在本页
802.1X 身份验证
基于端口的网络接入控制 IEEE 802.1X 标准可保护以太网 LAN 免受未经授权的用户访问。它会在接口上阻止请求方(客户端)之间往返的所有流量,直到在身份验证服务器(RADIUS 服务器)上显示并匹配请求人的凭据。对请求方进行身份验证后,交换机将停止阻止访问,并打开请求方接口。有关更多信息,请阅读本主题。
交换机 802.1X 概述
802.1X 身份验证的工作原理
802.1X 身份验证的工作原理是,使用验证方端口访问实体(交换机)阻止端口请求方(终端设备)的入口流量,直到请求者的凭据在身份验证服务器(RADIUS 服务器)上显示并匹配。身份验证后,交换机将停止阻止流量,并将端口打开给请求方。
终端设备在模式、single-secure supplicant 模式或multiple supplicant模式中single supplicant经过身份验证:
-
单一请求者 — 仅对第一个终端设备进行身份验证。之后连接到端口的所有其他终端设备都可以完全访问,无需任何进一步身份验证。它们 有效地支持 第一个终端设备的身份验证。
-
单一安全请求方 — 仅允许一个终端设备连接到端口。在第一个设备退出之前,不允许连接其他终端设备。
-
多个请求方 — 允许多个终端设备连接到端口。每个终端设备均会单独进行身份验证。
可以通过使用 VLAN 和防火墙过滤器进一步定义网络访问,这两者都用作过滤器,将终端设备组与所需的 LAN 区域进行分离和匹配。例如,您可以配置 VLAN 来处理不同类别的身份验证故障,具体取决于:
-
终端设备是否支持 802.1X。
-
是否在主机连接的交换机接口上配置了 MAC RADIUS 身份验证。
-
RADIUS 身份验证服务器是不可用还是发送 RADIUS 访问拒绝消息。请参阅 配置 RADIUS 服务器故障回退(CLI 过程)。
802.1X 功能概述
瞻博网络以太网交换机支持以下 802.1X 功能:
-
访客 VLAN — 当主机所连接的交换机接口上未配置 MAC RADIUS 身份验证时,为未启用 802.1X 的非响应终端设备提供对 LAN 的有限访问,通常仅对互联网。此外,访客 VLAN 可用于为访客用户提供对 LAN 的有限访问。通常,访客 VLAN 仅提供对互联网和其他访客终端设备的访问。
-
服务器拒绝 VLAN — 为支持 802.1X 但发送了错误的凭据的响应式终端设备提供对 LAN 的有限访问,通常仅对互联网的访问。如果使用服务器拒绝 VLAN 进行身份验证的终端设备是 IP 电话,则不允许语音流量。
-
服务器故障 VLAN — 在 RADIUS 服务器超时期间,为 802.1X 终端设备提供对 LAN 的有限访问,通常仅对互联网的访问。
-
动态 VLAN — 使终端设备在经过身份验证后能够动态成为 VLAN 的成员。
-
专用 VLAN — 可在属于专用 VLAN (PVLAN) 的接口上配置 802.1X 身份验证。
-
动态更改用户会话 — 使交换机管理员能够终止已通过身份验证的会话。此功能基于 RFC 3576 中定义的 RADIUS 断开连接消息的支持。
-
VoIP VLAN — 支持 IP 电话。在 IP 电话上实施语音 VLAN 特定于供应商。如果电话已启用 802.1X,则它会像任何其他请求者一样进行身份验证。如果电话未启用 802.1X,但有另一台与 802.1X 兼容的设备连接到其数据端口,则该设备将经过身份验证,然后 VoIP 流量可以流入和流出电话(前提是接口配置在单请求方模式,而不是单安全请求模式)。
注:不支持在专用 VLAN (PVLAN) 接口上配置 VoIP VLAN。
-
RADIUS 计费 — 向 RADIUS 计费服务器发送计费信息。每当订阅者登录或退出,以及订阅者激活或停用订阅时,计费信息将被发送到服务器。
-
802.1X 的 RADIUS 服务器属性 — 这是
Juniper-Switching-Filter供应商特定的属性 (VSA),可在 RADIUS 服务器上进行配置,以在 802.1X 身份验证过程中进一步定义请求方的访问权限。在身份验证服务器上集中配置属性,无需在请求方可能连接到 LAN 的每台交换机上以防火墙过滤器的形式配置相同的属性。此功能基于 RLI 4583、AAA RADIUS BRAS VSA 支持。
支持以下功能来验证不支持 802.1X 的设备:
-
静态 MAC 旁路 — 提供旁路机制,用于验证未启用 802.1X 的设备(如打印机)。静态 MAC 旁路将这些设备连接到支持 802.1X 的端口,从而绕过 802.1X 身份验证。
-
MAC RADIUS 身份验证 — 提供一种允许未启用 802.1X 的主机访问 LAN 的方法。MAC-RADIUS 使用客户端的 MAC 地址作为用户名和密码,模拟客户端设备的请求方功能。
中继端口上的 802.1X 身份验证
从 Junos OS 18.3R1 版开始,您可以在中继接口上配置 802.1X 身份验证,使网络接入设备 (NAS) 能够对接入点 (AP) 或其他连接的第 2 层设备进行身份验证。连接到 NAS 的接入点或交换机将支持多个 VLAN,因此必须连接到一个中继端口。在中继接口上启用 802.1X 身份验证可保护 NAS 免受安全漏洞的影响,攻击者可能会断开接入点的连接并连接笔记本电脑,以免费访问所有配置的 VLAN 的网络。
请注意,在中继接口上配置 802.1X 身份验证时,请注意以下注意事项。
-
中继接口上仅支持单一和单安全请求模式。
-
您必须在中继接口上本地配置 802.1X 身份验证。如果使用命令全局
set protocol dot1x interface all配置 802.1X 身份验证,则配置不会应用于中继接口。 -
中继接口不支持动态 VLAN。
-
中继接口不支持访客 VLAN 和服务器拒绝 VLAN。
-
中继接口 (
server-fail-voip) 不支持 VoIP 客户端的服务器故障回退。 -
不支持使用强制门户在中继端口上进行身份验证。
-
聚合接口不支持中继端口上的身份验证。
-
中继端口不支持在属于专用 VLAN (PVLAN) 的接口上配置 802.1X 身份验证。
第 3 层接口上的 802.1X 身份验证
从 Junos OS 20.2R1 版开始,您可以在第 3 层接口上配置 802.1X 身份验证。请注意,在 3 层接口上配置 802.1X 身份验证时,请注意以下几点:
-
仅支持 EAP 的客户端。
-
仅支持单一请求方模式。
-
您必须在 3 层接口上本地配置 802.1X 身份验证。如果使用命令全局
set protocol dot1x interface all配置 802.1X 身份验证,则配置不会应用于第 3 层接口。 -
对第 3 层接口的支持不包括 IRB 或子接口。
-
不支持访客 VLAN、服务器拒绝 VLAN 和服务器故障 VLAN。
-
不支持 VoIP 客户端的服务器故障回退 (
server-fail-voip)。 -
对于在第 3 层接口上进行身份验证的客户端,作为 RADIUS 访问接受或 COA 消息的一部分,身份验证服务器仅接受以下属性:
-
用户名
-
会话超时
-
呼叫站-ID
-
Acct-Session-ID
-
NAS 端口 ID
-
端口反弹
-
Junos OS 演化型软件上的 802.1X 支持
从 Junos OS 演化版 22.3R1 开始,您可以在第 2 层接口上配置 802.1X 身份验证。请遵循适用于第 2 层接口上的 802.1X 身份验证的警告。
-
不支持的功能包括:
-
访客 VLAN、服务器拒绝 VLAN 和服务器故障 VLAN
-
VoIP 客户端的服务器故障回退(server-fail-voip)
-
动态 VLAN
-
使用强制门户和中央 Web 身份验证 (CWA) 对第 2 层接口进行身份验证。
-
-
对于在第 2 层接口上进行身份验证的客户端,RADIUS 接入接受或 COA 消息身份验证服务器不支持的属性包括:
-
Ip-Mac-Session 绑定
-
Juniper-CWA-重定向
-
瞻博网络交换过滤器
-
过滤器 ID
-
中型隧道类型
-
瞻博网络 VoIP-VLAN
-
出口 VLAN 名称
-
出口-VLAN-ID
-
隧道类型
-
隧道专用组 ID
-
-
如果 IRB 在桥接域中,则启用 802.1x 的端口不会丢弃单安全和多个请求方模式的路由流量,即使用户未通过身份验证。第 2 层接口上启用 802.1x 的端口丢弃路由流量,仅用于单个请求方模式配置。
另请参阅
配置 802.1X 接口设置(CLI 过程)
IEEE 802.1X 身份验证提供网络边缘安全性,通过阻止接口上出入请求方(客户端)的所有流量,直到请求方(RADIUS 服务器)上 authentication server 显示并匹配请求人的凭据,从而保护以太网 LAN 免遭未经授权的用户访问。对请求方进行身份验证后,交换机将停止阻止访问,并打开请求方接口。
