUS.
Cache de uso com falha no servidor — se os servidores RADIUS perderem tempo durante a reauthenticação, os suplicantes autenticados anteriormente receberão acesso LAN, mas novos suplicantes serão negados ao LAN.
VLAN com falha no servidor — um suplicante está configurado para ser movido para um VLAN especificado se o servidor RADIUS não estiver disponível para reauthenticar o suplicante. (A VLAN já deve existir no switch.)
Consulte também
Resolução de problemas da autenticação de dispositivos finais em switches da Série EX
Problema
Descrição
Os dispositivos finais configurados usando endereços MAC estáticos perdem a conexão com o switch depois que o comando claro da interface dot1x é executado para limpar todos os endereços MAC aprendidos.
Antes de limpar os endereços MAC:
user@switch# run show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members default 00:a0:d4:00:03:00 Learn 0 ge-3/0/16.0 user@switch> show dot1x authentication-bypassed-users MAC address Interface VLAN 00:a0:d4:00:03:00 ge-3/0/16.0 configured/default
Para limpar endereços MAC:
user@switch> clear dot1x interface
Após limpar endereços MAC:
user@switch> show ethernet-switching table Ethernet-switching table: 2 entries, 0 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members user@switch> show dot1x authentication-bypassed-users
Observe que não há dispositivos finais na lista de desvios de autenticação.
Causa
Os endereços MAC estáticos são tratados da mesma forma que outros endereços MAC aprendidos em uma interface. Quando o comando claro da interface dot1x é executado, ele libera todos os endereços MAC aprendidos da interface, incluindo a lista de desvios MAC estática (também conhecida como lista de exclusão).
Solução
Se você executar o comando de interfaces de ponto1x claro para uma interface que tem endereços MAC estáticos configurados para bypass de autenticação, adicione novamente os endereços MAC estáticos à lista de desvios MAC estáticos.
Consulte também
Atributos RADIUS e atributos específicos do fornecedor (VSAs) da Juniper Networks suportados pelo 802.1X
Authenticator (Servidor de acesso à rede), suplicante (cliente) e servidor de autenticação estão todos envolvidos na autenticação 802.1X (RADIUS-server). O protocolo RADIUS é usado como um mecanismo de solicitação/resposta para comunicação entre o NAS e o radius-server. Existem valores de comprimento de tipo (TLVs/atributos) zero ou mais em solicitações e esponses r.
O acesso de cada candidato pode ser restringido usando um conjunto padrão de recursos definidos e atributos específicos do fornecedor habilitados pelo 802.1X. (cliente). Determinados atributos podem ser usados mais de uma vez para oferecer suporte a valores mais longos, pois o atributo Radius Class tem um tamanho máximo de 253 bytes.
Benefícios de usar atributos padrão RADIUS e VSAs
Para se conectar com um servidor RADIUS externo para autenticação, autorização e contabilidade de assinantes, são necessários atributos padrão RADIUS.
Os VSAs permitem a implementação de inúmeros recursos valiosos que são necessários para o gerenciamento de assinantes e suporte de serviços, estendendo a capacidade do servidor RADIUS para além do que é fornecido por atributos de padrão público.
