- play_arrow Clases de inicio de sesión y configuración de inicio de sesión
- play_arrow Cuentas de usuario
- play_arrow Contraseñas para el acceso de usuarios
- play_arrow Módulo de plataforma segura
- play_arrow Autenticación de usuario
- play_arrow Administración de acceso remoto
- Información general sobre el acceso remoto
- Módems USB para la gestión remota de dispositivos de seguridad
- Acceso web seguro para administración remota
- Ejemplo: Control de acceso de administración en dispositivos de red de Juniper
- Directrices de configuración para proteger el acceso al puerto de la consola
- Configuración del tipo de puerto de la consola (procedimiento de la CLI)
- play_arrow control de acceso
- Métodos de autenticación de control de acceso
- Prevención del acceso no autorizado a los conmutadores de la serie EX mediante el modo desatendido para el arranque en universal
- Prevención del acceso no autorizado a los conmutadores de la serie EX mediante el modo desatendido para el arranque en universal
- Configuración del servidor RADIUS para la autenticación
- RADIO sobre TLS (RADSEC)
- Autenticación 802.1X
- Autenticación MAC RADIUS
- Contabilidad 802.1X y RADIUS
- Ejemplo: Configuración de 802.1X para configuraciones de un solo suplicante o de varios suplicantes en un conmutador de la serie EX
- Ejemplo: Configuración del 802.1X en salas de conferencias para proporcionar acceso a Internet a los visitantes corporativos en un conmutador de la serie EX
- Interfaces habilitadas para la autenticación 802.1X o MAC RADIUS
- Derivación MAC estática de 802.1X y autenticación MAC RADIUS
- Configuración de PEAP para la autenticación MAC RADIUS
- Autenticación de portal cautivo
- Orden de autenticación flexible en conmutadores de la serie EX
- Falla del servidor Respaldo y autenticación
- Tiempo de espera de la sesión de autenticación
- Autenticación web central
- Asignación de VLAN dinámica para puertos incoloros
- VoIP en conmutadores de la serie EX
- play_arrow Configuración del control de acceso a la red basado en puertos IEEE 802.1x
- play_arrow Detección de dispositivos
- play_arrow Seguridad del nombre de dominio
- Descripción general de DNSSEC
- Configuración del valor TTL para el almacenamiento en caché del servidor DNS
- Ejemplo: Configuración de DNSSEC
- Ejemplo: Configuración de dominios seguros y claves de confianza para DNSSEC
- Ejemplo: Configuración de claves para DNSSEC
- Descripción general del proxy DNS
- Configuración del dispositivo como proxy DNS
- play_arrow Indicadores de permisos
- acceso
- control de acceso
- Admin
- admin-control
- todo
- claro
- configurar
- control
- campo
- cortafuegos
- control de firewall
- disquete
- flujo-grifo
- flujo-grifo-control
- flujo-grifo-operación
- Operación del generador de perfiles de desplazados internos
- interfaz
- control de interfaz
- mantenimiento
- red
- pgcp-session-mirroring
- pgcp-session-mirroring-control
- restablecimiento
- revertir
- enrutamiento
- control de enrutamiento
- secreto
- control secreto
- Seguridad
- control de seguridad
- cáscara
- Snmp
- control SNMP
- sistema
- control del sistema
- rastreo
- control de trazas
- ver
- configuración de vista
- play_arrow Instrucciones de configuración y comandos operativos
Ejemplo: Configuración del 802.1X en salas de conferencias para proporcionar acceso a Internet a los visitantes corporativos en un enrutador de la serie MX
A partir de Junos OS versión 14.2, 802.1X en enrutadores serie MX proporciona acceso LAN a los usuarios que no tienen credenciales en la base de datos RADIUS. Estos usuarios, denominados invitados, se autentican y, por lo general, se les proporciona acceso a Internet.
En este ejemplo se describe cómo crear una VLAN invitada y configurar la autenticación 802.1X para ella.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 14.2 o posterior para enrutadores MX240, MX480 o MX960 que se ejecutan en modo LAN mejorado.
Un enrutador que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de conectar el servidor al enrutador, asegúrese de que dispone de:
Se configuró el modo LAN mejorado en el enrutador.
Se realizó la configuración básica de puentes y VLAN en el enrutador.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
El enrutador de la serie MX actúa como una entidad de acceso de puerto (PAE) autenticadora. Bloquea todo el tráfico y actúa como una puerta de control hasta que el suplicante (cliente) es autenticado por el servidor. A todos los demás usuarios y dispositivos se les niega el acceso.
Considere un enrutador de la serie MX que funciona como un puerto de autenticación. Se conecta mediante la interfaz, ge-0/0/10, a través de la red IP a un servidor RADIUS. El enrutador también está vinculado a una sala de conferencias que utiliza la interfaz, ge-0/0/1, a una impresora que utiliza la interfaz, ge-0/0/20, a un concentrador que utiliza la interfaz, ge-0/0/8, y a dos suplicantes o clientes a través de interfaces, ge-0/0/2 y ge-0/0/9 respectivamente.
Propiedad | Configuraciones |
---|---|
Hardware del enrutador | Enrutador serie MX |
Nombre de VLAN | default |
Un servidor RADIUS | Base de datos backend con una dirección de 10.0.0.100 conectado al conmutador en el puerto ge-0/0/10 |
En este ejemplo, la interfaz ge-0/0/1 de acceso proporciona conectividad LAN en la sala de conferencias. Configure esta interfaz de acceso para proporcionar conectividad LAN a los visitantes de la sala de conferencias que no estén autenticados por la VLAN corporativa.
Configuración de una VLAN invitada que incluye autenticación 802.1X
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente una VLAN invitada, con autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans bridge-domain-name vlan-id 300 set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Procedimiento paso a paso
Para configurar una VLAN de invitado que incluya autenticación 802.1X en enrutadores de la serie MX:
Configure el ID de VLAN para la VLAN invitada:
content_copy zoom_out_map[edit] user@switch# set bridge-domains bridge-domain-name vlan-id 300
Configure la VLAN invitada en los protocolos dot1x:
content_copy zoom_out_map[edit] user@switch# set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration protocols { dot1x { authenticator { interface { all { guest-bridge-domain { bridge-domain-name; } } } } } } } bridge-domains { bridge-domain-name { vlan-id 300; } }
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de que la VLAN de invitado está configurada
Propósito
Compruebe que se haya creado la VLAN invitada y que se haya producido un error en la autenticación de la interfaz y se haya movido a la VLAN invitada.
Acción
Utilice los comandos del modo operativo:
user@switch> show bridge-domain Instance Bridging Domain Type Primary Table Active vs1 dynamic bridge bridge.0 2 vs1 guest bridge bridge.0 0 vs1 guest-vlan bridge bridge.0 0 vs1 vlan_dyn bridge bridge.0 0 user@switch> show dot1x interface ge-0/0/1.0 detail ge-0/0/1.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: guest-vlan Number of connected supplicants: 1 Supplicant: user1, 00:00:00:00:13:23 Operational state: Authenticated Authentication method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds
Significado
El resultado del show bridge domain
comando muestra bridge-domain-name como el nombre de la VLAN y el ID de VLAN como 300.
El resultado del show dot1x interface ge-0/0/1.0 detail
comando muestra el nombre de dominio del puente, lo que indica que un suplicante en esta interfaz falló la autenticación 802.1X y se pasó al nombre de dominio del puente.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.