您还可以指定 802.1X 排除列表,以指定可以绕过身份验证并自动连接到 LAN 的请求者。请参阅配置 802.1X 的静态 MAC 旁路和 MAC RADIUS 身份验证(CLI 过程)。
您无法在已为 Q-in-Q 隧道启用的接口上配置 802.1X 用户身份验证。
开始之前,指定要用作身份验证服务器的 RADIUS 服务器。请参阅 指定交换机上的 RADIUS 服务器连接(CLI 过程)。
在接口上配置 802.1X:
如果 RADIUS 身份验证服务器不可用或无法访问,将触发服务器故障回退。默认情况下,选项 deny 配置在下 server-fail,强制请求方身份验证失败。但是,您还可以将其他选项配置为在服务器超时时对等待身份验证的终端设备采取的操作。
有关更多信息,请参阅 接口 (802.1X)
此设置指定交换机将接口置于 HELD 状态之前的尝试次数。
另请参阅
了解 RADIUS 对授权用户会话发起的更改
使用基于客户端/服务器 RADIUS 模型的身份验证服务时,请求通常由客户端发起并发送至 RADIUS 服务器。在某些情况下,服务器可能会发起请求并发送至客户端,以便动态修改已在进行中的经过身份验证的用户会话。接收和处理消息的客户端是交换机,交换机充当网络接入服务器或 NAS。服务器可以向交换机发送断开连接消息以终止会话,或者向交换机发送授权更改 (CoA) 消息,请求修改会话授权属性。
交换机侦听 UPD 端口 3799 上未经请求的 RADIUS 请求,并仅接受来自可信来源的请求。发送断开连接或 CoA 请求的授权基于源地址和相应的共享密钥确定,这些密钥必须在交换机和 RADIUS 服务器上进行配置。有关在交换机上配置源地址和共享密钥的更多信息,请参阅 示例:将 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
断开连接消息
RADIUS 服务器向交换机发送“断开连接请求”消息,以便终止用户会话并丢弃所有关联的会话上下文。如果请求成功,交换机会通过断开连接-ACK 消息响应请求数据包,也就是说,所有关联的会话上下文将被丢弃,用户会话不再连接,或者,如果请求失败,交换机使用断开连接-NAK 数据包,也就是说,验证方无法断开会话并丢弃所有关联的会话上下文。
在“断开连接-请求”消息中,RADIUS 属性用于唯一标识交换机 (NAS) 和用户会话。消息中包含的 NAS 识别属性和会话识别属性的组合必须至少匹配一个会话,才能使请求成功:否则,交换机会通过断开连接-NAK 消息进行响应。断开连接请求消息只能包含 NAS 和会话识别属性;如果包含任何其他属性,交换机会回复断开连接-NAK 消息。
授权消息更改
授权更改 (CoA) 消息包含用于动态修改用户会话的授权属性以更改授权级别的信息。这是两步身份验证过程的一部分,其中首先使用 MAC RADIUS 身份验证对端点进行身份验证,然后根据设备类型进行分析。CoA 消息用于应用适用于设备的实施策略,通常通过更改数据过滤器或 VLAN。
如果授权更改成功,交换机会使用 CoA-ACK 消息来响应 CoA 消息,如果更改不成功,交换机将使用 CoA-NAK 消息来响应。如果无法执行 CoA-Request 消息中指定的一个或多个授权更改,交换机将使用 CoA-NAK 消息进行响应。
在 CoA-Request 消息中,RADIUS 属性用于唯一标识交换机(充当 NAS)和用户会话。消息中包含的 NAS 识别属性和会话识别属性的组合必须至少匹配一个会话的识别属性,才能使请求成功:否则,交换机会使用 CoA-NAK 消息进行响应。
CoA-Request 数据包还包括在接受请求时将修改的会话授权属性。下面列出了支持的会话授权属性。CoA 消息可以包含任意或所有这些属性。如果 CoA-Request 消息中未包含任何属性,则 NAS 会假定该属性的值保持不变。
过滤器 ID
隧道专用组 ID
瞻博网络交换过滤器
瞻博网络 VoIP-VLAN
会话超时
CoA 请求端口反弹
当使用 CoA 消息更改经过身份验证主机的 VLAN 时,终端设备(如打印机)没有检测 VLAN 更改的机制,因此它们不会在新 VLAN 中续订 DHCP 地址的租期。从 Junos OS 17.3 版开始,端口弹跳功能可用于强制终端设备在已验证端口上引起链路翻动来启动 DHCP 重新协商。
退回端口的命令使用瞻博网络供应商特定的属性 (VSA) 从 RADIUS 服务器发送。如果从 RADIUS 服务器的 CoA 消息中收到以下 VSA 属性-值对,则端口将弹跳:
瞻博网络-AV-对 = “端口反弹”
要启用端口退回功能,必须使用 Juniper-AV-Pair VSA 更新 RADIUS 服务器上的 Junos 字典文件 (juniper.dct)。找到该字典文件,并将以下文本添加到文件中:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
有关添加 VSA 的更多信息,请参阅 FreeRADIUS 文档。
您可以通过在 [edit protocols dot1x authenticator interface interface-name] 层级配置ignore-port-bounce语句来禁用该功能。
错误原因代码
当断开连接或 CoA 操作不成功时,NAS 发送至服务器的响应消息中可以包含一个错误原因属性(RADIUS 属性 101),以提供有关问题原因的详细信息。如果检测到的错误未映射到其中一个支持的错误原因属性,路由器将发送没有错误原因属性的消息。有关可以从 NAS 发送的响应消息中包含的错误原因代码说明,请参阅 表 1 。
编码 |
价值 |
说明 |
|---|---|---|
201 |
删除剩余会话上下文 |
如果一个或多个用户会话不再处于活动状态,但已发现并成功移除剩余会话上下文,则发送中断请求消息。此代码仅在断开连接 ACK 消息中发送。 |
401 |
不受支持的属性 |
请求包含不支持的属性(例如,第三方属性)。 |
402 |
缺少属性 |
请求中缺少关键属性(例如,会话标识属性)。 |
403 |
NAS 识别不匹配 |
请求包含一个或多个 NAS 标识属性,这些属性与接收请求的 NAS 的身份不匹配。 |
404 |
请求无效 |
请求的某些其他方面无效,例如,如果一个或多个属性的格式不正确。 |
405 |
不支持的服务 |
请求附带的服务类型属性包含无效或不受支持的值。 |
406 |
不支持的扩展 |
接收请求的实体(NAS 或 RADIUS 代理)不支持 RADIUS 发起的请求。 |
407 |
无效的属性值 |
请求包含一个属性,其中包含不受支持的值。 |
501 |
行政禁止 |
NAS 配置为禁止在指定会话中传递“断开连接请求”或“共同请求”消息。 |
503 |
未找到会话上下文 |
NAS 上不存在请求中标识的会话上下文。 |
504 |
不可移除的会话上下文 |
由请求中的属性标识的订阅者由不支持的组件拥有。此代码仅在断开连接-NAK 消息中发送。 |
506 |
资源不可用 |
由于缺少可用的 NAS 资源(如内存),无法履行请求。 |
507 |
请求已启动 |
CoA-Request 消息包含一个服务类型属性,值为“仅授权”。 |
508 |
不支持多会话选择 |
请求中包含的会话识别属性与多个会话匹配,但 NAS 不支持适用于多个会话的请求。 |
使用 RADIUS 服务器属性过滤 802.1X 请求者
使用端口防火墙过滤器(第 2 层防火墙过滤器)配置 RADIUS 服务器有两种方法:
-
在 Juniper 交换过滤器属性中包含一个或多个过滤器术语。瞻博网络交换过滤器属性是 RADIUS 服务器上的瞻博网络字典中属性 ID 编号 48 下列出的供应商特定的属性 (VSA)。使用此 VSA 为 802.1X 身份验证的用户配置简单的过滤条件。无需在交换机上配置任何配置;所有配置都在 RADIUS 服务器上。
-
在每台交换机上配置一个本地防火墙过滤器,并将该防火墙过滤器应用于通过 RADIUS 服务器进行身份验证的用户。此方法适用于更复杂的过滤器。必须在每台交换机上配置防火墙过滤器。
注:如果在使用 802.1X 身份验证对用户进行身份验证后修改了防火墙过滤器配置,则必须终止已建立的 802.1X 身份验证会话并重新建立,以便使防火墙过滤器配置更改生效。
本主题包含以下任务:
在 RADIUS 服务器上配置防火墙过滤器
从 Junos OS 演化版 22.4R1 开始,您可以在一条线路内配置多个源和目标端口(或端口范围),而无需再次重复匹配条件。此功能可实现更短的 VSA 长度,还有助于减小半径响应数据包的大小。
交换过滤器允许调配以太网类型、IP、源标记、源端口和目标端口的值列表。
Juniper-Switching-Filter = match dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow
Juniper-Switching-Filter = match dst-port 500 source-tag [ 100, 200 ] action allow
Juniper-Switching-Filter = match src-port 9090 ip-proto [ 25 17] action allow
Juniper-Switching-Filter = match ether-type [ 3000-4000 8000 ] action allow
您可以使用 RADIUS 服务器上的瞻博网络字典中的“瞻博网络交换过滤器”属性来配置简单的过滤器条件。只要新用户成功进行身份验证,这些过滤器将发送到交换机。所有 EX 系列交换机均会创建并应用过滤器,这些交换机通过 RADIUS 服务器对用户进行身份验证,而无需在每台单独的交换机上配置任何设备。
此过程介绍如何使用 FreeRADIUS 软件配置瞻博网络交换过滤器 VSA。有关配置服务器的具体信息,请参阅服务器随附的 AAA 文档。
要配置“瞻博网络交换过滤器”属性,请使用 RADIUS 服务器的 CLI 输入一个或多个过滤器术语。每个过滤器术语都包含带有相应操作的匹配条件。使用以下语法输入括在引号 (“ ”) 中的过滤器术语:
Juniper-Switching-Filter = “match <destination-mac mac-address> <source-vlan vlan-name> <source-dot1q-tag tag> <destination-ip ip-address> <ip-protocol protocol-id> <source-port port> <destination-port port> action (allow | deny) <forwarding-class class-of-service> <loss-priority (low | medium | high)>”
过滤器术语中可以包含多个匹配条件。在过滤器术语中指定了多个条件时,数据包必须全部满足这些条件,才能与过滤器术语匹配。例如,以下过滤术语要求数据包与目标 IP 地址和目标 MAC 地址 匹配 ,才能满足术语标准:
Juniper-Switching-Filter = “match destination-ip 10.10.10.8 destination-mac 00:00:00:01:02:03 action allow”
多个过滤术语应用逗号分隔,例如:
Juniper-Switching-Filter = “match destination-mac 00:00:00:01:02:03 action allow, match destination-port 80 destination-mac 00:aa:bb:cc:dd:ee action allow”
有关 匹配条件和操作的定义,请参阅瞻博网络交换过滤器 VSA 匹配条件和操作。
在 EX9200 交换机上,以及采用 EX9200 作为聚合设备的 Junos Fusion Enterprise 中,动态防火墙过滤器严格适用于所有 IP 数据包。如果过滤器配置为仅允许特定目标 IP 地址,将根据过滤器规则丢弃具有其他 IP 地址作为目标 IP 的数据包。这包括任何 IP 协议数据包,例如 DHCP、IGMP 和 ARP 数据包。
在 RADIUS 服务器上配置匹配条件:
应用 RADIUS 服务器的本地配置的防火墙过滤器
您可以从 RADIUS 服务器集中向用户策略应用端口防火墙过滤器(第 2 层防火墙过滤器)。然后,RADIUS 服务器可以指定将应用于请求身份验证的每个用户的防火墙过滤器,从而减少在多台交换机上配置相同防火墙过滤器的需求。当防火墙过滤器包含大量条件时,或者想对不同交换机上的同一过滤器使用不同的条件,请使用此方法。必须在每台交换机上配置防火墙过滤器。
有关防火墙过滤器的更多信息,请参阅 EX 系列交换机的防火墙过滤器概述。
要从 RADIUS 服务器集中应用端口防火墙过滤器:
如果同时为接口在本地配置了端口防火墙过滤器,则在它们与本地配置的端口防火墙过滤器冲突时,使用 VSA 配置的防火墙过滤器将优先处理。如果没有冲突,它们将被合并。
示例:将 802.1X 的 RADIUS 服务器连接到 EX 系列交换机
802.1X 是基于端口的网络接入控制 (PNAC) 的 IEEE 标准。您可以使用 802.1X 来控制网络访问。仅允许提供已根据用户数据库验证的凭据的用户和设备访问网络。您可以将 RADIUS 服务器用作 802.1X 身份验证以及 MAC RADIUS 身份验证的用户数据库。
此示例说明如何将 RADIUS 服务器连接到 EX 系列交换机,以及如何为 802.1X 进行配置:
要求
此示例使用以下软件和硬件组件:
EX 系列交换机的 Junos OS 9.0 或更高版本
一台 EX 系列交换机充当验证方端口访问实体 (PAE)。验证方 PAE 上的端口会形成一个控制门,可阻止往返请求方的所有流量,直到它们通过身份验证。
一个 RADIUS 身份验证服务器,支持 802.1X。身份验证服务器充当后端数据库,其中包含有权连接到网络的主机(请求方)的证书信息。
将服务器连接到交换机之前,请确保您已:
在交换机上执行基本桥接和 VLAN 配置。请参阅有关为交换机设置基本桥接和 VLAN 的说明文档。如果您使用的交换机支持增强型第 2 层软件 (ELS) 配置样式,请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN。有关所有其他交换机,请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
注:有关 ELS 的更多信息,请参阅 使用增强型第 2 层软件 CLI。
RADIUS 身份验证服务器上已配置的用户。
概述和拓扑
EX 系列交换机充当验证方 PAE。它会阻止所有流量并充当控制门,直到请求方(客户端)得到服务器身份验证。所有其他用户和设备均被拒绝访问。
图 1 显示了连接到中列出的 表 2设备的一台 EX4200 交换机。
| 财产 | 设置 |
|---|---|
交换机硬件 |
EX4200 接入交换机,24 个千兆以太网端口:8 个 PoE 端口(ge-0/0/0 至 ge-0/0/7)和 16 个非 PoE 端口(ge-0/0/8 到 ge-0/0/23) |
VLAN 名称 |
默认 |
一台 RADIUS 服务器 |
后端数据库,其地址 10.0.0.100 在端口连接到交换机 ge-0/0/10 |
在此示例中,将 RADIUS 服务器连接到 EX4200 交换机上的访问端口 ge-0/0/10。交换机充当验证方,并将请求者的凭据转发至 RADIUS 服务器上的用户数据库。您必须通过指定服务器地址并配置密钥密码来配置 EX4200 与 RADIUS 服务器之间的连接。此信息在交换机上的访问配置文件中配置。
有关身份验证、授权和计费 (AAA) 服务的详细信息,请参阅 Junos OS System Basics 配置指南。
配置
程序
CLI 快速配置
要快速将 RADIUS 服务器连接到交换机,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
逐步过程
将 RADIUS 服务器连接到交换机:
定义服务器地址并配置密钥密码。交换机上的密钥密码必须与服务器上的密钥密码匹配:
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
配置身份验证顺序,从而使用 radius 第一种身份验证方法:
[edit] user@switch# set access profile profile1 authentication-order radius
配置要按顺序尝试的服务器 IP 地址列表,以验证请求者:
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
结果
显示配置结果:
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$ABC123"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证交换机和 RADIUS 服务器是否已正确连接
目的
验证 RADIUS 服务器是否已连接到指定端口上的交换机。
行动
对 RADIUS 服务器执行 Ping 操作,以验证交换机与服务器之间的连接:
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms含义
ICMP 回显请求数据包从交换机的 10.0.0.100 发送到目标服务器,以测试服务器是否可以通过 IP 网络访问。从服务器返回 ICMP 回显响应,验证交换机和服务器是否已连接。
了解基于 RADIUS 属性的动态过滤器
