Ejemplo: Configuración del 802.1X en salas de conferencias para proporcionar acceso a Internet a los visitantes corporativos en un conmutador de la serie EX
802.1X en conmutadores de la serie EX proporciona acceso LAN a los usuarios que no tienen credenciales en la base de datos RADIUS. Estos usuarios, denominados invitados, se autentican y, por lo general, se les proporciona acceso a Internet.
En este ejemplo se describe cómo crear una VLAN invitada y configurar la autenticación 802.1X para ella.
Requisitos
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Junos OS versión 9.0 o posterior para conmutadores serie EX
Un conmutador de la serie EX que actúa como entidad de acceso a puertos (PAE). Las interfaces en el PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de configurar la autenticación VLAN de invitado, asegúrese de tener:
Se realizó la configuración inicial del conmutador. Consulte Conexión y configuración de un conmutador de la serie EX (procedimiento de la CLI).
Se realizó una configuración básica de puentes y VLAN en el conmutador. Consulte la documentación que describe la configuración de puentes básicos y una VLAN para el conmutador. Si utiliza un conmutador que admite el estilo de configuración Enhanced Layer 2 Software (ELS), consulte Ejemplo: Configuración de un puente básico y una VLAN para un conmutador de la serie EX compatible con ELS o ejemplo: Configuración de puentes básicos y una VLAN en conmutadores. Para todos los demás conmutadores, consulte Ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Nota:Para obtener más información sobre ELS, consulte: Uso de la CLI del software mejorado de capa 2
Descripción general y topología
Como parte del control de acceso a la red basado en puerto (PNAC) IEEE 802.1X, puede proporcionar acceso de red limitado a los suplicantes que no pertenecen a un grupo de autenticación VLAN configurando la autenticación para una VLAN invitada. Normalmente, el acceso VLAN de invitado se utiliza para proporcionar acceso a Internet a los visitantes de un sitio corporativo. Sin embargo, también puede utilizar la función VLAN invitada para proporcionar acceso a una VLAN con recursos limitados a los suplicantes que no superen la autenticación 802.1X en una LAN corporativa.
Esta cifra también se aplica a QFX5100 conmutadores.
Topología
Figura 1 Muestra la sala de conferencias conectada al conmutador en la interfaz GE-0/0/1.
| Propiedad | Configuraciones |
|---|---|
Hardware del conmutador |
Conmutador EX4200, interfaces de 24 Gigabit Ethernet: 8 interfaces PoE (ge-0/0/0 a ge-0/0/7) y 16 interfaces no PoE (ge-0/0/8 a )ge-0/0/23 |
Nombres VLAN e ID de etiqueta |
salesetiqueta 100supportetiqueta 200 guest-vlanetiqueta 300 |
Un servidor RADIUS |
Base de datos backend conectada al conmutador a través de la interfaz ge-0/0/10 |
En este ejemplo, la interfaz ge-0/0/1 de acceso proporciona conectividad LAN en la sala de conferencias. Configure esta interfaz de acceso para proporcionar conectividad LAN a los visitantes de la sala de conferencias que no estén autenticados por la VLAN corporativa.
Configuración de una VLAN invitada que incluye autenticación 802.1X
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente una VLAN invitada, con autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
Procedimiento paso a paso
Para configurar una VLAN de invitado que incluya autenticación 802.1X en un conmutador de la serie EX:
Configure el ID de VLAN para la VLAN invitada:
[edit] user@switch# set vlans guest-vlan vlan-id 300
Configure la VLAN invitada en dot1x protocolo:
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-vlan {
guest-vlan;
}
}
}
}
}
}
vlans {
guest-vlan {
vlan-id 300;
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Verificar que la VLAN de invitado esté configurada
Propósito
Compruebe que se haya creado la VLAN invitada y que se haya producido un error en la autenticación de la interfaz y se haya movido a la VLAN invitada.
En los conmutadores que ejecutan Junos OS para la serie EX compatibles con ELS, el resultado del show vlans comando contendrá información adicional. Si el conmutador ejecuta software compatible con ELS, consulte mostrar vlans. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Acción
Emita los comandos del modo operativo:
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/3.0*
dynamic 40
None
guest 30
None
guest—vlan 300
ge-0/0/1.0*
vlan_dyn
None
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Guest VLAN
Authenticated VLAN: guest-vlan
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El resultado del show vlans comando se muestra guest-vlan como el nombre de la VLAN y el ID de VLAN como 300.
El resultado del show dot1x interface ge-0/0/1.0 detail comando muestra el campo, lo que indica que un suplicante en esta interfaz falló la Guest VLAN membership autenticación 802.1X y se pasó a través del guest-vlan.