Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración del servidor RADIUS para la autenticación

Los conmutadores Ethernet de Juniper Networks utilizan 802.1X, MAC RADIUS o autenticación de portal cautivo para proporcionar control de acceso a los dispositivos o usuarios. Cuando se configuran autenticaciones 802.1X, MAC RADIUS o de portal cautivo en el conmutador, un servidor de autenticación (RADIUS) evalúa los dispositivos finales en la conexión inicial. Para utilizar la autenticación 802.1X o MAC RADIUS, debe especificar las conexiones en el conmutador para cada servidor RADIUS al que desee conectarse. Lea este tema para obtener más información.

Especificación de conexiones de servidor RADIUS en conmutadores (procedimiento de CLI)

La autenticación IEEE 802.1X y MAC RADIUS proporcionan seguridad de borde de red, protegiendo las LAN Ethernet del acceso no autorizado de usuarios al bloquear todo el tráfico hacia y desde los dispositivos en la interfaz hasta que las credenciales o la dirección MAC del solicitante se presenten y coincidan en el authentication server (un servidor RADIUS). Cuando se autentica el suplicante, el conmutador deja de bloquear el acceso y abre la interfaz al solicitante.

Para utilizar la autenticación 802.1X o MAC RADIUS, debe especificar las conexiones en el conmutador para cada servidor RADIUS al que se conectará.

Para configurar varios servidores RADIUS, incluya varias radius-server instrucciones. Cuando se configuran varios servidores, se accede a los servidores en orden de configuración, de forma predeterminada. El primer servidor configurado es el servidor principal. Si no se puede acceder al servidor principal, el enrutador intenta comunicarse con el segundo servidor configurado, etc. Puede equilibrar la carga de las solicitudes configurando el método round-robin. Los servidores se prueban en orden y por turnos hasta que se recibe una respuesta válida de uno de los servidores, o hasta que se alcanzan todos los límites de reintento configurados.

Nota:

No se recomienda el método de acceso round-robin con conmutadores de la serie EX.

También puede configurar un nombre de dominio completo (FQDN) que se resuelva en una o varias direcciones IP. Consulte Especificación de conexiones de servidor RADIUS en conmutadores (procedimiento de CLI).

Para configurar un servidor RADIUS en el conmutador:

  1. Configure la dirección IP del servidor RADIUS, el número de puerto de autenticación del servidor RADIUS y la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor.
    Nota:

    Especificar el puerto de autenticación es opcional y el puerto 1812 es el predeterminado. Sin embargo, le recomendamos que lo configure para evitar confusiones, ya que algunos servidores RADIUS pueden hacer referencia a un valor predeterminado anterior.

  2. (Opcional) Especifique la dirección IP mediante la cual el servidor RADIUS identifica el conmutador. Si no especifica la dirección IP, el servidor RADIUS utiliza la dirección de la interfaz que envía la solicitud RADIUS. Le recomendamos que especifique esta dirección IP, ya que si la solicitud se desvía en una ruta alternativa al servidor RADIUS, es posible que la interfaz que transmite la solicitud no sea una interfaz en el conmutador.
  3. Configure el orden de autenticación, haciendo que el primer método de autenticación:radius
  4. (Opcional) Configure el método que utiliza el enrutador para acceder a los servidores de autenticación y cuentas RADIUS cuando se configuran varios servidores:
    • direct: el método predeterminado, en el que no hay equilibrio de carga. El primer servidor configurado es el servidor principal; Se accede a los servidores por orden de configuración. Si no se puede acceder al servidor principal, el enrutador intenta comunicarse con el segundo servidor configurado, etc.

    • round-robin: método que proporciona equilibrio de carga mediante la rotación de solicitudes de enrutador entre la lista de servidores RADIUS configurados. El servidor elegido para el acceso se rota en función del último servidor utilizado. El primer servidor de la lista se trata como principal para la primera solicitud de autenticación, pero para la segunda solicitud, el segundo servidor configurado se trata como principal, y así sucesivamente. Con este método, todos los servidores configurados reciben aproximadamente el mismo número de solicitudes en promedio, de modo que ningún servidor tiene que manejar todas las solicitudes.