您可以使用 RADIUS 服务器属性在 RADIUS 身份验证服务器上实施端口防火墙过滤器。这些过滤器可以动态应用于通过该服务器请求身份验证的请求方。RADIUS 服务器属性是当连接到交换机的请求方成功进行身份验证时,封装在从身份验证服务器发送到交换机的 Access-Accept 消息中的明文字段。作为验证者的交换机使用 RADIUS 属性中的信息将相关过滤器应用于请求方。动态过滤器可以应用于同一交换机上的多个端口,或者应用于使用相同身份验证服务器的多个交换机,从而为网络提供集中式访问控制。
您可以通过使用瞻博网络交换过滤器属性直接在 RADIUS 服务器上定义防火墙过滤器,这是瞻博网络特有的 RADIUS 属性,也称为供应商特定的属性 (VSA)。RFC 2138 中的 远程身份验证拨号用户服务 (RADIUS) 中介绍了 VSA。在 RADIUS 服务器上的瞻博网络字典中,瞻博网络交换过滤器 VSA 列在属性 ID 编号 48 下,供应商 ID 设置为瞻博网络 ID 编号 2636。使用这个属性,您可以在认证服务器上定义过滤器,这些过滤器会应用于通过该服务器验证请求方的所有交换机上。此方法无需在多台交换机上配置相同的过滤器。
或者,您可以使用 Filter-ID 属性(即 RADIUS 属性 ID 编号 11),将端口防火墙过滤器应用于同一交换机上的多个端口。要使用过滤器 ID 属性,必须先在交换机上配置过滤器,然后将过滤器名称作为过滤器 ID 属性的值添加到 RADIUS 服务器上的用户策略。当 RADIUS 服务器对在这些策略之一中定义的请求者进行身份验证时,过滤器将应用于已为请求方进行身份验证的交换机端口。当防火墙过滤器的条件复杂时,或者如果您希望对不同交换机上的同一过滤器使用不同的条件,请使用此方法。过滤器 ID 属性中名为的过滤器必须在 [edit firewall family ethernet-switching filter] 层次结构级别的交换机上本地配置。
仅 802.1X 单请求方配置和多个请求方配置支持 VSA。
另请参阅
了解使用 RADIUS 属性的动态 VLAN 分配
VLAN 可由 RADIUS 服务器动态分配给通过该服务器请求 802.1X 身份验证的请求方。您可以使用 RADIUS 服务器属性配置 VLAN,当请求方连接到交换机的请求方请求身份验证时,该明文字段封装在从身份验证服务器发送到交换机的消息中。作为验证者的交换机使用 RADIUS 属性中的信息将 VLAN 分配给请求方。根据身份验证结果,在一个 VLAN 中开始进行身份验证的请求者可能会被分配到另一个 VLAN。
成功身份验证要求在充当 802.1X 验证器的交换机上配置 VLAN ID 或 VLAN 名称,并且与 RADIUS 服务器在身份验证期间发送的 VLAN ID 或 VLAN 名称匹配。如果两者均不存在,则不会对终端设备进行身份验证。如果建立了访客 VLAN,则未经过身份验证的终端设备会自动移动到来宾 VLAN。
RFC 2868、 适用于隧道协议支持的 RADIUS 属性中描述的用于动态 VLAN 分配的 RADIUS 服务器属性。
隧道类型 — 定义为 RADIUS 属性类型 64。值应设置为
VLAN。隧道中型类型 — 定义为 RADIUS 属性类型 65。值应设置为
IEEE-802。隧道专用组 ID — 定义为 RADIUS 属性类型 81。值应设置为 VLAN ID 或 VLAN 名称。
有关在 RADIUS 服务器上配置动态 VLAN 的更多信息,请参阅 RADIUS 服务器的文档。
另请参阅
了解交换机上 802.1X 的访客 VLAN
可以在使用 802.1X 身份验证的交换机上配置访客 VLAN,以便为公司访客提供有限访问(通常仅对互联网)。在出现如下问题时,访客 VLAN 将用作回退:
请求方未启用 802.1X,并且不会响应 EAP 消息。
尚未在请求方连接的交换机接口上配置 MAC RADIUS 身份验证。
请求方所连接的交换机接口尚未配置强制门户。
访客 VLAN 不用于发送不正确证书的请求方。这些请求者被定向到服务器拒绝 VLAN。
对于未启用 802.1X 的终端设备,访客 VLAN 可以允许对服务器进行有限访问,而不支持 802.1X 的终端设备可以从该服务器下载请求方软件并再次尝试身份验证。
另请参阅
示例:当 RADIUS 服务器对 EX 系列交换机不可用时配置 802.1X 身份验证选项
服务器故障回退允许您指定当 RADIUS 身份验证服务器不可用时如何支持连接到交换机的 802.1X 请求者。
您可以使用 802.1X 来控制网络访问。仅允许提供已根据用户数据库验证的凭据的用户和设备(请求方)访问网络。您可以使用 RADIUS 服务器作为用户数据库。
此示例介绍如何配置接口,以在 RADIUS 服务器超时时将请求方移动到 VLAN:
要求
此示例使用以下软件和硬件组件:
此示例也适用于 QFX5100 交换机。
EX 系列交换机的 Junos OS 9.3 或更高版本
一台 EX 系列交换机充当验证方端口访问实体 (PAE)。验证方 PAE 上的端口会形成一个控制门,可阻止往返请求方的所有流量,直到它们通过身份验证。
一个 RADIUS 身份验证服务器,支持 802.1X。身份验证服务器充当后端数据库,其中包含有权连接到网络的主机(请求方)的证书信息。
将服务器连接到交换机之前,请确保您已:
在交换机上执行基本桥接和 VLAN 配置。请参阅有关为交换机设置基本桥接和 VLAN 的说明文档。如果您使用的交换机支持增强型第 2 层软件 (ELS) 配置样式,请参阅 示例:为具有 ELS 支持 或 功能的 EX 系列交换机设置基本桥接和 VLAN,示例:在交换机上设置基本桥接和 VLAN。有关所有其他交换机,请参阅示例:为 EX 系列交换机设置基本桥接和 VLAN。
注:有关 ELS 的更多信息,请参阅 使用增强型第 2 层软件 CLI。
在交换机和 RADIUS 服务器之间建立连接。请参阅 示例:将 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
身份验证服务器上已配置的用户。
概述和拓扑
如果请求方登录并尝试访问 LAN 时无法访问身份验证 RADIUS 服务器,将发生 RADIUS 服务器超时。使用服务器故障回退,您可以为尝试 LAN 访问的请求者配置备用选项。您可以将交换机配置为接受或拒绝请求者的访问,或者在 RADIUS 服务器超时之前保持已授予请求方的访问权限。此外,您还可以将交换机配置为在发生 RADIUS 超时时将请求者移动到特定 VLAN。
图 2 显示了用于此示例的拓扑。RADIUS 服务器连接到接入端口 ge-0/0/10上的 EX4200 交换机。交换机充当验证方端口访问实体 (PAE),并将凭据从请求方转发至 RADIUS 服务器上的用户数据库。交换机会阻止所有流量并充当控制门,直到请求方通过身份验证服务器进行身份验证。请求方通过接口 ge-0/0/1 连接到交换机。
这一数字也适用于 QFX5100 交换机。
表 3 介绍了此拓扑中的组件。
| 财产 | 设置 |
|---|---|
交换机硬件 |
EX4200 接入交换机,24 个千兆以太网端口:16 个非 PoE 端口和 8 个 PoE 端口。 |
VLAN 名称 |
default Vlan vlan-sf Vlan |
请求方 |
尝试在接口上访问请求者 ge-0/0/1 |
一台 RADIUS 服务器 |
后端数据库,其地址 10.0.0.100 在端口连接到交换机 ge-0/0/10 |
在此示例中,配置接口 ge-0/0/1,以在 RADIUS 超时期间尝试访问 LAN 的请求方转移到另一个 VLAN。RADIUS 超时会阻止 EAP 消息的正常交换,这些 EAP 消息将信息从 RADIUS 服务器携带到交换机,并允许对请求方进行身份验证。默认 VLAN 在接口 ge-0/0/1 上配置。发生 RADIUS 超时时,接口上的请求方将从默认 VLAN 移动到名为 vlan-sf 的 VLAN。
拓扑
配置
程序
CLI 快速配置
要快速配置交换机上的服务器故障回退,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit protocols dot1x authenticator] set interface ge-0/0/1 server-fail vlan-name vlan-sf
逐步过程
要配置接口,在发生 RADIUS 超时时将请求方转移到特定 VLAN(此处的 VLAN 为 vlan-sf):
定义请求方转移到的 VLAN:
[edit protocols dot1x authenticator] user@switch# set interface ge-0/0/1 server-fail vlan-name vlan-sf
结果
显示配置结果:
user@switch> show configuration
