Ajude-nos a melhorar a sua experiência.

Conte-nos a sua opinião.

Tem dois minutos para uma pesquisa?

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
close
keyboard_arrow_left
list Table of Contents
keyboard_arrow_right

Esta tradução automática foi útil?

starstarstarstarstar
Go to English page
ISENÇÃO DE RESPONSABILIDADE:

Esta página será traduzida com software de tradução por máquina de terceiros. Embora esforços razoáveis tenham sido feitos para fornecer uma tradução de qualidade, a Juniper Networks não pode garantir sua exatidão. Se houver dúvidas sobre a exatidão das informações contidas nesta tradução, consulte a versão em inglês. O PDF para download está disponível apenas em inglês.

Métodos de autenticação de controle de acesso

date_range 03-Aug-24

Você pode controlar o acesso à sua rede por meio de um dispositivo usando várias autenticações diferentes. Os dispositivos Junos OS oferecem suporte a 802.1X, MAC RADIUS e portal cativo como métodos de autenticação para dispositivos que precisam se conectar a uma rede. Leia este tópico para obter mais informações.

Visão geral da autenticação

Você pode controlar o acesso à sua rede por meio de um dispositivo da Juniper Networks usando métodos de autenticação como 802.1X, MAC RADIUS ou portal cativo. A autenticação impede que dispositivos e usuários não autenticados tenham acesso à sua LAN. Para a autenticação do 802.1X e MAC RADIUS, os dispositivos finais devem ser autenticados antes de receberem um endereço IP de um servidor de protocolo de configuração dinâmica de host (DHCP). Para autenticação cativa do portal, o dispositivo permite que os dispositivos finais adquiram um endereço IP para redirecioná-los a uma página de login para autenticação.

Autenticação 802.1X

O 802.1X é um padrão IEEE para controle de acesso à rede (PNAC) baseado em porta. Ele fornece um mecanismo de autenticação para dispositivos que buscam acessar uma LAN. O recurso de autenticação 802.1X é baseado no controle padrão de acesso à rede baseado em porta IEEE 802.1X.

O protocolo de comunicação entre o dispositivo final e o dispositivo é o Extensible Authentication Protocol over LAN (EAPoL). EAPoL é uma versão do EAP projetada para trabalhar com redes Ethernet. O protocolo de comunicação entre o servidor de autenticação e o dispositivo é RADIUS.

Durante o processo de autenticação, o dispositivo conclui várias trocas de mensagens entre o dispositivo final e o servidor de autenticação. Enquanto a autenticação 802.1X está em processo, apenas tráfego 802.1X e tráfego de controle podem transitar pela rede. Outros tráfegos, como tráfego DHCP e tráfego HTTP, estão bloqueados na camada do link de dados.

Nota:

Você pode configurar o número máximo de vezes em que um pacote de solicitação de EAPoL é retransmitido e o período de tempo entre as tentativas. Para obter informações, veja Configuração das configurações da interface 802.1X (procedimento CLI).

Uma configuração de autenticação 802.1X para uma LAN contém três componentes básicos:

Supplicant (also called end device)

Suplicante é o termo IEEE para um dispositivo final que solicita a adesão à rede. O dispositivo final pode ser responsivo ou não responsável. Um dispositivo final responsivo é habilitado para 802.1X e oferece credenciais de autenticação usando EAP. As credenciais necessárias dependem da versão do EAP que está sendo usado — especificamente, um nome de usuário e senha para EAP MD5 ou um nome de usuário e certificados de cliente para segurança de camada de transporte de protocolo de autenticação extensível (EAP-TLS), segurança de camada de transporte com túnel EAP (EAP-TTLS) e EAP protegido (PEAP).

Você pode configurar uma VLAN com rejeição de servidor para fornecer acesso lan limitado para dispositivos finais responsivos habilitados para 802.1X que enviaram credenciais incorretas. Uma VLAN com rejeição de servidor pode fornecer uma conexão corretiva, normalmente apenas para a Internet, para esses dispositivos. Veja exemplo: Configuração de opções de fallback em switches da Série EX para autenticação EAP-TTLS e clientes de acesso Odyssey para obter informações adicionais.

Nota:

Se o dispositivo final que é autenticado usando o VLAN rejeitado por servidor for um telefone IP, o tráfego de voz será descartado.

Um dispositivo final não responsável é aquele que não está habilitado para 802.1X. Ele pode ser autenticado por meio da autenticação MAC RADIUS.

