本页内容
示例:在 EX 系列交换机上为单请求方或多请求方配置设置 802.1X
EX 系列交换机上的 802.1x 基于端口的网络访问控制 (PNAC) 身份验证提供三种类型的身份验证,以满足企业 LAN 的访问需求:
在验证器端口上对第一个终端设备(请求方)进行身份验证,并允许同时连接的所有其他终端设备访问 LAN。
一次仅在验证器端口上验证一个终端设备。
在一个验证器端口上对多个终端设备进行身份验证。VoIP 配置中使用多请求方模式。
此示例将 EX 系列交换机配置为使用 IEEE 802.1X 来验证使用三种不同管理模式的终端设备。
要求
此示例使用以下软件和硬件组件:
此示例也适用于 QFX5100 交换机。
适用于 EX 系列交换机的 Junos OS 9.0 或更高版本
一台充当验证器端口访问实体 (PAE) 的 EX 系列交换机。验证器 PAE 上的端口形成一个控制门,用于阻止进出终端设备的所有流量,直至其通过身份验证。
一台支持 802.1X 的 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,包含有权连接到网络的终端设备(请求方)的证书信息。
在为 802.1X 身份验证配置端口之前,请确保您已:
执行了初始交换机配置。请参阅连接和配置 EX 系列交换机(CLI 过程)。
在交换机上执行了基本桥接和 VLAN 配置。请参阅介绍如何为交换机设置基本桥接和 VLAN 的文档。如果您使用的交换机支持增强型第 2 层软件 (ELS) 配置样式,请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN 或 示例:在交换机上设置基本桥接和 VLAN。有关所有其他交换机,请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
注意:有关 ELS 的更多信息,请参阅 使用增强型第 2 层软件 CLI。
在身份验证服务器上配置的用户。
概述和拓扑
如 图 1 所示,拓扑包含一台连接到端口 ge-0/0/10 上的身份验证服务器的 EX4200 接入交换机。接口 ge-0/0/8、ge-0/0/9 和 ge-0/0/11 将配置为三种不同的管理模式。
此数字也适用于 QFX5100 交换机。
拓扑结构
的拓扑
| 属性 | 设置 |
|---|---|
交换机硬件 |
EX4200 交换机,24 个千兆以太网端口:8 个 PoE 端口(ge-0/0/0 到 ge-0/0/7)和 16 个非 PoE 端口(ge-0/0/8 到 ge-0/0/23) |
连接到 Avaya 电话 - 使用集成集线器,将手机和台式 PC 连接到单个端口;(需要 PoE) |
ge-0/0/8、ge-0/0/9 和 ge-0/0/11 |
要配置管理模式以支持企业网络不同区域中的请求方,请执行以下操作:
配置接入端口 ge-0/0/8 以便进行单请求模式身份验证。
配置接入端口 ge-0/0/9 以便进行单个安全请求方模式身份验证。
配置接入端口 ge-0/0/11 以进行多请求方模式身份验证。
单请求方模式 仅对连接到验证器端口的第一个终端设备进行身份验证。在第一个设备成功连接后,连接到验证器端口的所有其他终端设备(无论其是否启用了 802.1X)均允许访问该端口,而无需进一步身份验证。如果第一个经过身份验证的终端设备注销,所有其他终端设备将被锁定,直到终端设备通过身份验证。
单安全请求方模式 仅对连接到验证器端口的一个终端设备进行身份验证。在第一个终端设备注销之前,任何其他终端设备都无法连接到验证器端口。
多请求方模式 在一个验证器端口上对多个终端设备进行单独身份验证。如果配置了可通过端口安全连接到端口的最大设备数,则配置值中较小的值将用于确定每个端口允许的最大终端设备数。
配置 802.1X 以支持多种请求方模式
过程
CLI 快速配置
要使用不同的 802.1X 身份验证模式快速配置端口,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set protocols dot1x authenticator interface ge-0/0/8 supplicant single set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple
分步程序
在接口上配置管理模式:
在接口 ge-0/0/8 上将请求方模式配置为单个:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single
在接口 ge-0/0/9 上将请求方模式配置为单安全模式:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure
在接口 ge-0/0/11 上配置多请求方模式:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
结果
检查配置结果:
[edit]
user@access-switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
)
ge-0/0/9.0 {
supplicant single-secure;
)
ge-0/0/11.0 {
supplicant multiple;
)
}
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证 802.1X 配置
目的
验证接口 ge-0/0/8、ge-0/0/9 和 ge-0/0/11 上的 802.1X 配置。
行动
通过发出操作模式命令 show dot1x interface验证 802.1X 配置:
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> user@switch> show dot1x interface ge-0/0/9.0 detail ge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0 user@switch> show dot1x interface ge-0/0/11.0 detail ge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
意义
请求方模式输出字段显示为每个接口配置的管理模式。接口 ge-0/0/8.0 显示单请求方模式。接口 ge-0/0/9.0 显示单安全请求方模式。接口 ge-0/0/11.0 显示多请求方模式。