      Nota:

      Cuando no se puede acceder a un servidor RADIUS de la lista round-robin, se utiliza el siguiente servidor accesible de la lista round-robin para la solicitud actual. Ese mismo servidor también se usa para la siguiente solicitud porque está en la parte superior de la lista de servidores disponibles. Como resultado, después de un error del servidor, el servidor que se utiliza ocupa la carga de dos servidores.

    • Para configurar el método que utiliza el enrutador para acceder a los servidores de contabilidad RADIUS:

    • Para configurar el método que utiliza el enrutador para acceder a los servidores de autenticación RADIUS:

  5. Cree un perfil y especifique la lista de servidores RADIUS que se asociarán al perfil. Por ejemplo, puede optar por agrupar sus servidores RADIUS geográficamente por ciudad. Esta característica permite una modificación fácil cada vez que desee cambiar a un envío diferente de servidores de autenticación.
  6. Especifique el grupo de servidores que se utilizarán para la autenticación 802.1X o MAC RADIUS identificando el nombre del perfil:
  7. Configure la dirección IP del conmutador en la lista de clientes del servidor RADIUS. Para obtener información acerca de cómo configurar el servidor RADIUS, consulte la documentación del servidor.

Configuración de un servidor RADIUS mediante un FQDN

Puede configurar un nombre de dominio completo (FQDN) que se resuelva en una o varias direcciones IP. Configure un servidor RADIUS mediante un FQDN en el nivel de jerarquía [edit access radius-server-name hostname]. Cuando un FQDN se resuelve en varias direcciones, se accede a los servidores por orden de configuración, de forma predeterminada. La primera dirección resuelta es el servidor principal. Si no se puede acceder al servidor principal, el enrutador intenta comunicarse con el segundo servidor, etc. Puede equilibrar la carga de las solicitudes configurando el método round-robin. Los servidores se prueban en orden y por turnos hasta que se recibe una respuesta válida de uno de los servidores, o hasta que se alcanzan todos los límites de reintento configurados.

  1. Configure el FQDN del servidor RADIUS, el número de puerto de autenticación del servidor RADIUS y la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor.
    Nota:

    Especificar el puerto de autenticación es opcional y el puerto 1812 es el predeterminado. Sin embargo, le recomendamos que lo configure para evitar confusiones, ya que algunos servidores RADIUS pueden hacer referencia a un valor predeterminado anterior.

  2. (Opcional) Configure el intervalo para resolver un FQDN como dirección del servidor. El FQDN se resuelve dinámicamente a intervalos fijos en función del valor configurado.
  3. (Opcional) Especifique la dirección IP mediante la cual el servidor RADIUS identifica el conmutador. Si no especifica la dirección IP, el servidor RADIUS utiliza la dirección de la interfaz que envía la solicitud RADIUS. Le recomendamos que especifique esta dirección IP, ya que si la solicitud se desvía en una ruta alternativa al servidor RADIUS, es posible que la interfaz que transmite la solicitud no sea una interfaz en el conmutador.
  4. Configure el orden de autenticación, haciendo que el primer método de autenticación:radius
  5. (Opcional) Configure el método que utiliza el conmutador para acceder a los servidores de autenticación y cuentas RADIUS cuando se configuran varios servidores:
    • direct: el método predeterminado, en el que no hay equilibrio de carga. El primer servidor configurado es el servidor principal; Se accede a los servidores por orden de configuración. Si no se puede acceder al servidor principal, el enrutador intenta comunicarse con el segundo servidor configurado, etc.

    • round-robin: método que proporciona equilibrio de carga mediante la rotación de solicitudes entre la lista de servidores RADIUS configurados. El servidor elegido para el acceso se rota en función del último servidor utilizado. El primer servidor de la lista se trata como principal para la primera solicitud de autenticación, pero para la segunda solicitud, el segundo servidor configurado se trata como principal, y así sucesivamente. Con este método, todos los servidores configurados reciben aproximadamente el mismo número de solicitudes en promedio, de modo que ningún servidor tiene que manejar todas las solicitudes.