Authenticator port access entity

O termo IEEE para autenticador. O dispositivo é o autenticador, e controla o acesso bloqueando todo o tráfego de e para dispositivos finais até que eles sejam autenticados.

Authentication server

O servidor de autenticação contém o banco de dados back-end que toma decisões de autenticação. Ele contém informações de credencial para cada dispositivo final que é autenticado para se conectar à rede. O autenticador encaminha credenciais fornecidas pelo dispositivo final para o servidor de autenticação. Se as credenciais encaminhadas pelo autenticador corresponderem às credenciais no banco de dados do servidor de autenticação, o acesso será concedido. Se as credenciais encaminhadas não corresponderem, o acesso será negado.

Nota:

Você não pode configurar a autenticação 802.1X em grupos de tronco redundantes (RTGs). Para obter mais informações sobre RTGs, consulte Entendendo links redundantes de tronco (Configuração RTG legadas).

Autenticação MAC RADIUS

O método de autenticação 802.1X só funciona se o dispositivo final estiver habilitado para 802.1X, mas muitos dispositivos de rede de propósito único, como impressoras e telefones IP, não oferecem suporte ao protocolo 802.1X. Você pode configurar a autenticação MAC RADIUS em interfaces conectadas a dispositivos de rede que não oferecem suporte ao 802.1X e para os quais você deseja permitir o acesso à LAN. Quando um dispositivo final que não é habilitado para 802.1X é detectado na interface, o dispositivo transmite o endereço MAC do dispositivo para o servidor de autenticação. Em seguida, o servidor tenta combinar o endereço MAC com uma lista de endereços MAC em seu banco de dados. Se o endereço MAC corresponde a um endereço da lista, o dispositivo final será autenticado.

Você pode configurar os métodos de autenticação 802.1X e MAC RADIUS na interface. Neste caso, o dispositivo primeiro tenta autenticar o dispositivo final usando 802.1X e, se esse método falhar, ele tenta autenticar o dispositivo final usando a autenticação MAC RADIUS. Se você sabe que apenas suplicantes não responsivos se conectam nessa interface, você pode eliminar o atraso que ocorre para o dispositivo para determinar que o dispositivo final não está habilitado para 802.1X configurando a opção mac-radius restrict . Quando essa opção está configurada, o dispositivo não tenta autenticar o dispositivo final através da autenticação 802.1X, mas envia imediatamente uma solicitação ao servidor RADIUS para autenticação do endereço MAC do dispositivo final. Se o endereço MAC desse dispositivo final estiver configurado como um endereço MAC válido no servidor RADIUS, o dispositivo abre acesso LAN ao dispositivo final na interface à qual está conectado.

A opção mac-radius-restrict é útil quando não são necessários outros métodos de autenticação 802.1X, como o VLAN convidado, na interface. Se você configurar mac-radius-restrict em uma interface, o dispositivo derruba todos os pacotes 802.1X.

Os protocolos de autenticação suportados para autenticação MAC RADIUS são EAP-MD5, que é o padrão, EAP protegido (EAP-PEAP) e protocolo de autenticação de senha (PAP). Você pode especificar o protocolo de autenticação a ser usado para autenticação MAC RADIUS usando a authentication-protocol declaração.

Autenticação de portal cativo

A autenticação cativa do portal (posteriormente referida como portal cativo) permite que você autenticar usuários redirecionando solicitações de navegador da Web para uma página de login que exige que os usuários insiram um nome de usuário e senha válidos antes que eles possam acessar a rede. O portal cativo controla o acesso à rede exigindo que os usuários forneçam informações autenticadas em um banco de dados de servidor RADIUS usando o EAP-MD5. Você também pode usar o portal cativo para exibir uma política de uso aceitável aos usuários antes que eles acessem sua rede.

O Junos OS fornece um modelo que permite que você projete e modifique facilmente a aparência da página de login do portal cativo. Você habilita interfaces específicas para o portal cativo. A primeira vez que um dispositivo final conectado a uma interface de portal cativa tenta acessar uma página web, o dispositivo apresenta a página de login do portal cativo. Depois que o dispositivo é autenticado com sucesso, ele tem acesso à rede e continua à página original solicitada.

Nota:

Se o HTTPS estiver habilitado, as solicitações de HTTP serão redirecionadas para uma conexão HTTPS para o processo de autenticação de portal cativo. Após a autenticação, o dispositivo final é devolvido à conexão HTTP.

