Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:在会议室中设置 802.1X,以便通过 EX 系列交换机为企业访客提供互联网接入

EX 系列交换机上的 802.1X 可为在 RADIUS 数据库中没有凭据的用户提供 LAN 访问。这些用户(称为 来宾)经过身份验证,通常提供对 Internet 的访问权限。

此示例介绍如何创建访客 VLAN 并为其配置 802.1X 身份验证。

要求

此示例使用以下软件和硬件组件:

注:

此示例也适用于QFX5100交换机。

  • 适用于 EX 系列交换机的 Junos OS 9.0 或更高版本

  • 一台 EX 系列交换机充当端口接入实体 (PAE)。验证方 PAE 上的接口形成一个控制门,用于阻止请求方来往的所有流量,直到它们通过身份验证。

  • 一个支持 802.1X 的 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。

在配置访客 VLAN 身份验证之前,请确保您已:

概述和拓扑

作为 IEEE 802.1X 基于端口的网络访问控制 (PNAC) 的一部分,您可以通过为访客 VLAN 配置身份验证,为不属于 VLAN 身份验证组的请求方提供有限的网络访问。通常,访客 VLAN 访问用于为公司站点的访问者提供互联网访问。但是,您也可以使用访客 VLAN 功能,为在企业 LAN 上未通过 802.1X 身份验证的请求方提供对资源有限的 VLAN 的访问。

注:

此数字也适用于QFX5100交换机。

拓扑学

图 1 显示了通过接口 ge-0/0/1 连接到交换机的会议室。

图 1: 访客 VLAN 的拓扑示例访客 VLAN 的拓扑示例
表 1: 访客 VLAN 拓扑的组件
属性 设置

交换机硬件

EX4200 交换机,24 个千兆以太网接口:8 个 PoE 接口(ge-0/0/0ge-0/0/7)和 16 个非 PoE 接口(ge-0/0/8ge-0/0/23

VLAN 名称和标记 ID

sales标记 100support标记 200

guest-vlan标记 300

一台 RADIUS 服务器

后端数据库通过接口连接到交换机 ge-0/0/10

在此示例中,接入接口 ge-0/0/1 在会议室中提供 LAN 连接。配置此接入接口,为会议室中未经公司 VLAN 身份验证的访客提供 LAN 连接。

配置包含 802.1X 身份验证的访客 VLAN

程序

CLI 快速配置

要使用 802.1X 身份验证快速配置访客 VLAN,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要在 EX 系列交换机上配置包含 802.1X 身份验证的访客 VLAN,请执行以下操作:

  1. 配置访客 VLAN 的 VLAN ID:

  2. 根据协议配置 dot1x 访客 VLAN:

结果

检查配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证访客 VLAN 是否已配置

目的

验证访客 VLAN 是否已创建,接口是否身份验证失败并已移至访客 VLAN。

注:

在运行支持 ELS 的 EX 系列版 Junos OS 的交换机上,命令输出 show vlans 将包含其他信息。如果您的交换机运行的软件支持 ELS,请参阅 显示 vlan。有关 ELS 的详细信息,请参阅使用增强型第 2 层软件 CLI

操作

发出操作模式命令:

意义

命令 show vlans 输出显示为 VLAN 的名称,VLAN ID 显示为 guest-vlan300

命令 show dot1x interface ge-0/0/1.0 detail 的输出将显示该 Guest VLAN membership 字段,指示此接口的请求方未通过 802.1X 身份验证,并已传递到 guest-vlan.