      Nota:

      Cuando no se puede acceder a un servidor RADIUS de la lista round-robin, se utiliza el siguiente servidor accesible de la lista round-robin para la solicitud actual. Ese mismo servidor también se usa para la siguiente solicitud porque está en la parte superior de la lista de servidores disponibles. Como resultado, después de un error del servidor, el servidor que se utiliza ocupa la carga de dos servidores.

    • Para configurar el método que utiliza el conmutador para acceder a los servidores de contabilidad RADIUS:

    • Para configurar el método que utiliza el conmutador para acceder a los servidores de autenticación RADIUS:

  6. Cree un perfil y especifique la lista de servidores RADIUS que se asociarán al perfil. Por ejemplo, puede optar por agrupar sus servidores RADIUS geográficamente por ciudad. Esta característica permite una modificación fácil siempre que desee cambiar a un conjunto diferente de servidores de autenticación.
  7. Especifique el grupo de servidores que se utilizarán para la autenticación 802.1X o MAC RADIUS identificando el nombre del perfil:
  8. Configure la dirección IP del conmutador en la lista de clientes del servidor RADIUS. Para obtener información acerca de cómo configurar el servidor RADIUS, consulte la documentación del servidor.

Descripción de las solicitudes RADIUS round-robin conscientes de la sesión

A partir de Junos OS versión 22.4R1, los servicios de autenticación (authd) reconocen la sesión cuando se configura el algoritmo round-robin para que la solicitud de acceso correspondiente se envíe al mismo servidor RADIUS en respuesta al desafío de acceso del servidor RADIUS, lo que da como resultado una autenticación correcta.

Según el comportamiento existente, al recibir el desafío de acceso y el atributo de estado de uno de los servidores RADIUS, la solicitud de acceso correspondiente se envía al siguiente servidor RADIUS utilizando el algoritmo Round-robin. Dado que el siguiente servidor RADIUS no tiene un registro de esta sesión, rechaza la solicitud de acceso, lo que resulta en un error de autenticación. Con la nueva característica, el algoritmo correspondiente se configura para que la solicitud de acceso respectiva se envíe al mismo servidor RADIUS en respuesta al desafío de acceso del servidor RADIUS, y esto da como resultado una autenticación exitosa. Si el servidor RADIUS no responde con un desafío de acceso, acepta o rechaza la solicitud. Para la siguiente solicitud de autenticación, las solicitudes se envían al siguiente servidor RADIUS según el método Round-robin. Se puede enviar cualquier número de desafíos de acceso desde el servidor RADIUS en respuesta a cada solicitud de acceso y authd responde al mismo servidor RADIUS hasta que el servidor RADIUS acepta o rechaza la solicitud.

Tenga en cuenta que esta característica solo se admite para clientes authd-lite (dot1x etcetera) y no para clientes de banda ancha que utilizan el protocolo punto a punto (PPP), ya que no se admite en clientes de banda ancha. Además, los mensajes de desafío de acceso se intercambian entre el cliente RADIUS y el servidor RADIUS solo en caso de autenticación y no para contabilidad.

Configuración de MS-CHAPv2 para proporcionar compatibilidad con el cambio de contraseña (procedimiento de la CLI)

Junos OS para conmutadores serie EX permite configurar la implementación de Microsoft Corporation del Protocolo de autenticación por desafío mutuo versión 2 (MS-CHAPv2) en el conmutador para proporcionar compatibilidad con el cambio de contraseña. La configuración de MS-CHAPv2 en el conmutador ofrece a los usuarios que acceden a un conmutador la opción de cambiar la contraseña cuando la contraseña caduque, se restablezca o esté configurada para cambiarse en el próximo inicio de sesión.

Consulte RFC 2433, Extensiones CHAP de Microsoft PPP, para obtener información acerca de MS-CHAP.

Antes de configurar MS-CHAPv2 para proporcionar compatibilidad con el cambio de contraseña, asegúrese de que:

Para configurar MS-CHAPv2, especifique lo siguiente:

Debe tener el permiso de acceso necesario en el conmutador para poder cambiar su contraseña.