Lista radius attributes e VSA suportada por 802.1X
| Tipo | Atributo | Definição |
|---|---|---|
|
1 |
Nome do usuário |
RFC 2865 |
|
6 |
Tipo de serviço |
RFC 2865 |
|
11 |
Id de filtro |
RFC 2865 |
|
24 |
Estado |
RFC 2865 |
|
25 |
Classe |
RFC 2865 |
|
26 |
Específico do fornecedor |
RFC 2865 |
|
27 |
Tempo limite de sessão |
RFC 2865 |
|
56 |
Saída-VLANID |
RFC 4675 |
|
57 |
Nome da saída-VLAN |
RFC 4675 |
|
61 |
Tipo de porta NAS |
RFC 2865 |
|
64 |
Tipo de túnel |
RFC 2868 |
|
65 |
Tipo médio de túnel |
RFC 2868 |
|
81 |
ID do grupo privado de túneis |
RFC 2868 |
|
85 |
Intervalo interino de acct |
RFC 2869 |
|
102 |
Nome da chave EAP |
RFC 4072 |
| ID do fornecedor | Número | Juniper VSAs | Microsoft VSAs | Cisco VSA |
|---|---|---|---|---|
| 2636 | 48 | Filtro de comutação da Juniper | ||
| 49 | Juniper-VoIP-Vlan | |||
| 50 | Juniper-CWA-Redirecionamento-URL | |||
| 52 | Juniper-AV-Pair = Port-Bounce |
|||
|
Juniper-AV-Pair = Juniper Ip-Mac-Session-Binding |
||||
|
Juniper-AV-Pair = No-Mac-Binding-Reauth |
||||
|
Juniper-AV-Pair = Modo suplicante único |
||||
|
Juniper-AV-Pair = Suplicant-Mode-Single-Secure |
||||
|
Juniper-AV-Pair = Retain-Mac-Aged-Session |
||||
| 53 |
Tipo de evento da Juniper |
|||
| 54 | Tipo de sub-evento da Juniper | |||
| 55 | Mensagem genérica da Juniper | |||
| 311 | 16 | MS-MPPE-Send-Key | ||
| 17 | MS-MPPE-Recv-Key | |||
| 9 | 1 |
Cisco-AVPair = "assinante:command=bounce-host-port" |
||
|
Cisco-AVPair = "assinante:command=reauthenticate" |
||||
|
Cisco-AVPair = "assinante:reauthenticate-type=reprise" |
||||
| "Assinante:reauthenticate-type=last" | ||||
| "redirecionamento de url" |
Atributos RADIUS compatíveis com 802.1X
Nome do usuário:
O nome do usuário que precisa ser verificado é indicado por este atributo. Se disponíveis, os pacotes de solicitação de acesso devem ser usados para enviar este atributo. O tipo RADIUS para este atributo é 1.
Id de filtro:
No servidor RADIUS, as políticas do usuário podem estar sujeitas a um filtro de firewall. O servidor RADIUS pode então ser usado para especificar os filtros de firewall a serem aplicados a cada usuário que envia uma solicitação de autenticação. Cada switch precisa ser configurado com filtros de firewall.
You must set up firewall filter on the local switch in order to apply filter centrally from the RADIUS server.[root@freeradius]# cd /usr/local/pool/raddb vi users
Adicione o filtro para cada usuário relevante.
Filter-Id = Filter1
Estado:
Entre o dispositivo e o servidor RADIUS, as informações de estado podem ser preservadas com o uso do atributo String. O tipo RADIUS para este atributo é 24.
Saída-VLANID:
Um IEEE 802 Egress VLANID permitido para esta porta é representado pelo atributo Egress-VLANID, que também especifica se o VLANID é permitido para quadros marcados ou não, além do VLANID. O atributo Egress-VLANID é definido em RFC 4675.
Os atributos de saída-VLANID dos pacotes de Solicitação de Acesso, Aceitação de Acesso ou CoA-Request podem incluir vários valores. Nenhum desafio de acesso, rejeição de acesso, solicitação de desconexão, disconnect-ACK, Disconnect-NAK, CoA-ACK ou CoA-NAK pode incluir essa característica. Cada atributo adiciona o VLAN fornecido à lista de VLANs de saída permitidas.
Se os quadros no VLAN forem marcados (0x31) ou não registrados (0x31), o campo Tag Indication, que é um octeto de comprimento, afirma. O VLANID tem 12 bits de comprimento e contém o valor do VLAN VID.
