Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:为 EX 系列交换机上的单请求方或多请求方配置设置 802.1X

EX 系列交换机上的 802.1x 基于端口的网络接入控制 (PNAC) 身份验证提供三种类型的身份验证,以满足企业 LAN 的接入需求:

  • 对身份验证器端口上的第一个终端设备(请求方)进行身份验证,并允许也连接的所有其他终端设备访问 LAN。

  • 一次仅在身份验证器端口上对一个终端设备进行身份验证。

  • 对身份验证器端口上的多个终端设备进行身份验证。VoIP 配置中使用多请求方模式。

此示例将 EX 系列交换机配置为使用 IEEE 802.1X 对使用三种不同管理模式的终端设备进行身份验证。

要求

此示例使用以下软件和硬件组件:

注:

此示例也适用于QFX5100交换机。

  • 适用于 EX 系列交换机的 Junos OS 9.0 或更高版本

  • 一台 EX 系列交换机充当身份验证器端口访问实体 (PAE)。身份验证器 PAE 上的端口形成一个控制门,用于阻止进出终端设备的所有流量,直到它们通过身份验证。

  • 一个支持 802.1X 的 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的终端设备(请求方)的凭据信息。

在为 802.1X 身份验证配置端口之前,请确保您已:

概述和拓扑

如 所示 ,拓扑包含一个 EX4200 接入交换机,该交换机连接到端口 ge-0/0/10 上的身份验证服务器。图 1接口 ge-0/0/8、ge-0/0/9 和 ge-0/0/11 将配置为三种不同的管理模式。

注:

此数字也适用于QFX5100交换机。

拓扑

图 1: 用于配置请求模式的拓扑用于配置请求模式的拓扑
表 1: 请求模式配置拓扑的组件
属性 设置

交换机硬件

EX4200 交换机,24 个千兆以太网端口:8 个 PoE 端口(ge-0/0/0 到 ge-0/0/7)和 16 个非 PoE 端口(ge-0/0/8 到 ge-0/0/23)

与Avaya手机的连接——通过集成集线器,将手机和台式电脑连接到单个端口;(需要 PoE)

ge-0/0/8、ge-0/0/9 和 ge-0/0/11

要配置管理模式以支持企业网络不同区域中的请求方,请执行以下操作:

  • 为单一请求方模式身份验证配置访问端口 ge-0/0/8。

  • 为单个安全请求方模式身份验证配置访问端口 ge-0/0/9。

  • 为多请求模式身份验证配置访问端口 ge-0/0/11。

单一请求方模式 仅对连接到验证器端口的第一个终端设备进行身份验证。在第一个成功连接后连接到身份验证器端口的所有其他终端设备,无论它们是否启用 802.1X,都无需进一步身份验证即可访问端口。如果第一个经过身份验证的终端设备注销,所有其他终端设备都将被锁定,直到终端设备进行身份验证。

单一安全请求方模式 仅对一个终端设备进行身份验证以连接到身份验证器端口。在第一次注销之前,没有其他终端设备可以连接到身份验证器端口。

多请求方模式 在一个验证方端口上对多个终端设备进行单独验证。如果配置了可通过端口安全连接到端口的最大设备数,则配置值中的较小者用于确定每个端口允许的最大终端设备数。

配置 802.1X 以支持多种请求模式

程序

CLI 快速配置

要使用不同的 802.1X 身份验证模式快速配置端口,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

在接口上配置管理模式:

  1. 在接口 ge-0/0/8 上将请求方模式配置为单一:

  2. 在接口 ge-0/0/9 上将请求方模式配置为单一安全模式:

  3. 在接口 ge-0/0/11 上配置多请求方模式:

成果

检查配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证 802.1X 配置

目的

验证接口 ge-0/0/8、ge-0/0/9 和 ge-0/0/11 上的 802.1X 配置。

操作

通过发出操作模式命令 来验证 802.1X 配置:show dot1x interface

意义

输出字段显示为每个接口配置的管理方式。Supplicant mode 接口 显示 请求模式。ge-0/0/8.0Single 接口 显示 请求模式。ge-0/0/9.0Single-Secure 接口 显示 请求模式。ge-0/0/11.0Multiple