Configuración de MS-CHAPv2 para la compatibilidad con el cambio de contraseña

Antes de configurar MS-CHAPv2 para la compatibilidad con el cambio de contraseña, asegúrese de que ha hecho lo siguiente:

  • Parámetros de autenticación del servidor RADIUS configurados.

  • Establezca la opción del primer intento en el orden de autenticación en el servidor RADIUS.

Puede configurar la implementación de Microsoft del Protocolo de autenticación por desafío mutuo versión 2 (MS-CHAPv2) en el enrutador o conmutador para admitir el cambio de contraseñas. Esta función ofrece a los usuarios que acceden a un enrutador o conmutador la opción de cambiar la contraseña cuando la contraseña caduque, se restablezca o esté configurada para cambiarse en el próximo inicio de sesión.

Para configurar MS-CHAP-v2, incluya las instrucciones siguientes en el nivel de [edit system radius-options] jerarquía:

En el ejemplo siguiente se muestran instrucciones para configurar el protocolo de contraseña MS-CHAPv2, el orden de autenticación de contraseña y las cuentas de usuario:

Descripción de la reserva y autenticación de errores de servidor en conmutadores

Los conmutadores Ethernet de Juniper Networks utilizan la autenticación para implementar el control de acceso en una red empresarial. Si se configura la autenticación 802.1X, MAC RADIUS o portal cautivo en el conmutador, un servidor de autenticación (RADIUS) evalúa los dispositivos finales en la conexión inicial. Si el dispositivo final está configurado en el servidor de autenticación, se le concede acceso a la LAN y el conmutador de la serie EX abre la interfaz para permitir el acceso.

La reserva por error del servidor le permite especificar cómo se admiten los dispositivos finales conectados al conmutador si el servidor de autenticación RADIUS deja de estar disponible. La reserva de error del servidor se activa con mayor frecuencia durante la reautenticación cuando el servidor RADIUS ya configurado y en uso se vuelve inaccesible. Sin embargo, la reserva de error del servidor también puede desencadenarse por el primer intento de autenticación de un dispositivo final a través del servidor RADIUS.

La reserva de errores del servidor permite especificar una de las cuatro acciones que deben llevarse a cabo para los dispositivos finales en espera de autenticación cuando se agota el tiempo de espera del servidor. El conmutador puede aceptar o denegar el acceso a los suplicantes o mantener el acceso ya concedido a los suplicantes antes de que se agotara el tiempo de espera de RADIUS. También puede configurar el conmutador para mover los suplicantes a una VLAN específica. La VLAN ya debe estar configurada en el conmutador. El nombre de VLAN configurado anula cualquier atributo enviado por el servidor.

  • Permit autenticación, que permite que el tráfico fluya desde el dispositivo final a través de la interfaz como si el servidor RADIUS autenticara correctamente el dispositivo final.

  • Deny autenticación, que impide que el tráfico fluya desde el dispositivo final a través de la interfaz. Este es el valor predeterminado.

  • Move el dispositivo final a una VLAN especificada si el conmutador recibe un mensaje de rechazo de acceso RADIUS. El nombre de VLAN configurado anula cualquier atributo enviado por el servidor. (La VLAN ya debe existir en el conmutador).

  • Sustain dispositivos finales autenticados que ya tienen acceso LAN y deny dispositivos finales no autenticados. Si se agota el tiempo de espera de los servidores RADIUS durante la reautenticación, los dispositivos finales previamente autenticados se vuelven a autenticar y a los nuevos usuarios se les deniega el acceso a la LAN.

Configuración de la reserva de error del servidor RADIUS (procedimiento de la CLI)

Puede configurar las opciones de reserva de autenticación para especificar cómo se admiten los dispositivos finales conectados a un conmutador si el servidor de autenticación RADIUS deja de estar disponible.

