接口策略
802.1X 服务器端口身份验证
IEEE 802.1X 是基于网络端口的网络接入控制的 IEEE 标准。它是 IEEE 802.1 网络协议组的一部分。它为希望连接到 LAN 的设备提供身份验证机制。
IEEE 802.1X 定义 IEEE 802 上的可扩展身份验证协议 (EAP) 的封装,即“基于 LAN 的 EAP”或 EAPOL。
802.1X 身份验证涉及三方:请求方、验证方和身份验证服务器。 请求方 是希望连接到 LAN 的客户端设备(如服务器)。“请求方”一词也可互换用于指在客户端上运行的向验证方提供凭据的软件。 验证方 是在客户端和网络之间提供数据链路并允许或阻止两者之间的网络流量的网络设备,例如以太网交换机或无线接入点; 身份验证服务器 通常是可信服务器,可以接收和响应网络访问请求,并可以告诉验证方是否允许连接,以及应应用于该客户端连接或设置的各种设置。身份验证服务器通常运行支持 RADIUS 和 EAP 协议的软件。在某些情况下,身份验证服务器软件可能在验证方硬件上运行。
验证方充当受保护网络的保安。在验证和授权请求方的身份之前,不允许请求方(即客户端设备)通过验证方访问网络的受保护端。使用基于 802.1X 端口的身份验证,请求方必须首先向验证方提供必需的凭据 - 这些凭据将由网络管理员提前指定,并可能包括用户名/密码或允许的数字证书。验证方将这些凭据转发到身份验证服务器,以决定是否授予访问权限。如果身份验证服务器确定凭据有效,它将通知验证方,进而允许请求方(客户端设备)访问位于网络受保护端的资源。
对 802.1X 的扩展还允许身份验证服务器将端口配置选项传递给验证方。例如,使用 RADIUS 值对属性来传递 VLAN ID,从而允许请求方访问多个 VLAN 之一。
(资料来源:Wikipedia,由 Apstra 修订)
您可以通过 802.1X 服务器端口身份验证(一组接口策略设置)管理网络设备上的 802.1X 配置。
802.1X 接口策略仅在 Junos(作为技术预览版)和 Arista EOS 物理网络设备上受支持。Juniper Evolved 目前不支持此功能。
Junos 上的 802.1X 接口策略被归类为 Juniper Apstra 技术预览功能。这些功能是“按样”和自愿使用的。瞻博网络支持部门将尝试解决客户在使用这些功能时遇到的任何问题,并代表支持案例创建错误报告。但是,瞻博网络可能无法为技术预览功能提供全面的支持服务。
有关更多信息,请参阅 Juniper Apstra Technology Previews 页面或联系 Juniper Support。
此策略设置使网络能够在获得网络访问权限之前,要求蓝图中的 L2 服务器向 RADIUS 服务器进行身份验证。
网络运营商可能会要求客户端使用 EAP-TLS、证书、简单用户名和密码或 MAC 身份验证旁路进行身份验证。
对加密协议、证书、EAP 的支持在 RADIUS 请求方和 RADIUS 服务器之间协商,不受交换机控制。
身份验证发生后,RADIUS 服务器可以选择在身份验证时设置 VLAN ID 属性,以便将请求方移动到定义的 VLAN 中,该 VLAN 由叶专用 VLAN ID 所知。
本节介绍创建接口策略以用于 802.1X 服务器端口身份验证和动态 VLAN 分配的必要任务。
常见场景
以下是 802.1X 端口身份验证的一些常见方案。
- 设备支持 802.1X,凭据和 VLAN 均在 Radius 中配置
- 设备支持 802.1X,但凭据未在 Radius 中配置
- 设备不支持 802.1X,但设备 MAC 地址在 Radius 中配置
- 设备不支持 802.1X,且设备 MAC 地址未在 Radius 中配置
设备支持 802.1X,凭据和 VLAN 均在 Radius 中配置
- 设备(请求方)连接到端口
- 交换机(验证方)调解请求方和 Radius(身份验证服务器)之间的 EAP 协商
- 身份验证后,Radius 会向交换机发送一条 Access-Accept 消息,其中包含设备的 VLAN 编号
- 交换机将设备端口添加到指定的 VLAN
设备支持 802.1X,但凭据未在 Radius 中配置
- 设备(请求方)连接到端口
- 交换机(验证方)调解请求方和 Radius(身份验证服务器)之间的 EAP 协商
- 未发现请求方证书,Radius 会向交换机发送访问拒绝消息
- 交换机将设备端口添加到指定的回退(又称 AuthFail/停车)VLAN
设备不支持 802.1X,但设备 MAC 地址在 Radius 中配置
- 设备(非请求方)连接到端口
- 交换机(验证方)不会收到有关其 EAP-Request 身份消息的答复,表示不支持 802.1X
- 交换机向 Radius 验证设备的 MAC 地址(认证服务器)
- Radius 向交换机发送 Access-Accept 消息,其中包含设备的 VLAN 编号
- 交换机将设备端口添加到指定的 VLAN
设备不支持 802.1X,且设备 MAC 地址未在 Radius 中配置
- 设备(非请求方)连接到端口
- 交换机(验证方)不会收到有关其 EAP-Request 身份消息的答复,表示不支持 802.1X
- 交换机向 Radius 验证设备的 MAC 地址(认证服务器)
- Radius 未找到 MAC 地址的记录
- Radius 在没有 VLAN 的情况下向交换机发送访问拒绝或 Access-Accept 消息
- 交换机将设备端口添加到指定的回退(又称 AuthFail/停车)VLAN