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members default;
}
}
}
}
protocols {
dot1x {
authenticator {
interface {
ge-0/0/1.0 {
server-fail vlan-name vlan-sf;
}
}
}
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证在 RADIUS 超时期间请求方是否已移动到备用 VLAN
目的
验证接口在 RADIUS 超时期间是否已将请求方移动到备用 VLAN。
在运行支持 ELS 的适用于 EX 系列的 Junos OS 的交换机上,命令的 show vlans 输出将包含更多信息。如果交换机运行的软件支持 ELS,请参阅 show vlans。有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLI
行动
显示交换机上配置的 VLAN;接口 ge-0/0/1.0 是 VLAN 的成员 default :
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/0.0, ge-0/0/1.0*, ge-0/0/5.0*, ge-0/0/10.0,
ge-0/0/12.0*, ge-0/0/14.0*, ge-0/0/15.0, ge-0/0/20.0
v2 77
None
vlan—sf 50
None
mgmt
me0.0*
在交换机上显示 802.1X 协议信息,以查看在接口 ge-0/0/1.0上经过身份验证的请求方:
user@switch> show dot1x interface brief 802.1X Information: Interface Role State MAC address User ge-0/0/1.0 Authenticator Authenticated 00:00:00:00:00:01 abc ge-0/0/10.0 Authenticator Initialize ge-0/0/14.0 Authenticator Connecting ge-0/0/15.0 Authenticator Initialize ge-0/0/20.0 Authenticator Initialize
RADIUS 服务器超时。显示以太网交换表,以显示之前通过 default VLAN 访问 LAN 的 MAC 地址00:00:00:00:00:01请求者现在正在名为的 VLAN vlan-sf上学习:
user@switch> show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned VLAN MAC address Type Age Interfaces v1 * Flood - All-members vlan—sf 00:00:00:00:00:01 Learn 1:07 ge-0/0/1.0 default * Flood - All-members
显示 802.1X 协议信息,以显示接口 ge-0/0/1.0 正在连接,并将打开对请求者的 LAN 访问权限:
user@switch> show dot1x interface brief
802.1X Information:
Interface Role State MAC address User
ge-0/0/1.0 Authenticator Connecting
ge-0/0/10.0 Authenticator Initialize
ge-0/0/14.0 Authenticator Connecting
ge-0/0/15.0 Authenticator Initialize
ge-0/0/20.0 Authenticator Initialize
含义
命令将 show vlans 接口 ge-0/0/1.0 显示为 VLAN 的成员 default 。命令 show dot1x interface brief 显示请求方 (abc) 在接口 ge-0/0/1.0 上经过身份验证,并具有 MAC 地址 00:00:00:00:00:01。RADIUS 服务器超时,交换机无法访问身份验证服务器。命令 show-ethernet-switching table 显示,MAC 地址 00:00:00:00:00:01 是在 VLAN vlan-sf上学习的。请求方已从 default VLAN 移动到 vlan-sf VLAN。然后,请求方通过名为 vlan-sf的 VLAN 连接到 LAN。
示例:在 EX 系列交换机上为 EAP-TTLS 身份验证和 Odyssey 接入客户端配置回退选项
对于 802.1X 用户身份验证,EX 系列交换机支持使用可扩展身份验证协议隧道 TLS (EAP-TTLS) 对 Odyssey 接入客户端 (OAC) 请求方进行身份验证的 RADIUS 身份验证服务器。OAC 网络软件在端点计算机(台式、笔记本电脑或记事本计算机和支持的无线设备)上运行,并提供对有线和无线网络的安全访问。
此示例介绍如何在交换机上配置支持 802.1X 的接口,以便为输入错误的登录凭据的 OAC 用户提供回退支持:
要求
此示例使用以下软件和硬件组件:
此示例也适用于 QFX5100 交换机。
EX 系列交换机的 Junos OS 11.2 或更高版本
一台 EX 系列交换机充当验证方端口访问实体 (PAE)。验证方 PAE 上的端口会形成一个控制门,可阻止往返请求方的所有流量,直到它们通过身份验证。
一个 RADIUS 身份验证服务器,支持 802.1X。身份验证服务器充当后端数据库,其中包含有权连接到网络的主机(请求方)的证书信息。
一个 OAC 终端设备充当请求方。
开始配置回退选项之前,请确保您已:
在交换机和 RADIUS 服务器之间建立连接。请参阅 示例:将 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
在服务器上配置了 EAP-TTLS。请参阅 RADIUS 服务器文档。
RADIUS 服务器上已配置的用户。请参阅 RADIUS 服务器文档。
概述和拓扑
OAC 是在端点计算机(台式、笔记本电脑或记事本)和支持的无线设备上运行的网络软件。OAC 提供对 EAP 的全面支持,这是安全无线 LAN 访问所必需的。
在此拓扑中,OAC 部署了一台支持 802.1X 的交换机和一台 RADIUS 服务器。交换机充当网络安全架构中的实施点。此拓扑结构:
确保只有授权用户才能连接。
维护登录凭据的隐私。
通过无线链路维护数据隐私。
此示例包括在交换机上配置服务器拒绝 VLAN,这可用于防止输入错误的登录凭据的用户意外锁定。可以向这些用户提供有限的 LAN 访问权限。
但是,由于 OAC 请求方和 RADIUS 服务器正在使用 EAP-TTLS,这种回退配置很复杂。EAP-TTLS 在服务器和终端设备之间创建安全加密隧道,以完成身份验证过程。当用户输入的登录凭据不正确时,RADIUS 服务器通过此隧道直接向客户端发送 EAP 故障消息。EAP 故障消息会使客户端重新启动身份验证过程,从而使交换机的 802.1X 身份验证进程中断使用服务器拒绝 VLAN 与交换机建立的会话。您可以通过配置以下配置来启用修复连接以继续:
eapol-block- 在配置为属于服务器拒绝 VLAN 的 802.1X 接口上启用 EAPoL 块计时器。阻止计时器会使身份验证端口访问实体忽略客户端的 EAP 启动消息,从而尝试重新启动身份验证过程。
注:仅在 802.1X 接口上配置的允许重新模板数(使用 retries 选项)耗尽后,才会触发 EAPoL 块计时器。您可以进行配置 retries ,以指定交换机在首次失败后尝试对端口进行身份验证的次数。默认为三次重试。
block-interval-配置您希望 EAPoL 块计时器继续忽略 EAP 启动消息的时间量。如果未配置阻止间隔,EAPoL 块计时器默认为 120 秒。
当 802.1X 接口忽略客户端的 EAP 启动消息时,交换机将允许通过服务器拒绝 VLAN 建立的现有补救会话保持打开状态。
这些配置选项适用于单一、单安全和多个请求方身份验证模式。在此示例中,802.1X 接口配置为单请求模式。
图 3 显示了将 OAC 终端设备连接到 RADIUS 服务器的 EX 系列交换机,并指示用于连接网络实体的协议。
这一数字也适用于 QFX5100 交换机。
拓扑
表 4 介绍了此 OAC 部署中的组件:。
| 财产 | 设置 |
|---|---|
交换机硬件 |
EX 系列交换机 |
VLAN |
default server-reject-vlan: VLAN 名称为 remedial ,VLAN ID 为 700 |
802.1X 接口 |
ge-0/0/8 |
OAC 请求者 |