Para Egress-VLAN-ID:
0x31 = tagged 0x32 = untagged
Por exemplo, o perfil RADIUS a seguir inclui uma tag e uma VLAN não registrada:
001094001177 Cleartext-Password := "001094001177" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLANID += 0x3100033, Egress-VLANID += 0x3200034,
Nome da saída-VLAN:
Egress-VLAN-Name representa uma VLAN permitida para esta porta. Semelhante ao atributo Egress-VLANID, no entanto, em vez de usar o VLAN-ID, que é definido ou conhecido, o nome VLAN é usado para identificar a VLAN dentro do sistema. O RFC 4675 contém uma definição para o atributo Egresso-VLAN-Name.
O nome VLAN é a segunda parte do atributo Egress-VLAN-Name em duas partes, que também especifica se os quadros na VLAN para esta porta devem ser exibidos em formato marcado ou não.
Para nome de Egress-VLAN: 1 = taged e 2 = sem registro
The example below shows that VLAN 1vlan-2 is tagged, while VLAN 2vlan-3 is not.001094001144 Cleartext-Password := "001094001144" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
Tipo de túnel:
Este atributo especifica o protocolo de tunelamento atualmente em uso ou o protocolo de tunelamento que será usado (no caso de um iniciador de túnel) (no caso de um terminador de túnel). O RFC 2868 especifica o atributo tipo túnel. O tipo RADIUS para este atributo é 64
Id de grupo privado de túneis:
O ID ou NOME da VLAN para a sessão é exibido pelo atributo Tunnel-Medium-Type. O dispositivo verifica se o string que ele recebe é um nome VLAN ou um ID depois de obter um valor fornecido para o atributo Tunnel-Private-Group-ID do raio e verifica se o dispositivo está configurado com uma VLAN.
Se uma VLAN tiver sido configurada, a porta do cliente será adicionada a essa VLAN. Caso contrário, devido a uma falha na validação de VLAN, o cliente não será permitido e será mantido em um status de mantido.
O tipo RADIUS para este atributo é 81, conforme RFC 2868.
[root@freeradius]# cat /usr/local/etc/raddb/users supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005",
Intervalo interino de acct:
O valor do atributo Acct-Interim-Interval representa o intervalo de tempo em segundos entre cada transmissão de uma atualização provisória para uma sessão específica. O número de segundos que se passaram desde a última mensagem de atualização de contabilidade é o valor deste atributo.
Um valor mínimo também pode ser definido por um administrador localmente em um cliente RADIUS, no entanto, esse valor sempre tem precedência sobre quaisquer valores de intervalo interino de Acct detectados em um pacote de aceitação de acesso. O tipo RADIUS para este atributo é 85.
Juniper Networks VSAs
Filtro de comutação da Juniper:
O atributo de filtro de comutação da Juniper no servidor RADIUS da Juniper permite que você especifique critérios de filtro simples. Depois disso, sempre que um novo usuário é autorizado com sucesso, esses filtros são entregues em um switch.
Switches que usam o servidor RADIUS para autenticação do usuário constroem e aplicam automaticamente os filtros sem exigir qualquer configuração específica do switch. Insira uma ou mais condições de correspondência, ações e associações de usuários no servidor RADIUS para configurar a propriedade do filtro de comutação da Juniper.
Para filtros de comutação mais longos, use várias instâncias do atributo de filtro de comutação da Juniper com um limite máximo de 20 condições de correspondência e um tamanho total máximo de 4000 caracteres. O comprimento máximo de qualquer atributo de raio é de 253 caracteres, de modo que cada linha do atributo "filtro de comutação da Juniper" também deve ser inferior a 253 caracteres.
