Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:在 EX 系列交换机上为单申请者或多申请者配置设置 802.1 X

EX 系列交换机上基于端口的802.1 网络接入控制(PNAC)身份验证提供三种身份验证类型,可满足企业 LAN 的访问需求:

  • 验证认证器端口上的第一台终端设备(申请者),并允许其他所有终端设备也连接到 LAN。

  • 一次仅验证认证者端口上的一个终端设备。

  • 验证认证器端口上的多个终端设备。VoIP 配置中使用多个请求方模式。

此示例将 EX 系列交换机配置为使用 IEEE 802.1 X 来验证使用三种不同管理模式的终端设备。

要求

此示例使用以下软件和硬件组件:

注:

此示例也适用于 QFX5100 交换机。

  • EX 系列交换机 Junos OS 发行9.0 或更高版本

  • 一个 EX 系列交换机充当认证者端口接入实体(PAE)。认证器 PAE 上的端口是控制门,用于阻止进出终端设备的所有流量,直到它们经过身份验证。

  • 一种支持 802.1 X 的 RADIUS 认证服务器。认证服务器用作后端数据库,其中包含有权连接到网络的终端设备(请求者)的证书信息。

在为 802.1 X 身份验证配置端口之前,请确保您已:

概述和拓扑

如中图 1所示,该拓扑包含连接到认证服务器(在端口 ge-0/0/10)上的 EX4200 接入交换机。接口 ge-0/0/8、ge-0/0/9 和 ge-0/0/11 将配置为三种不同的管理模式。

注:

本图也适用于 QFX5100 交换机。

拓扑

图 1: 用于配置请求器模式的拓扑用于配置请求器模式的拓扑
表 1: 请求者模式配置拓扑的组件
财产 设置

交换机硬件

EX4200 交换机,24个千兆位以太网端口:8个 PoE 端口(ge-0/0/0 到 ge-0/0/7)和16个非 PoE 端口(ge-0/0/8 到 ge-0/0/23)

与 Avaya 电话的连接 — 与集成中心的连接,用于将电话和桌面 PC 连接到单个端口;(需要PoE)

ge-0/0/8、ge-0/0/9 和 ge-0/0/11

要配置管理模式以支持企业网络不同区域的请求者:

  • 为单请求方模式身份验证配置访问端口 ge-0/0/8。

  • 为单个 secure 请求方模式身份验证配置访问端口 ge-0/0/9。

  • 为多请求方模式身份验证配置访问端口 ge-0/0/11。

单请求器模式仅验证连接到认证器端口的第一台终端设备。在第一台连接到认证器端口之后的所有其他终端设备(无论是否启用 802.1 X)都允许访问端口,无需进一步认证。如果第一个经过身份验证的终端设备注销,则所有其他终端设备都将锁定,直至最终设备进行身份验证。

单安全请求方模式仅验证一个终端设备连接到认证器端口。在第一次注销之前,其他终端设备都不能连接到认证器端口。

多申请者模式在一个认证器端口上单独验证多个终端设备。如果您配置可通过端口安全连接到端口的最大设备数,则会使用较小的配置值来确定每个端口允许的最大终端设备数。

配置 802.1 X 以支持多请求者模式

操作

CLI 快速配置

要使用不同的 802.1 X 身份验证模式快速配置端口,请复制以下命令并将其粘贴到交换机端子窗口中:

分步过程

在接口上配置管理模式:

  1. 在接口 ge 上将请求方模式配置为 single-0/0/8:

  2. 在接口 ge 上将申请者模式配置为单一安全-0/0/9:

  3. 在接口 ge 上配置多个请求方模式-0/0/11:

成果

检查配置结果:

针对

要确认配置是否正常运行,请执行以下任务:

验证 802.1 X 配置

用途

验证接口 ge-0/0/8、ge-0/0/9 和 ge-0/0/11 上的 802.1X 配置。

行动

通过发出操作模式命令show dot1x interface来验证 802.1 x 配置:

含义

输出 Supplicant mode 字段显示每个接口的已配置管理模式。接口 ge-0/0/8.0Single 显示请求方模式。接口 ge-0/0/9.0Single-Secure 显示请求方模式。接口 ge-0/0/11.0Multiple 显示请求方模式。