EAP-TTLS |
一台 RADIUS 身份验证服务器 |
EAP-TTLS |
配置
程序
CLI 快速配置
要为 EAP-TTLS 和 OAC 请求者快速配置回退选项,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set vlans remedial vlan-id 700 set protocols dot1x authenticator interface ge-0/0/8 retries 4 set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan remedial set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan eapol-block set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan block-interval 130
逐步过程
要为 EAP-TTLS 和 OAC 请求者配置回退选项:
在此示例中,交换机只有一个服务器拒绝 VLAN。因此,配置将指定 eapol-block 并 block-interval 直接在之后 server-reject-vlan。但是,如果在交换机上配置了多个 VLAN,则必须在之后直接 server-reject-vlan 包含 VLAN 名称或 VLAN ID,以指示正在修改的 VLAN。
配置一个用作服务器拒绝 VLAN 的 VLAN,为输入错误的登录凭据的用户提供有限的 LAN 访问:
[edit] user@switch# set vlans remedial vlan-id 700
配置在将错误的登录定向到服务器拒绝 VLAN 之前,客户端被提示输入用户名和密码的次数:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set retries 4
配置 802.1X 验证方接口,以将服务器拒绝 VLAN 用作错误登录的回退:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan remedial
在配置为属于服务器拒绝 VLAN 的 802.1X 接口上启用 EAPoL 块计时器。
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan eapol-block
配置 EAPoL 块保持有效的时间:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan block-interval 130
结果
检查配置结果:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
retries 4;
server-reject-vlan remedial block-interval 130 eapol-block;
}
验证
要确认配置和回退选项工作正常,请执行以下任务:
验证 802.1X 接口的配置
目的
验证 802.1X 接口是否已配置所需选项。
行动
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 4
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 120 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPoL requests: 2
Guest VLAN member: guest
Number of connected supplicants: 1
Supplicant: tem, 2A:92:E6:F2:00:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Radius
Authenticated VLAN: remedial
Session Reauth interval: 120 seconds
Reauthentication due in 68 seconds
含义
命令 show dot1x ge-0/0/8 detail 输出显示 ge-0/0/8 接口处于状态 Authenticated ,并且正在使用 remedial VLAN。
监控 802.1X 身份验证
目的
本主题仅适用于 J-Web 应用程序包。
使用监控功能可显示经过身份验证的用户和身份验证失败的用户的详细信息。
行动
要在 J-Web 界面中显示身份验证详细信息,请选择 Monitoring “> Security > 802.1X”。
要显示 CLI 中的身份验证详细信息,请输入以下命令:
show dot1x interface detail | display xmlshow dot1x interface detail <interface> | display xmlshow dot1x auth-failed-users
含义
显示的详细信息包括:
经过身份验证的用户列表。
连接用户数。
身份验证失败的用户列表。
您还可以指定必须显示详细信息的接口。
另请参阅
验证 802.1X 身份验证
目的
验证为 802.1X 身份验证配置的交换机上的接口上请求是否正在接受身份验证,并显示正在使用的身份验证方法。
行动
显示有关为 802.1X 配置接口的详细信息(此处,接口为 ge-0/0/16):
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: v200
Reauthentication due in 17 seconds含义
命令的示例输出 show dot1x interface detail 显示为 Number of connected supplicants 1。经过身份验证并现在连接到 LAN 的请求方在 RADIUS 服务器上称为 user5 ,并具有 MAC 地址 00:30:48:8C:66:BD。如输出中所示 Radius ,请求方会使用称为 RADIUS 身份验证的 802.1X 身份验证方法进行验证。使用 RADIUS 身份验证时,请求方在 RADIUS 服务器上配置,RADIUS 服务器将此通信给交换机,交换机将在请求方连接的接口上打开 LAN 访问。示例输出还显示请求方已连接到 VLAN v200。
除了 RADIUS 身份验证外,EX 系列交换机上支持的其他 802.1X 身份验证方法包括:
访客 VLAN — 为非响应主机授予访客 VLAN 访问权限。
MAC Radius — 会根据其 MAC 地址对无响应的主机进行身份验证。MAC 地址在 RADIUS 服务器上配置为允许的,RADIUS 服务器会通知交换机 MAC 地址是允许的地址,并且交换机向所连接的接口上的非响应主机授予 LAN 访问权限。
服务器失败拒绝 — 如果 RADIUS 服务器超时,将拒绝所有请求方访问 LAN,从而阻止请求者的流量遍历接口。这是默认设置。
服务器故障许可 — 当 RADIUS 服务器不可用时,请求方仍然可以访问 LAN,就像请求方已成功通过 RADIUS 服务器进行身份验证一样。
服务器失败使用缓存 — 如果 RADIUS 服务器在重新验证期间超时,则之前经过身份验证的请求者将被授予 LAN 访问权限,但新的请求者将被拒绝 LAN 访问。
服务器故障 VLAN — 如果 RADIUS 服务器无法对请求方进行重新验证,则请求方被配置为移动到指定的 VLAN。(交换机上必须已存在 VLAN。)
另请参阅
EX 系列交换机上终端设备身份验证的故障排除
问题
说明
运行 clear dot1x 接口命令以清除所有学习到的 MAC 地址之后,使用静态 MAC 地址配置的终端设备会失去与交换机的连接。
清除 MAC 地址之前:
user@switch# run show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members default 00:a0:d4:00:03:00 Learn 0 ge-3/0/16.0 user@switch> show dot1x authentication-bypassed-users MAC address Interface VLAN 00:a0:d4:00:03:00 ge-3/0/16.0 configured/default
要清除 MAC 地址:
user@switch> clear dot1x interface
清除 MAC 地址后:
user@switch> show ethernet-switching table Ethernet-switching table: 2 entries, 0 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members user@switch> show dot1x authentication-bypassed-users