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter = "match src-tag dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow ", Juniper-Switching-Filter += "match src-port 500 dst-port 600 src-tag [ 100, 200 ] action allow ", Juniper-Switching-Filter += "match ip-proto src-port 9090 ip-proto [ 25 17] action allow ", Juniper-Switching-Filter += "match src-port 100-120 200-220 300-320 src-tag ip-proto 26 18 action allow ", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000 ] ip-proto 240 action allow "
As condições de correspondência do filtro a seguir são suportadas:
· destination-mac / dst-mac · destination-port / dst-port · destination-ip / dst · ip-protocol / ip-proto · source-port / src-port · source-dot1q-tag / src-tag · ether-type
- Allow · Deny · GBP · Trap to CPU · Loss-Priority
i) Verifique se o atributo juniper está carregado em seu servidor RADIUS e inclui o atributo de filtragem Juniper-Switching-Filter, atributo ID 48:
[root@freeradius]# cat /usr/local/share/freeradius/dictionary.juniper # dictionary.juniper # $ # VENDOR Juniper 2636 BEGIN-VENDOR Juniper ATTRIBUTE Juniper-Local-User-Name 1 string ATTRIBUTE Juniper-Allow-Commands 2 string ATTRIBUTE Juniper-Deny-Commands 3 string ATTRIBUTE Juniper-Allow-Configuration 4 string ATTRIBUTE Juniper-Deny-Configuration 5 string ATTRIBUTE Juniper-Switching-Filter 48 string ATTRIBUTE Juniper-VoIP-Vlan 49 string ATTRIBUTE Juniper-CWA-Redirect 50 string ATTRIBUTE Juniper-AV-Pair 52 string END-VENDOR Juniper
ii) Insira as condições e ações da partida.
[root@freeradius]# cd /usr/local/etc/raddb vi users
Para cada usuário relevante, adicione o atributo Juniper-Switching-Filter. Para negar ou permitir acesso com base no MAC de destino, use
Juniper-Switching-Filter = "Match Destination mac 00:00:00:01:02:03 Action allow",
ou
Juniper-Switching-Filter = "Match Destination-mac 00:00:00:01:02:03 Action deny",
Negar ou permitir acesso com base no endereço IP de destino:
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action deny"
ou
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action allow"
Enviar vários filtros com diferentes correspondências e ações:
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter += "Match Ip-protocol 1 Destination-port 53 Action allow,", Juniper-Switching-Filter += "Match ip-proto [ 17, 25 ] dst-port 53 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 2 src-port 67 Action allow,", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000] action deny,", Juniper-Switching-Filter += "Match destination-port 23 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 6 Destination-port 80 Action trap,",
ou
Juniper-Switching-Filter = "Match Ip-protocol 6 Destination-port 53 Action allow , Match Ip-protocol [ 17 25] Destination-port 53 Action allow , Match Ether-type [2054-2070] Action deny, Match Ip-protocol 6 Destination-port 443 Action trap"
Definir a prioridade de perda de pacotes (PLP) em alta com base em um endereço MAC de destino e no protocolo IP:
Juniper-Switching-Filter = "match destination-mac 00:04:0f:fd:ac:fe, ip-protocol 2, action loss-priority high"
Juniper-VoIP-Vlan:
O vlan VOIP é recuperado do servidor de raio usando o VSA Juniper-VoIP-Vlan em uma mensagem de aceitação de acesso ou mensagem de solicitação de COA. Este atributo é o número 49.
Juniper-VoIP-Vlan = "voip_vlan"
O VoIP permite que você conecte telefones IP ao switch e configure a autenticação IEEE 802.1X para telefones IP compatíveis com 802.1X.
As LANs Ethernet estão protegidas contra o acesso ilegal de usuários graças à autenticação 802.1X. Um protocolo conhecido como VoIP é usado para transmitir voz por redes comutada por pacotes. Uma conexão de rede, em oposição a uma linha telefônica analógica, é usada pelo VoIP para transmitir chamadas de voz. Quando o VoIP é usado com o 802.1X, o servidor RADIUS verifica a identidade do telefone, enquanto o Link Layer Discovery Protocol-Media Endpoint Discovery (LLDP-MED) oferece ao telefone os parâmetros de classe de serviço (CoS).
