身份验证和访问控制

802.1X 使用 EVPN-VXLAN（EX4650、QFX5120）进行身份验证 — 从 Junos OS 22.4R1 版开始 用作接入交换机的 EX4650、QFX5120-32C、QFX5120-48T、QFX5120-48Y 和 QFX5120-48YM 交换机可以使用 802.1X 身份验证来保护 EVPN-VXLAN 网络免受未经授权的终端设备。

这些交换机在接入端口和中继端口上支持以下 802.1X 身份验证功能：

• 接入端口：单一、单安全和多个请求方模式

• 中继端口：单一和单安全请求模式

• 访客 VLAN

• 服务器故障

• 服务器拒绝

• 动态 VLAN

• 动态防火墙过滤器

• RADIUS 计费

• 通过授权更改 （CoA） 请求实现端口反弹

• MAC RADIUS 客户端身份验证

• 带有重定向 URL 的中央 Web 身份验证 （CWA）

• 强制门户客户端身份验证

• 具有回退场景的灵活身份验证

[请参阅 802.1X 身份验证

OpenSSH 证书支持（PTX1000、PTX5000）— 从 Junos OS 22.4R1 版开始，您可以为用户和主机配置基于 SSH 证书的身份验证。这样，您就可以为用户设置对通过无密码登录的设备进行 SSH 访问，并使您能够信任主机，而无需验证密钥指纹。

以下新的 CLI 配置语句可用于配置基于 SSH 证书的身份验证：

• [system services ssh trusted-user-ca-key-file filename]—在 /etc/ssh/sshd_config中配置文件TrustedUserCAKey，其中包含 SSH 证书的公钥。

• [system services ssh host-certificate-file filename]— 在 /etc/ssh/sshd_config（其中包含已签名的主机证书）中配置文件HostCertificate。

• [system services ssh authorized-principals-file filename]-配置 AuthorizedPrincipalsFile /var/等 ，其中包含一个名称列表，其中一个名称必须出现在证书中，才能接受用于身份验证。

• [system services ssh authorized-principals-command program-path]- 指定要用于生成在中的允许证书主体 AuthorizedPrincipalsFile列表的程序。

[请参阅 配置 SSH 服务以远程访问路由器或交换机。]