从 Junos OS 14.2 版开始,IEEE 802.1X 身份验证提供网络边缘安全性,通过在接口上阻止请求方(客户端)的所有流量,直到请求方的凭据在 (RADIUS 服务器) 上 authentication server 显示和匹配,保护以太网 LAN 免受未经授权的用户访问。请求方通过身份验证后,交换机将停止阻止访问,并打开请求方的接口。
注: 您还可以指定 802.1X 排除列表,以指定可以绕过身份验证并自动连接到 LAN 的请求方。
您无法在已启用 Q-in-Q 隧道的接口上配置 802.1X 用户身份验证。
您无法在冗余中继组 (RTG) 上配置 802.1X 用户身份验证。
在开始之前,请指定要用作身份验证服务器的一个或多个 RADIUS 服务器。
- 将请求方模式 single 配置为(验证第一个请求方)、 single-secure (仅验证一个请求方)或 multiple (验证多个请求方):
[edit protocols authentication-access-control]
user@switch# set interface ge-0/0/5 supplicant multiple
- 启用重新身份验证并指定重新身份验证间隔:
[edit protocols authentication-access-control]
user@switch# set interface ge-0/0/5/0 dot1x reauthentication interval 5
- 配置请求方响应的接口超时值:
[edit protocols authentication-access-control]
user@switch# set interface ge-0/0/5 dot1x supplicant-timeout 5
- 配置接口在向 RADIUS 服务器重新发送身份验证请求之前的超时:
[edit protocols authentication-access-control]
user@switch# set interface ge-0/0/5 server-timeout 5
- 配置接口在将初始 EAPOL PDU 重新传输到请求方之前等待的时间(以秒为单位):
[edit protocols authentication-access-control]
user@switch# set interface ge-0/0/5 dot1x transmit-period 60
- 配置在身份验证会话超时之前将 EAPOL 请求数据包重新传输到请求方的最大次数:
[edit protocols authentication-access-control]
user@switch# set interface ge-0/0/5 dot1x maximum-requests 5
- 配置交换机在初始故障后尝试验证端口的次数。在尝试身份验证后的静默期内,端口将保持等待状态。
[edit protocols authentication-access-control]
user@switch# set interface ge-0/0/5 retries 1
注: 此设置指定交换机将接口置于“HELD”状态之前的尝试次数。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。
14.2
从 Junos OS 14.2 版开始,IEEE 802.1X 身份验证提供网络边缘安全性,通过在接口上阻止请求方(客户端)的所有流量,直到请求方的凭据在 (RADIUS 服务器) 上 authentication server 显示和匹配,保护以太网 LAN 免受未经授权的用户访问。