Se houver dispositivos finais que não estejam conectados com HTTP na interface de portal cativa, você pode permitir que eles contornem a autenticação cativa do portal adicionando seus endereços MAC a um whitelist de autenticação.

Quando um usuário é autenticado pelo servidor RADIUS, quaisquer políticas por usuário (atributos) associadas a esse usuário também são enviadas ao dispositivo.

O portal cativo tem as seguintes limitações:

    • O portal cativo não oferece suporte a atribuição dinâmica de VLANs baixadas do servidor RADIUS.

    • Se o usuário permanecer ocioso por mais de 5 minutos e não houver passagem de tráfego, o usuário deverá fazer login de volta no portal cativo.

Desvio de autenticação mac estático

Você pode permitir que dispositivos finais acessem a LAN sem autenticação em um servidor RADIUS, incluindo seus endereços MAC na lista de desvios MAC estática (também conhecida como lista de exclusão).

Você pode optar por incluir um dispositivo na lista de desvios para:

  • Permita que dispositivos não habilitados para 802.1X tenham acesso à LAN.

  • Elimine o atraso que ocorre para o dispositivo determinar que um dispositivo conectado é um host não habilitado para 802.1X.

Ao configurar MAC estático, o endereço MAC do dispositivo final é verificado pela primeira vez em um banco de dados local (uma lista configurada pelo usuário de endereços MAC). Se uma correspondência for encontrada, o dispositivo final é autenticado com sucesso e a interface é aberta para ele. Nenhuma autenticação adicional é feita para esse dispositivo final. Se uma correspondência não for encontrada e a autenticação 802.1X estiver habilitada no dispositivo, o dispositivo tenta autenticar o dispositivo final através do servidor RADIUS.

Para cada endereço MAC, você também pode configurar a VLAN para a qual o dispositivo final é movido ou as interfaces em que o host se conecta.

Nota:

Quando você limpa os endereços MAC aprendidos de uma interface, usando o clear dot1x interface comando, todos os endereços MAC são liberados, incluindo os da lista de desvios MAC estáticos.

Recuo dos métodos de autenticação

Você pode configurar a autenticação de portal cativo 802.1X, MAC RADIUS em uma única interface para permitir o retorno a outro método se a autenticação por um método falhar. Os métodos de autenticação podem ser configurados em qualquer combinação, exceto que você não pode configurar tanto o MAC RADIUS quanto o portal cativo em uma interface sem também configurar o 802.1X. Por padrão, a maioria dos dispositivos usa a seguinte ordem de métodos de autenticação:

  1. Autenticação 802.1X — Se o 802.1X estiver configurado na interface, o dispositivo envia solicitações de EAPoL para o dispositivo final e tenta autenticar o dispositivo final através da autenticação 802.1X. Se o dispositivo final não responder às solicitações de EAP, o dispositivo verifica se a autenticação MAC RADIUS está configurada na interface.

  2. Autenticação MAC RADIUS — Se a autenticação MAC RADIUS estiver configurada na interface, o dispositivo envia o endereço MAC RADIUS do dispositivo final para o servidor de autenticação. Se a autenticação MAC RADIUS não estiver configurada, o dispositivo verifica se o portal cativo está configurado na interface.

  3. Autenticação cativa do portal — se o portal cativo estiver configurado na interface, o dispositivo tenta autenticar o dispositivo final usando este método após os outros métodos de autenticação configurados na interface terem falhado.

Para obter uma ilustração do fluxo padrão do processo quando vários métodos de autenticação forem configurados em uma interface, veja Entendendo o controle de acesso nos switches.

Você pode substituir a ordem padrão para a queda dos métodos de autenticação configurando a declaração da ordem de autenticação para especificar que o dispositivo usa a autenticação 802.1X ou a autenticação MAC RADIUS primeiro. O portal cativo deve ser sempre o último da ordem dos métodos de autenticação. Para obter mais informações, veja Configuração da ordem de autenticação flexível.

Nota:

Se uma interface estiver configurada no modo múltiplo suplicante, os dispositivos finais conectados pela interface podem ser autenticados usando diferentes métodos em paralelo. Portanto, se um dispositivo final na interface foi autenticado após a queda de volta ao portal cativo, outros dispositivos finais ainda podem ser autenticados usando autenticação 802.1X ou MAC RADIUS.

external-footer-nav