Redirecionamento da Juniper-CWA:
Com o Juniper-CWA-Redirect VSA, que é atributo número 50 no firewall RADIUS da Juniper, a URL de redirecionamento pode ser configurada centralmente no servidor AAA. O filtro dinâmico de firewall e a URL são ambos entregues pelo servidor AAA ao switch na mesma mensagem RADIUS Access-Accept. Como um mecanismo de autenticação de backup, a autenticação central da Web (CWA) redireciona o navegador do host para um servidor central de autenticação da Web. O usuário pode inserir um nome de usuário e senha na interface web do servidor CWA. O usuário é autenticado e recebe acesso à rede se o servidor CWA aceitar suas credenciais.
Depois que um host falha na autenticação MAC RADIUS, a autenticação central da Web é usada. O switch, atuando como autenticador, recebe uma mensagem RADIUS Access-Accept do servidor AAA que contém um filtro de firewall dinâmico e uma URL de redirecionamento para autenticação central da Web.
Para que o procedimento central de autenticação da Web seja ativado, tanto a URL de redirecionamento quanto o filtro dinâmico de firewall precisam estar presentes. Para usar o VSA do filtro de comutação da Juniper para autenticação central da Web, você deve configurar os termos do filtro diretamente no servidor AAA. O filtro deve incluir um termo para combinar o endereço IP de destino do servidor CWA com o que a ação permite.
Por exemplo:
001122334455 Auth-Type := EAP, Cleartext-Password :="001122334455" Session-Timeout = "300", Juniper-CWA-Redirect-URL = "https://10.10.10.10", Juniper-Switching-Filter = "Match Destination-ip 10.10.10.10 Action allow, Match ip-protocol 17 Action allow, Match Destination-mac 00:01:02:33:44:55 Action deny"
Para a URL de redirecionamento, o switch não resolve consultas de DNS. Para habilitar o endereço IP de destino do servidor CWA, você deve configurar a propriedade Juniper-Switching-Filter.
Juniper-AV-Pair:
O atributo Juniper-AV-Pair é um atributo específico do fornecedor (VSA) da Juniper Networks. Para fornecer inúmeros recursos importantes necessários para o gerenciamento de assinantes e suporte de serviços, ele é usado para aprimorar os recursos do servidor RADIUS além dos oferecidos pelos atributos padrão público.
i) Port-Bounce:
Com o comando da porta de host de salto coA, uma sessão é terminada e a porta é saltada (inicia um evento de link para baixo seguido por um evento de link up). A solicitação é enviada pelo servidor de raio em uma mensagem de CoA-Request típica com o VSA listado abaixo:
Juniper-AV-Pair = "Port-Bounce".
Este comando requer um ou mais dos atributos de identificação de sessão listados na seção "Identificação de sessão" porque é orientado para a sessão. O dispositivo envia uma mensagem de CoA-NAK com o atributo de código de erro "Contexto de sessão não encontrado" se a sessão não puder ser encontrada.
O dispositivo fecha a porta de hospedagem por 4 segundos, a habilita novamente (salto na porta) e depois retorna uma CoA-ACK se a sessão estiver localizada.
ii) Ip-Mac-Session-Binding:
Isso é usado para impedir que a sessão de autenticação desse dispositivo seja terminada quando o endereço MAC de um dispositivo estiver fora do prazo e precisar ser novamente aprendido. Recebemos esse valor de atributo de um VSA Juniper AV Pair em uma mensagem de aceitação de acesso ou solicitação de COA.
Configure o servidor RADIUS com ambos os seguintes pares de valor de atributo, a fim de manter a sessão de autenticação com base em vinculações de endereços IP-MAC.
Juniper-AV-Pair = "IP-Mac-Session-Binding Juniper-AV-Pair = "No-Mac-Binding-Reauth"
iii) No-Mac-Binding-reauth:
Isso é usado para bloquear a reauthenticação do cliente e impedir que a sessão de autenticação seja terminada quando o endereço MAC de um dispositivo fica desatualizado. Esse valor de propriedade é enviado a nós por um VSA Juniper AV Pair em uma mensagem de aceitação de acesso ou solicitação de COA.
