Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

增强型 LAN 模式下 MX 系列路由器的 802.1X 概述

从 Junos OS 14.2 版开始,IEEE 802.1X 提供网络边缘安全性,保护以太网 LAN 免受未经授权的用户访问。支持使用几种不同的身份验证方法(如 802.1X、MAC RADIUS 或强制门户)控制通过 MX 系列路由器对网络的访问。

在增强型 LAN 模式下,MX240、MX480 和 MX960 路由器上的以下 MPC 支持此功能:

  • MPC4E 带有两个 100 千兆以太网端口和八个 10 千兆以太网端口

  • MPC4E,带有 32 个 10 千兆以太网端口

  • MPC3E,包含一个带 QSFP+ 的 2 端口 40 千兆以太网 MIC。

  • MPC1E 带有 40 个 1 千兆以太网端口或 20 个 1 千兆以太网端口

在路由器上配置或删除增强型 LAN 模式时,必须重新启动路由器。配置该 network-services lan 选项意味着系统正在增强型 IP 模式下运行。将设备配置为在 MX-LAN 模式下工作时,CLI 界面中仅显示可用于在此模式下启用或查看的受支持的配置语句和操作 show 命令。如果您的系统在配置文件中包含 MX-LAN 模式下不支持的参数,则无法提交这些不受支持的属性。您必须删除不受支持的设置,然后提交配置。CLI 成功提交后,需要重新启动系统才能使属性生效。同样,如果删除该 network-services lan 语句,系统将不会在 MX-LAN 模式下运行。因此,将显示 MX-LAN 模式之外支持的所有设置,并可在 CLI 界面中进行定义。如果配置文件包含仅在 MX-LAN 模式下支持的设置,则必须在提交配置之前删除这些属性。成功提交 CLI 后,需要重新启动系统才能使 CLI 设置生效。MX-LAN 模式支持第 2 层新一代 CLI 配置设置。因此,CLI 配置的典型 MX 系列格式在 MX-LAN 模式下可能会有所不同。

在增强型 LAN 模式下运行的 MX 系列虚拟机箱组合(通过在层次结构级别输入 network-services lan 语句 [edit chassis] )支持此功能。在 MX-LAN 模式和非 MX-LAN 模式下都有 MPC 的 MX240、MX480 和 MX960 路由器上支持基于端口的网络访问控制(这些路由器上的 MPC 上还有其他受支持的网络服务模式)。要在以太网接口上配置 IEEE 802.1x 基于端口的网络接入控制 (PNAC) 协议,必须在层次结构级别配置authenticator[edit protocols authentication-access- control]语句。您还可以在路由器上配置强制网络门户身份验证,以便连接到交换机的用户在被允许访问网络之前先通过身份验证。您还可以将 Junos Pulse 访问控制服务配置为访问策略,以使用语句对 uac-policy 连接到交换机的用户进行身份验证和授权,以允许用户进入网络和访问受保护的网络资源。

802.1X 身份验证的工作原理

802.1X 身份验证的工作原理是使用( Authenticator Port Access Entity 交换机)阻止端口上请求方(终端设备)的所有流量,直到请求方的凭据在 (RADIUS 服务器) 上 Authentication server 显示并匹配。通过身份验证后,交换机将停止阻止流量,并向请求方开放端口。

终端设备在以下模式、single-secure模式或multiple模式下进行身份验证single

  • single— 仅对第一个终端设备进行身份验证。稍后连接到端口的所有其他终端设备都可以完全访问,而无需任何进一步的身份验证。它们有效地“搭载”了终端设备的身份验证。

  • single-secure— 仅允许一台终端设备连接到端口。在第一次注销之前,不允许其他终端设备连接。

  • multiple— 允许多个终端设备连接到端口。每个终端设备都将单独进行身份验证。

可以使用 VLAN 和防火墙过滤器进一步定义网络访问,它们都充当过滤器,将终端设备组与其所需的 LAN 区域分开并匹配。例如,您可以配置 VLAN 以处理不同类别的身份验证故障,具体取决于:

802.1X 功能概述

注:

MX 系列路由器上可用的 802.1X 功能取决于您使用的交换机。

瞻博网络 MX 系列路由器上的 802.1X 功能包括:

  • 访客 VLAN — 当主机连接的交换机接口上未配置 MAC RADIUS 身份验证时,对于未启用 802.1X 的无响应终端设备,提供对 LAN 的有限访问,通常仅访问互联网。此外,访客 VLAN 还可用于为访客用户提供对 LAN 的有限访问。通常,访客 VLAN 仅提供对互联网和其他访客终端设备的访问。

  • 服务器拒绝 VLAN — 为支持 802.1X 但发送了错误凭据的响应式终端设备提供对 LAN 的有限访问,通常仅访问互联网。

  • 服务器故障 VLAN — 在 RADIUS 服务器超时期间,为 802.1X 终端设备提供对 LAN 的有限访问,通常仅访问互联网。

  • 动态 VLAN — 使终端设备在身份验证后能够动态成为 VLAN 的成员。

  • 专用 VLAN — 允许在属于专用 VLAN (PVLAN) 成员的接口上配置 802.1X 身份验证。

  • 对用户会话的动态更改 — 允许交换机管理员终止已通过身份验证的会话。此功能基于对 RFC 3576 中定义的 RADIUS 断开连接消息的支持。

  • RADIUS 记帐 - 将记帐信息发送到 RADIUS 记帐服务器。每当订阅者登录或注销以及订阅者激活或停用订阅时,都会将记帐信息发送到服务器。

支持的与 802.1X 身份验证相关的功能

802.1X 不能取代其他安全技术。802.1X 与端口安全功能(如 DHCP 侦听、动态 ARP 检查 (DAI) 和 MAC 限制)协同工作,以防止欺骗。

支持的与身份验证相关的功能包括:

  • 静态 MAC 旁路 — 提供旁路机制来验证未启用 802.1X 的设备(如打印机)。静态 MAC 旁路将这些设备连接到支持 802.1X 的端口,绕过 802.1X 身份验证。

  • MAC RADIUS 身份验证 — 提供一种独立于是否启用 802.1X 身份验证而启用或禁用 MAC 身份验证的方法。

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
14.2
从 Junos OS 14.2 版开始,IEEE 802.1X 提供网络边缘安全性,保护以太网 LAN 免受未经授权的用户访问。支持使用几种不同的身份验证方法(如 802.1X、MAC RADIUS 或强制门户)控制通过 MX 系列路由器对网络的访问。