Cuando configure la autenticación 802.1X o MAC RADIUS en el conmutador, especifique un servidor de autenticación principal y uno o más servidores de autenticación de reserva. Si el conmutador no puede alcanzar el servidor de autenticación principal y tampoco se puede acceder a los servidores de autenticación secundarios, se produce un tiempo de espera del servidor RADIUS. Si esto sucede, dado que es el servidor de autenticación el que concede o deniega el acceso a los dispositivos finales en espera de autenticación, el conmutador no recibe instrucciones de acceso para los dispositivos finales que intentan acceder a la LAN y no se puede completar la autenticación normal.

Puede configurar la función de reserva de error del servidor para especificar una acción que el conmutador aplique a los dispositivos finales cuando los servidores de autenticación no estén disponibles. El conmutador puede aceptar o denegar el acceso a los suplicantes o mantener el acceso ya concedido a los suplicantes antes de que se agotara el tiempo de espera de RADIUS. También puede configurar el conmutador para mover los suplicantes a una VLAN específica.

También puede configurar la característica de reserva de rechazo del servidor para los dispositivos finales que reciben un mensaje de rechazo de acceso RADIUS del servidor de autenticación. La función de reserva de rechazo de servidor proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales con capacidad de respuesta habilitados para 802.1X pero que enviaron credenciales incorrectas.

La reserva de errores del servidor se admite para el tráfico de voz a partir de la versión 14.1X53-D40 y la versión 15.1R4. Para configurar acciones de reserva de error del servidor para clientes VoIP que envían tráfico de voz, use la server-fail-voip instrucción. Para todo el tráfico de datos, utilice la server-fail instrucción. El modificador determina el método de reserva que se va a usar en función del tipo de tráfico enviado por el cliente. Las tramas de datos sin etiquetar están sujetas a la acción configurada con server-fail, incluso si son enviadas por un cliente VoIP. Las tramas VLAN VoIP etiquetadas están sujetas a la acción configurada con server-fail-voip. Si server-fail-voip no está configurado, se interrumpe el tráfico de voz.

Nota:

La reserva de rechazo del servidor no es compatible con el tráfico etiquetado de VoIP VLAN. Si un cliente VoIP inicia la autenticación enviando tráfico de datos sin etiquetar a una VLAN mientras la reserva de rechazo del servidor está vigente, el cliente VoIP puede acceder a la VLAN de reserva. Si el mismo cliente envía posteriormente tráfico de voz etiquetado, el tráfico de voz se descarta.

Si un cliente VoIP inicia la autenticación enviando tráfico de voz etiquetado mientras la reserva de rechazo del servidor está vigente, se le deniega el acceso a la VLAN de reserva.

Puede usar el siguiente procedimiento para configurar acciones de error del servidor para clientes de datos. Para configurar la reserva de errores del servidor para los clientes VoIP que envían tráfico de voz, utilice la server-fail-voip instrucción en lugar de la server-fail instrucción.

Para configurar acciones de reserva de error del servidor:

  • Configure una interfaz para permitir que el tráfico fluya desde un suplicante a la LAN si se agota el tiempo de espera del servidor RADIUS (como si un servidor RADIUS hubiera autenticado correctamente el dispositivo final):
  • Configure una interfaz para evitar el flujo de tráfico desde un dispositivo final a la LAN (como si el dispositivo final hubiera fallado en la autenticación y el servidor RADIUS le hubiera denegado el acceso):
  • Configure una interfaz para mover un dispositivo final a una VLAN especificada si se agota el tiempo de espera del servidor RADIUS:
  • Configure una interfaz para que reconozca los dispositivos finales ya conectados como reautenticados si se agota el tiempo de espera de RADIUS durante la reautenticación (a los nuevos dispositivos finales se les deniega el acceso):

Puede configurar una interfaz que reciba un mensaje de rechazo de acceso RADIUS del servidor de autenticación para mover los dispositivos finales que intentan acceder a LAN en la interfaz a una VLAN de rechazo de servidor, una VLAN especificada ya configurada en el conmutador.

Para configurar una VLAN de reserva de rechazo de servidor:

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
14.1X53-D40
La reserva de errores del servidor se admite para el tráfico de voz a partir de la versión 14.1X53-D40 y la versión 15.1R4.