802.1X 接口策略工作流程
- 创建虚拟网络(例如数据 VLAN、回退 VLAN、动态 VLAN)
- 创建 AAA 服务器
- 创建 802.1X 接口策略
- 分配端口和回退 VLAN
为接口创建虚拟网络
根据下表,为接口策略创建虚拟网络。我们建议在所有叶设备中创建具有一致 VLAN ID 的虚拟网络(而不是使用资源池)。有关创建 VLAN 的更多信息,请参阅 虚拟网络。
参数 | 说明 |
---|---|
数据 VLAN(分配给端口) | 如果为端口分配了至少一个 VLAN,则接口将具有 802.1X 配置。如果未分配端口任何 VLAN,则接口上不会呈现 802.1X 配置。接口将配置为路由端口。 |
动态 VLAN(可选,分配给叶设备,而非端口) | 当用户(请求方)经过身份验证和授权时,RADIUS 服务器本身可以选择动态选择 VLAN ID。Apstra 软件无法控制动态 VLAN 分配。此决策由 RADIUS 配置做出,而不是交换机配置。 |
回退 VLAN(可选,分配给叶设备,而非端口) | 如果身份验证失败,可以将回退 VLAN 分配给用户(请求方)。对于回退,VLAN 由交换机配置控制。 交换机上必须存在 RADIUS 动态 VLAN 或回退 VLAN,但无需将任何端点绑定到该 VLAN。它只需要存在于交换机上。 |
为接口策略创建 AAA 服务器
创建 AAA 服务器。有关更多信息,请参阅 AAA 服务器(蓝图)。
创建 802.1x 接口策略
必须先创建策略,然后才能为其分配接口或回退 VLAN。
- 从蓝图中,导航至 “分阶段>策略>接口策略 ”,然后单击“ 创建接口策略”。
- 输入名称并从下拉列表中选择 802.1x 。
- 选择 端口控制。
- dot1x 已启用 - 需要端口对 EAPOL 进行验证,然后才能获得对网络的访问权限。
- 拒绝访问 - 完全阻止端口;不允许任何网络访问。不需要其他参数。示例:作为隔离配置,用于快速停用可能受到感染的端口。
- 选择 主机模式。
- 多主机** (默认)- 首次成功授权后,允许端口上的所有 MAC 地址进行身份验证。第一台主机取消授权后,将取消身份验证端口上的所有 MAC。
- 单主机 - 允许单个主机进行身份验证;不允许使用所有其他 MAC。
- 如果要在 Arista EOS 上启用 MAC Auth 旁路 ,请选中 “已启用?” 复选框。如果端口未在身份验证超时期限内进行身份验证,则启用 MAC 身份验证旁路允许交换机将 MAC 地址发送至 RADIUS 服务器。仅在客户端不响应 RADIUS 请求或客户端身份验证失败时,才会发送 MAC 身份验证旁路 (MAB) 请求。
注意:
MAC 身份验证旁路必须与 802.1X 端口控制一起配置。
谨慎:交换机供应商和主要交换机型号之间的 MAC 身份验证旁路故障行为可能不同。
- 输入 重新身份验证超时 (可选)以配置时间段(秒)。重新身份验证超时会使交换机在超时到期后请求任何客户端对网络重新进行身份验证。这还会重新触发 MAC 身份验证旁路。
如果未配置重新身份验证超时,则交换机上不会呈现任何相关配置。这意味着无论操作系统供应商默认是什么,交换机端口都将是。如果配置了值,端口上将启用 802.1X 重新身份验证,并配置一个时间值。
- 单击 Create 创建接口策略并返回表视图。
将端口和回退 VLAN 分配给接口策略
这些步骤会将接口或动态 VLAN 添加到接口策略。
- 从蓝图中,导航至“ 分阶段>策略>接口策略” ,然后向下滚动到“分配给”部分。
- 分配端口和接口:单击叶名称展开接口,然后单击要分配的端口和接口。请注意,您无法分配分配给冲突策略的端口。
- 分配回退 VN:分配回退虚拟网络特定于叶。想要在多个叶设备上重复使用回退,必须将其分配给每个叶设备。分配给叶设备的任何 VN 均可用作回退虚拟网络,没有限制。
- 配置策略后,设置现在可见,包括这些设置应用于的接口。
注意:
AAA、Dot1x 和 Dot1x 接口配置现在已推送到叶设备。以下是为 Arista EOS 交换机呈现的示例配置的一部分。
leaf1#sh running-config section dot1x logging level DOT1X errors ! aaa group server radius AOS_RADIUS_DOT1X server 172.20.191.5 vrf management ! aaa authentication dot1x default group AOS_RADIUS_DOT1X aaa accounting dot1x default start-stop group AOS_RADIUS_DOT1X logging ! interface Ethernet5 switchport trunk allowed vlan 99 switchport mode trunk switchport ipv6 enable ipv6 address auto-config ipv6 nd ra rx accept default-route dot1x pae authenticator dot1x reauthentication dot1x port-control auto dot1x timeout reauth-period 30 ! ..snip.. ! dot1x system-auth-control dot1x dynamic-authorization