Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración del 802.1X en salas de conferencias para proporcionar acceso a Internet a los visitantes corporativos en un conmutador de la serie EX

802.1X en conmutadores de la serie EX proporciona acceso LAN a los usuarios que no tienen credenciales en la base de datos RADIUS. Estos usuarios, denominados invitados, se autentican y, por lo general, se les proporciona acceso a Internet.

En este ejemplo se describe cómo crear una VLAN invitada y configurar la autenticación 802.1X para ella.

Requisitos

En este ejemplo se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a los conmutadores QFX5100.

  • Junos OS versión 9.0 o posterior para conmutadores serie EX

  • Un conmutador de la serie EX que actúa como entidad de acceso a puertos (PAE). Las interfaces en el PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.

  • Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de configurar la autenticación VLAN de invitado, asegúrese de tener:

Descripción general y topología

Como parte del control de acceso a la red basado en puerto (PNAC) IEEE 802.1X, puede proporcionar acceso de red limitado a los suplicantes que no pertenecen a un grupo de autenticación VLAN configurando la autenticación para una VLAN invitada. Normalmente, el acceso VLAN de invitado se utiliza para proporcionar acceso a Internet a los visitantes de un sitio corporativo. Sin embargo, también puede utilizar la función VLAN invitada para proporcionar acceso a una VLAN con recursos limitados a los suplicantes que no superen la autenticación 802.1X en una LAN corporativa.

Nota:

Esta cifra también se aplica a QFX5100 conmutadores.

Topología

Figura 1 Muestra la sala de conferencias conectada al conmutador en la interfaz GE-0/0/1.

Figura 1: Ejemplo de topología para VLAN invitadaEjemplo de topología para VLAN invitada
Tabla 1: Componentes de la topología de VLAN invitada
Propiedad Configuraciones

Hardware del conmutador

Conmutador EX4200, interfaces de 24 Gigabit Ethernet: 8 interfaces PoE (ge-0/0/0 a ge-0/0/7) y 16 interfaces no PoE (ge-0/0/8 a )ge-0/0/23

Nombres VLAN e ID de etiqueta

salesetiqueta 100supportetiqueta 200

guest-vlanetiqueta 300

Un servidor RADIUS

Base de datos backend conectada al conmutador a través de la interfaz ge-0/0/10

En este ejemplo, la interfaz ge-0/0/1 de acceso proporciona conectividad LAN en la sala de conferencias. Configure esta interfaz de acceso para proporcionar conectividad LAN a los visitantes de la sala de conferencias que no estén autenticados por la VLAN corporativa.

Configuración de una VLAN invitada que incluye autenticación 802.1X

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente una VLAN invitada, con autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar una VLAN de invitado que incluya autenticación 802.1X en un conmutador de la serie EX:

  1. Configure el ID de VLAN para la VLAN invitada:

  2. Configure la VLAN invitada en dot1x protocolo:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar que la VLAN de invitado esté configurada

Propósito

Compruebe que se haya creado la VLAN invitada y que se haya producido un error en la autenticación de la interfaz y se haya movido a la VLAN invitada.

Nota:

En los conmutadores que ejecutan Junos OS para la serie EX compatibles con ELS, el resultado del show vlans comando contendrá información adicional. Si el conmutador ejecuta software compatible con ELS, consulte mostrar vlans. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Acción

Emita los comandos del modo operativo:

Significado

El resultado del show vlans comando se muestra guest-vlan como el nombre de la VLAN y el ID de VLAN como 300.

El resultado del show dot1x interface ge-0/0/1.0 detail comando muestra el campo, lo que indica que un suplicante en esta interfaz falló la Guest VLAN membership autenticación 802.1X y se pasó a través del guest-vlan.