请注意,身份验证旁路列表中没有终端设备。
原因
静态 MAC 地址与接口上其他学习的 MAC 地址相同。当运行 clear dot1x 接口命令时,它会清除接口中学习的所有 MAC 地址,包括静态 MAC 旁路列表(也称为排除列表)。
解决方案
如果为配置了用于身份验证旁路的静态 MAC 地址的接口运行清晰的 dot1x 接口命令,请将静态 MAC 地址重新添加到静态 MAC 旁路列表中。
另请参阅
802.1X 支持的 RADIUS 属性和瞻博网络供应商特定属性 (VSA)
802.1X 身份验证(RADIUS 服务器)涉及验证方(网络访问服务器)、请求方(客户端)和身份验证服务器。RADIUS 协议用作 NAS 和 Radius-服务器之间通信的请求/响应机制。请求和 esponses 中都有零个或多个类型长度值 (TLV/属性)。
通过使用 802.1X 启用的一组标准定义的功能和供应商特定的属性,可以限制每个申请人的访问。(客户端)。某些属性可能会多次使用,以支持更长的值,因为 Radius Class 属性的最大大小为 253 字节。
使用 RADIUS 标准属性和 VSA 的优势
要与外部 RADIUS 服务器连接以实现订阅者身份验证、授权和计费,需要 RADIUS 标准属性。
VSA 支持实施订阅者管理和服务支持所需的大量宝贵功能,从而将 RADIUS 服务器的功能扩展到公共标准属性提供的功能之外。
802.1X 支持的 Radius 属性和 VSA 列表
| 类型 | 属性 |
|---|---|
|
1 |
用户名 |
|
11 |
过滤器 ID |
|
24 |
省/市/自治区 |
|
25 |
类 |
|
26 |
特定供应商 |
|
27 |
会话超时 |
|
56 |
出口-VLANID |
|
57 |
出口 VLAN 名称 |
|
64 |
隧道类型 |
|
65 |
中型隧道类型 |
|
81 |
隧道专用组 ID |
|
85 |
临时间隔 |
|
102 |
EAP 密钥名称 |
| 供应商 ID | 编号 | 瞻博网络 VSA | Microsoft VSA | Cisco VSA |
|---|---|---|---|---|
| 2636 | 48 | 瞻博网络交换过滤器 | ||
| 49 | 瞻博网络-VoIP-Vlan | |||
| 50 | 瞻博网络-CWA-重定向-URL | |||
| 52 幢 | 瞻博网络-AV-对 = 端口反弹 |
|||
|
Juniper-AV-pair = 瞻博网络 Ip-Mac-Session-Binding |
||||
|
Juniper-AV-Pair = No-Mac-Binding-Reauth |
||||
|
瞻博网络-AV-对 = 请求方模式-单 |
||||
|
瞻博网络-AV-对 = 请求方模式-单安全 |
||||
|
瞻博网络-AV-对 = Retain-Mac-老化-会话 |
||||
| 311 | 16 | MS-MPPE-发送密钥 | ||
| 17 | MS-MPPE-Recv-Key | |||
| 9 | 1 |
Cisco-AVPair = “subscriber:command=bounce-host-port” |
||
|
Cisco-AVPair = “subscriber:command=reauthenticate” |
||||
|
Cisco-AVPair = “subscriber:reauthenticate-type=rerun” |
||||
| “subscriber:reauthenticate-type=last” | ||||
| “url 重定向” |
802.1X 支持的 RADIUS 属性
用户名:
此属性表示必须验证的用户的姓名。如果可用,必须使用访问请求数据包来发送此属性。此属性的 RADIUS 类型为 1。
过滤器 ID:
在 RADIUS 服务器上,用户策略可能受防火墙过滤器的约束。然后,可以使用 RADIUS 服务器指定防火墙过滤器,以应用于提交身份验证请求的每个用户。每台交换机都需要配置防火墙过滤器。
You must set up firewall filter on the local switch in order to apply filter centrally from the RADIUS server.[root@freeradius]# cd /usr/local/pool/raddb vi users
为每个相关用户添加过滤器。
Filter-Id = Filter1
州/省:
在设备和 RADIUS 服务器之间,可以使用 String 属性保留状态信息。此属性的 RADIUS 类型为 24。
出口-VLANID:
此端口允许的 IEEE 802 出口 VLANID 由 Egress-VLANID 属性表示,该属性还指定除了 VLANID 外,是否允许对标记或未标记的帧使用 VLANID。出口-VLANID 属性在 RFC 4675 中定义。
Access-Request、Access-Accept 或 CoA-Request 数据包的出口-VLANID 属性可能包含多个值。无访问质询、访问拒绝、断开连接请求、断开连接-ACK、断开连接-NAK、CoA-ACK 或 CoA-NAK 可能包括此特性。每个属性都会将提供的 VLAN 添加到端口的允许出口 VLAN 列表中。
如果 VLAN 上的帧已标记 (0x31) 或未标记 (0x31),则标记指示字段(长度为一个八位位字节)将将其声明。VLANID 的长度为 12 位,其中包含 VLAN VID 值。
对于出口 VLAN-ID:
0x31 = tagged 0x32 = untagged
例如,以下 RADIUS 配置文件包括一个已标记和一个未标记的 VLAN:
001094001177 Cleartext-Password := "001094001177" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLANID += 0x3100033, Egress-VLANID += 0x3200034,
出口 VLAN 名称:
出口 VLAN 名称表示此端口允许的 VLAN。但是,与出口 VLANID 属性类似,VLAN 名称用于识别系统内的 VLAN,而不是使用定义或已知的 VLAN ID。RFC 4675 包含出口 VLAN 名称属性的定义。
VLAN 名称是两部分 Egress-VLAN Name 属性的第二部分,它还指定此端口 VLAN 上的帧应以标记格式还是未标记格式显示。
对于出口 VLAN 名称:1 = 已标记,2 = 未标记
The example below shows that VLAN 1vlan-2 is tagged, while VLAN 2vlan-3 is not.001094001144 Cleartext-Password := "001094001144" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
隧道类型:
该属性可指定当前使用的隧道协议或将使用的隧道协议(如果是隧道发起方)(如果是隧道终止符)。RFC 2868 指定隧道类型属性。此属性的 RADIUS 类型为 64
Tunnel-private-Group-ID:
该会话的 VLAN ID 或名称由隧道-中型类型属性显示。从 radius 获取隧道专用组 ID 属性提供的值后,设备会验证接收的字符串是 VLAN 名称还是 ID,并检查设备是否使用 VLAN 进行设置。
如果配置了 VLAN,则会将客户端端口添加到该 VLAN 中。否则,由于 VLAN 验证失败,客户端将不获允许,并将保持保留状态。
根据 RFC 2868,此属性的 RADIUS 类型为 81。
[root@freeradius]# cat /usr/local/etc/raddb/users supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005",
临时间隔:
Acct-Interim-Interval 属性的值表示特定会话的临时更新每次传输之间的时间间隔(以秒为单位)。自上次核算更新消息以来经过的秒数是此属性的值。
管理员也可以在 RADIUS 客户端上本地设置一个默认值,但此值始终优先于在 Access-Accept 数据包中检测到的任何 Acct-临时间隔值。此属性的 RADIUS 类型为 85。
瞻博网络 VSA
瞻博网络交换过滤器:
RADIUS 服务器上的瞻博网络字典中的瞻博网络交换过滤器属性允许您指定简单的过滤器标准。之后,只要新用户获得成功授权,这些过滤器就被交付到交换机上。
