Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:为 EX 系列交换机上的单请求方或多请求方配置设置 802.1X

EX 系列交换机上基于端口的 802.1x 网络接入控制 (PNAC) 身份验证提供三种类型的身份验证,可满足企业 LAN 的接入需求:

  • 对认证器端口上的第一个端设备(请求方)进行身份验证,并允许连接的其他所有终端设备访问 LAN。

  • 一次仅对认证器端口上的一个端设备进行身份验证。

  • 验证身份验证器端口上的多个终端设备。VoIP 配置中使用多请求模式。

此示例将 EX 系列交换机配置为使用 IEEE 802.1X 来验证使用三种不同管理模式的终端设备。

要求

此示例使用以下软件和硬件组件:

注:

此示例也适用于 QFX5100 交换机。

  • EX 系列交换机的 Junos OS 9.0 或更高版本

  • 一台 EX 系列交换机充当认证器端口访问实体 (PAE)。认证方 PAE 上的端口构成一个控制门,可阻止往返终端设备的所有流量,直至它们经过身份验证。

  • 一台支持 802.1X 的 RADIUS 身份验证服务器。认证服务器充当后端数据库,包含有权连接到网络的终端设备(请求方)的证书信息。

在为 802.1X 身份验证配置端口之前,请确保您已:

概述和拓扑

如 中 图 1所示,拓扑结构包含连接到端口 ge-0/0/10 上身份验证服务器的 EX4200 接入交换机。接口 ge-0/0/8、ge-0/0/9 和 ge-0/0/11 将配置为三种不同的管理模式。

注:

此图也适用于 QFX5100 交换机。

拓扑

图 1: 用于配置请求模式的拓扑用于配置请求模式的拓扑
表 1: 请求模式配置拓扑的组件
财产 设置

交换机硬件

EX4200 交换机,24 个千兆位以太网端口:8 个 PoE 端口(ge-0/0/0 至 ge-0/0/7)和 16 个非 PoE 端口(ge-0/0/8 至 ge-0/0/23)

连接到 Avaya 电话— 集成式中枢,可将电话和台式 PC 连接到单个端口;(需要 PoE)

ge-0/0/8、ge-0/0/9 和 ge-0/0/11

要配置管理模式以支持企业网络不同区域的请求者:

  • 为单请求模式身份验证配置接入端口 ge-0/0/8。

  • 为单个安全请求模式身份验证配置接入端口 ge-0/0/9。

  • 为多个请求模式身份验证配置接入端口 ge-0/0/11。

单请求模式 仅对连接到认证器端口的第一个端设备进行认证。第一台设备成功连接后连接到认证器端口的所有其他终端设备(不管是否支持 802.1X)均允许它们访问端口,无需进一步认证。如果第一台经过身份验证的终端设备注销,所有其他终端设备都被锁定,直到最终设备认证。

单一安全请求模式 仅对一个端设备进行身份验证,以连接到认证器端口。在第一个日志出来之前,其他终端设备都无法连接到认证器端口。

多请求模式 可在一个认证器端口上分别对多个终端设备进行身份验证。如果配置的最大可通过端口安全连接到端口的设备数量,则使用配置的值越小来确定每个端口允许的最大终端设备数。

802.1X 配置以支持多种请求模式

程序

CLI 快速配置

要使用不同的 802.1X 身份验证模式快速配置端口,请复制以下命令并将其粘贴到交换机终端窗口中:

逐步过程

在接口上配置管理模式:

  1. 将请求模式配置为接口上的单个 ge-0/0/8:

  2. 将请求模式配置为接口 ge-0/0/9 上的单个安全模式:

  3. 在接口 ge-0/0/11 上配置多个请求模式:

结果

检查配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证 802.1X 配置

目的

验证接口上的 802.1X 配置 ge-0/0/8、ge-0/0/9 和 ge-0/0/11。

行动

验证 802.1X 配置,方法是发出操作模式命令 show dot1x interface

意义

输出 Supplicant mode 字段显示每个接口的已配置管理模式。接口 ge-0/0/8.0 显示 Single 请求模式。接口 ge-0/0/9.0 显示 Single-Secure 请求模式。接口 ge-0/0/11.0 显示 Multiple 请求模式。