在增强型 LAN 模式下的 MX 系列路由器上配置强制门户身份验证
此示例将 Junos OS 用于支持增强型 LAN 模式配置样式的 MX240、MX480 和 MX960 路由器。如果您的路由器未运行 MX-LAN 模式,则无法以本节中所述的相同方式配置基于端口的身份验证设置。如果在 [编辑机箱] 层次结构级别移除网络服务 lan 语句,系统将无法在 MX-LAN 模式下运行。因此,将显示 MX-LAN 模式之外支持的所有设置,并可在 CLI 界面中进行定义。在这种情况下,您必须使用层次结构级别的语句 [edit protocols dot1x] 来配置 802.1x 和 MAC RADIUS 身份验证,并使用层次结构级别的选项 [edit services captive-portal] 来配置强制门户身份验证。在 MX-LAN 模式下,您可以使用层次结构级别的语句 [edit protocols authentication-access-control] 配置所有基于端口的网络访问控制方法。
从 Junos OS 14.2 版开始,在 MX 系列路由器上配置强制门户身份验证(以下简称强制门户),以便连接到路由器的用户在被允许访问网络之前先通过身份验证。当用户请求网页时,将显示一个登录页面,要求用户输入用户名和密码。身份验证成功后,允许用户继续原始页面请求并随后访问网络。
开始之前,确保您具备以下条件:
已在路由器上执行基本桥接和VLAN配置。
生成SSL证书并将其安装在路由器上。
在 MX 系列路由器和 RADIUS 服务器之间配置基本访问。
设计您的强制门户登录页面。
本主题包含以下任务:
为强制网络门户配置安全访问
要为强制网络门户配置安全访问:
为强制网络门户启用接口
要启用用于强制门户身份验证的接口,请执行以下操作:
[edit] user@router# set authentication-access-control interface ge-0/0/10
配置强制门户身份验证的绕过
您可以允许特定客户端绕过强制门户身份验证:
[edit] user@router# set authentication-access-control static 00:10:12:e0:28:22
(可选)您可以使用 set authentication-access-control static 00:10:12:e0:28:22 interface ge-0/0/10.0 将范围限制为接口。
如果客户端已连接到路由器,则必须在将其 MAC 地址添加到允许列表后, clear captive-portal mac-address session-mac-addr 使用命令从强制网络门户身份验证中清除其 MAC 地址。否则,MAC 地址的新条目将不会添加到以太网交换表中,并且不允许绕过身份验证。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。