Juniper-AV-Pair = "No-Mac-Binding-Reauth" Detailed information is provided in the document: Retain the Authentication Session Using IP-MAC Bindings
iv) Suplicante-Modo Único:
The device switches from the current set mode to single in response to receiving this attribute-value from a VSA Juniper-AV-Pair on an access-accept or COA request message.Juniper-AV-Pair = "Supplicant-Mode-Single"
v) Suplicant-Mode-Single-Secure:
O dispositivo muda do modo de conjunto atual para um único seguro em resposta ao recebimento desse valor de atributo de um VSA Juniper-AV-Pair em uma mensagem de solicitação de acesso ou COA.
Juniper-AV-Pair = "Supplicant-Mode-Single-Secure"
vi) Retain-Mac-Aged-Session:
If this attribute-value is received from a VSA Juniper-AV-Pair on an access-accept message for an 802.11X client, the client stays active even if the mac has aged out, and the mac is re-learned.Juniper-AV-Pair = "Retain-Mac-Aged-Session"
MS-MPPE-Send-Key e MS-MPPE-Recv-Key:
These are the MACSEC CAK generation keys together with the EAP key name that are utilised in dynamic CAK scenarios.Cisco-AVPair:
Cisco Systems, IANA private enterprise number 9, uses a single VSA, Cisco-AVPair (26-1). Based on the values it has, this VSA transmits various pieces of information. In some subscriber access networks with a BNG connected to a RADIUS server and a Cisco BroadHop application that serves as the Policy Control and Charging Rules Function (PCRF) server for provisioning services using RADIUS change of authorization (CoA) messages, you can use this VSA in RADIUS messages to activate and deactivate services.Quando o BNG entrega mensagens RADIUS, você não pode alterar nenhuma das propriedades nas respostas de contabilidade, CoA ou autenticação.
i) Cisco-AVPair = "assinante:command=bounce-host-port"
Uma sessão é terminada e a porta é saltada através do comando de porta de host de salto CoA (inicia um evento de link para baixo seguido de um evento de link up). A solicitação é enviada pelo servidor AAA em uma mensagem típica de CoA-Request com o VSA listado abaixo.
Cisco:Avpair=“subscriber:command=bounce-host-port”
Este comando requer um ou mais dos atributos de identificação de sessão listados na seção "Identificação de sessão" porque é orientado para a sessão. O dispositivo envia uma mensagem de CoA-NAK com o atributo de código de erro "Contexto de sessão não encontrado" se a sessão não puder ser encontrada. O dispositivo fecha a porta de hospedagem por 4 segundos, a habilita novamente (salto na porta) e depois retorna uma CoA-ACK se a sessão estiver localizada.
ii) Comando de reauthenticato Cisco-AVPair
Para iniciar a autenticação da sessão, o servidor AAA envia uma mensagem padrão de CoA-Request contendo os seguintes VSAs:
Cisco:Avpair=“subscriber:command=reauthenticate” Cisco:Avpair=“subscriber:reauthenticate-type=<last | rerun>”
reauthenticate-type define se a solicitação de reauthenção da CoA usa o método de autenticação que foi bem sucedido pela última vez na sessão ou se o processo de autenticação é completamente reexaminado.
"subscriber:command=reauthenticate" deve estar presente para causar uma reauthenticação. A ação padrão é repetir o método de autenticação bem-sucedido anterior usado para a sessão se "assinante:tipo reauthenticado" não for dado. Se o método se reauthenticar com sucesso, todos os dados de autorização anteriores serão trocados pelos dados de autorização recém-reauthentos.
Somente quando "assinante:command=reauthenticate" também estiver presente é válido "assinante:tipo reauthenticado". O VSA é ignorado se estiver contido em outro comando coa.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.