Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

close
keyboard_arrow_left
list Table of Contents

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Ejemplo: Configuración del 802.1X en salas de conferencias para proporcionar acceso a Internet a los visitantes corporativos en un enrutador de la serie MX

date_range 18-Jan-25

A partir de Junos OS versión 14.2, 802.1X en enrutadores serie MX proporciona acceso LAN a los usuarios que no tienen credenciales en la base de datos RADIUS. Estos usuarios, denominados invitados, se autentican y, por lo general, se les proporciona acceso a Internet.

En este ejemplo se describe cómo crear una VLAN invitada y configurar la autenticación 802.1X para ella.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 14.2 o posterior para enrutadores MX240, MX480 o MX960 que se ejecutan en modo LAN mejorado.

  • Un enrutador que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.

  • Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de conectar el servidor al enrutador, asegúrese de que dispone de:

  • Se configuró el modo LAN mejorado en el enrutador.

  • Se realizó la configuración básica de puentes y VLAN en el enrutador.

  • Usuarios configurados en el servidor de autenticación RADIUS.

Descripción general y topología

El enrutador de la serie MX actúa como una entidad de acceso de puerto (PAE) autenticadora. Bloquea todo el tráfico y actúa como una puerta de control hasta que el suplicante (cliente) es autenticado por el servidor. A todos los demás usuarios y dispositivos se les niega el acceso.

Considere un enrutador de la serie MX que funciona como un puerto de autenticación. Se conecta mediante la interfaz, ge-0/0/10, a través de la red IP a un servidor RADIUS. El enrutador también está vinculado a una sala de conferencias que utiliza la interfaz, ge-0/0/1, a una impresora que utiliza la interfaz, ge-0/0/20, a un concentrador que utiliza la interfaz, ge-0/0/8, y a dos suplicantes o clientes a través de interfaces, ge-0/0/2 y ge-0/0/9 respectivamente.

Tabla 1: Componentes de la topología
Propiedad Configuraciones

Hardware del enrutador

Enrutador serie MX

Nombre de VLAN

default

Un servidor RADIUS

Base de datos backend con una dirección de 10.0.0.100 conectado al conmutador en el puerto ge-0/0/10

En este ejemplo, la interfaz ge-0/0/1 de acceso proporciona conectividad LAN en la sala de conferencias. Configure esta interfaz de acceso para proporcionar conectividad LAN a los visitantes de la sala de conferencias que no estén autenticados por la VLAN corporativa.

Configuración de una VLAN invitada que incluye autenticación 802.1X

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente una VLAN invitada, con autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

content_copy zoom_out_map
[edit]
set vlans bridge-domain-name vlan-id 300  
 set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name

Procedimiento paso a paso

Para configurar una VLAN de invitado que incluya autenticación 802.1X en enrutadores de la serie MX:

  1. Configure el ID de VLAN para la VLAN invitada:

    content_copy zoom_out_map
    [edit]
    user@switch# set bridge-domains bridge-domain-name vlan-id 300                         
  2. Configure la VLAN invitada en los protocolos dot1x:

    content_copy zoom_out_map
    [edit]
    user@switch# set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name 

Resultados

Compruebe los resultados de la configuración:

content_copy zoom_out_map
user@switch> show configuration                     
protocols {
    dot1x {
        authenticator {
        interface {
            all {
                    guest-bridge-domain {
                        bridge-domain-name;
                    }
                }
            }
        }
        }
    }
}
bridge-domains {
    bridge-domain-name {
        vlan-id 300;
    }
}

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Comprobación de que la VLAN de invitado está configurada

Propósito

Compruebe que se haya creado la VLAN invitada y que se haya producido un error en la autenticación de la interfaz y se haya movido a la VLAN invitada.

Acción

Utilice los comandos del modo operativo:

content_copy zoom_out_map
user@switch> show bridge-domain 

Instance                   Bridging Domain          Type
            Primary Table                                           Active
vs1                        dynamic                   bridge         
            bridge.0                                                2       
vs1                        guest                     bridge         
            bridge.0                                                0    
vs1                        guest-vlan                bridge         
            bridge.0                                                0    
vs1                        vlan_dyn                  bridge         
            bridge.0                                                0       


user@switch> show dot1x interface ge-0/0/1.0 detail 
ge-0/0/1.0
  Role: Authenticator
  Administrative state: Auto
  Supplicant mode: Single
  Number of retries: 3
  Quiet period: 60 seconds
  Transmit period: 30 seconds
  Mac Radius: Enabled
  Mac Radius Restrict: Disabled
  Reauthentication: Enabled
  Configured Reauthentication interval: 3600 seconds
  Supplicant timeout: 30 seconds
  Server timeout: 30 seconds
  Maximum EAPOL requests: 2
  Guest VLAN member: guest-vlan
  Number of connected supplicants: 1
    Supplicant: user1, 00:00:00:00:13:23
      Operational state: Authenticated
      Authentication method: Radius
      Authenticated VLAN: vo11
      Dynamic Filter: match source-dot1q-tag 10 action deny
      Session Reauth interval: 60 seconds
      Reauthentication due in 50 seconds

Significado

El resultado del show bridge domain comando muestra bridge-domain-name como el nombre de la VLAN y el ID de VLAN como 300.

El resultado del show dot1x interface ge-0/0/1.0 detail comando muestra el nombre de dominio del puente, lo que indica que un suplicante en esta interfaz falló la autenticación 802.1X y se pasó al nombre de dominio del puente.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
14.2
A partir de Junos OS versión 14.2, 802.1X en enrutadores serie MX proporciona acceso LAN a los usuarios que no tienen credenciales en la base de datos RADIUS.
external-footer-nav