Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

示例:将用于 802.1X 的 RADIUS 服务器连接到 MX 系列路由器

802.1X 是基于端口的网络访问控制 (PNAC) 的 IEEE 标准。您可以使用 802.1X 控制网络访问。仅允许提供已根据用户数据库验证的凭据的用户和设备访问网络。从 Junos OS 14.2 版开始,您可以将 RADIUS 服务器用作用户数据库,以进行 802.1X 身份验证以及 MAC RADIUS 身份验证。

此示例介绍如何将 RADIUS 服务器连接到 MX 系列路由器,并将其配置为 802.1X:

要求

此示例使用以下硬件和软件组件:

  • 对于在增强型 LAN 模式下运行的 MX240、MX480 或 MX960 路由器,Junos OS 版本 14.2 或更高版本;对于所有其他路由器,Junos OS 版本 14.2R3。

  • 一台路由器充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的端口形成一个控制门,用于阻止进出请求方的所有流量,直到它们通过身份验证。

  • 一个支持 802.1X 的 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。

在将服务器连接到路由器之前,请确保您已:

  • 在路由器上配置了增强型 LAN 模式。

  • 已在路由器上执行基本桥接和VLAN配置。

  • RADIUS 身份验证服务器上配置的用户。

概述和拓扑

MX 系列路由器充当身份验证器端口访问实体 (PAE)。它阻止所有流量并充当控制门,直到请求方(客户端)通过服务器身份验证。所有其他用户和设备都将被拒绝访问。

考虑用作身份验证器端口的 MX 系列路由器。它使用接口 ge-0/0/10 通过 IP 网络连接到 RADIUS 服务器。路由器还通过接口 ge-0/0/1 链接到会议室,使用接口 ge-0/0/20 连接到打印机,使用接口 ge-0/0/8 连接到集线器,并通过接口 ge-0/0/2 和 ge-0/0/9 链接到两个请求方或客户端。

表 1: 拓扑的组件
属性 设置

路由器硬件

MX 系列路由器

VLAN 名称

default

一台 RADIUS 服务器

地址为“已连接到交换机”端口 10.0.0.100 的后端数据库 ge-0/0/10

在此示例中,将 RADIUS 服务器连接到 MX 系列路由器上的访问端口 ge-0/0/10 。交换机充当验证方,并将请求方的凭据转发到 RADIUS 服务器上的用户数据库。您必须通过指定服务器的地址并配置密钥密码来配置 MX 系列路由器与 RADIUS 服务器之间的连接。此信息在交换机上的接入配置文件中配置。

配置

程序

CLI 快速配置

要将 RADIUS 服务器快速连接到交换机,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要将 RADIUS 服务器连接到交换机:

  1. 定义服务器的地址,并配置机密密码。交换机上的密钥密码必须与服务器上的密钥密码匹配:

  2. 配置身份验证顺序,进行 radius 第一种身份验证方法:

  3. 配置要尝试的服务器 IP 地址列表,以便对请求方进行身份验证:

结果

显示配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证交换机和 RADIUS 服务器是否已正确连接

目的

验证 RADIUS 服务器是否已连接到指定端口上的交换机。

操作

Ping RADIUS 服务器以验证交换机与服务器之间的连接:

意义

ICMP 回显请求数据包从交换机发送到目标服务器 10.0.0.100,以测试是否可通过 IP 网络访问该数据包。从服务器返回 ICMP 回显响应,验证交换机和服务器是否已连接。

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
14.2
从 Junos OS 14.2 版开始,您可以将 RADIUS 服务器用作用户数据库,以进行 802.1X 身份验证以及 MAC RADIUS 身份验证。