使用 RADIUS 服务器进行用户身份验证的交换机会自动构造和应用过滤器,而无需任何交换机特定的配置。在 RADIUS 服务器中输入一个或多个匹配条件、操作和用户关联,以配置瞻博网络交换过滤器属性。
对于较长的交换过滤器,请使用瞻博网络交换过滤器属性的多个实例,最大限制为 20 个匹配条件,最大总大小为 4000 个字符。任何 radius 属性的最大长度为 253 个字符,因此“瞻博网络交换过滤器”属性的每行也应该小于 253 个字符。
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter = "match src-tag dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow ", Juniper-Switching-Filter += "match src-port 500 dst-port 600 src-tag [ 100, 200 ] action allow ", Juniper-Switching-Filter += "match ip-proto src-port 9090 ip-proto [ 25 17] action allow ", Juniper-Switching-Filter += "match src-port 100-120 200-220 300-320 src-tag ip-proto 26 18 action allow ", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000 ] ip-proto 240 action allow "
支持以下过滤器匹配条件:
· destination-mac / dst-mac · destination-port / dst-port · destination-ip / dst · ip-protocol / ip-proto · source-port / src-port · source-dot1q-tag / src-tag · ether-type
- Allow · Deny · GBP · Trap to CPU · Loss-Priority · Forwarding-Class
i) 验证瞻博网络词典是否已加载到 RADIUS 服务器上,并包括过滤属性 Juniper-Switching-Filter,属性 ID 48:
[root@freeradius]# cat /usr/local/share/freeradius/dictionary.juniper # dictionary.juniper # $ # VENDOR Juniper 2636 BEGIN-VENDOR Juniper ATTRIBUTE Juniper-Local-User-Name 1 string ATTRIBUTE Juniper-Allow-Commands 2 string ATTRIBUTE Juniper-Deny-Commands 3 string ATTRIBUTE Juniper-Allow-Configuration 4 string ATTRIBUTE Juniper-Deny-Configuration 5 string ATTRIBUTE Juniper-Switching-Filter 48 string ATTRIBUTE Juniper-VoIP-Vlan 49 string ATTRIBUTE Juniper-CWA-Redirect 50 string ATTRIBUTE Juniper-AV-Pair 52 string END-VENDOR Juniper
ii) 输入匹配条件和操作。
[root@freeradius]# cd /usr/local/etc/raddb vi users
对于每个相关用户,请添加 Juniper-Switching-Filter 属性。要根据目标 MAC 拒绝或允许访问,请使用
Juniper-Switching-Filter = "Match Destination mac 00:00:00:01:02:03 Action allow",
或者
Juniper-Switching-Filter = "Match Destination-mac 00:00:00:01:02:03 Action deny",
要基于目标 IP 地址拒绝或允许访问:
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action deny"
或者
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action allow"
要发送具有不同匹配项和操作的多个过滤器:
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter += "Match Ip-protocol 1 Destination-port 53 Action allow,", Juniper-Switching-Filter += "Match ip-proto [ 17, 25 ] dst-port 53 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 2 src-port 67 Action allow,", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000] action deny,", Juniper-Switching-Filter += "Match destination-port 23 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 6 Destination-port 80 Action trap,",
或者
Juniper-Switching-Filter = "Match Ip-protocol 6 Destination-port 53 Action allow , Match Ip-protocol [ 17 25] Destination-port 53 Action allow , Match Ether-type [2054-2070] Action deny, Match Ip-protocol 6 Destination-port 443 Action trap"
要根据目标 MAC 地址和 IP 协议将数据包丢失优先级 (PLP) 设置为高:
Juniper-Switching-Filter = "match destination-mac 00:04:0f:fd:ac:fe, ip-protocol 2, forwarding-class high, action loss-priority high"
必须在交换机上设置转发类,使转发类选项生效。如果未在交换机上指定此选项,则不会使用此选项。必须指定数据包丢失优先级和转发类。
瞻博网络 VoIP-Vlan:
VOIP vlan 是在接入-accept 消息或 COA 请求消息中使用 VSA Juniper-VoIP-Vlan 从 radius 服务器检索的。此属性编号为 49。
Juniper-VoIP-Vlan = "voip_vlan"
VoIP 允许您将 IP 电话连接到交换机,并为兼容 802.1X 的 IP 电话设置 IEEE 802.1X 身份验证。
得益于 802.1X 身份验证,以太网 LAN 将免受非法用户访问。VoIP 协议用于通过数据包交换网络传输语音。与模拟电话线不同,VoIP 使用网络连接来传输语音呼叫。当 VoIP 与 802.1X 一起使用时,RADIUS 服务器会验证电话的身份,而链路层发现协议-媒体端点发现 (LLDP-MED) 则为电话提供服务等级 (CoS) 参数。
Juniper-CWA-重定向:
使用瞻博网络 RADIUS 字典中的属性编号为 50 的瞻博网络-CWA-重定向 VSA,可以在 AAA 服务器上集中配置重定向 URL。动态防火墙过滤器和 URL 均由 AAA 服务器传递到同一 RADIUS Access-Accept 消息中的交换机。作为一种备份身份验证机制,中央 Web 身份验证 (CWA) 会将主机的 Web 浏览器重定向到中央 Web 身份验证服务器。用户可以在 CWA 服务器的 Web 界面上输入用户名和密码。如果 CWA 服务器接受其凭据,用户将经过身份验证,并授予用户访问网络权限。
主机未通过 MAC RADIUS 身份验证后,将使用中央 Web 身份验证。作为验证者的交换机从 AAA 服务器接收 RADIUS Access-Accept 消息,其中包含动态防火墙过滤器和用于中央 Web 身份验证的重定向 URL。
要激活中央 Web 身份验证过程,需要同时存在重定向 URL 和动态防火墙过滤器。要使用瞻博网络交换过滤器 VSA 进行集中 Web 身份验证,您必须直接在 AAA 服务器上配置过滤条款。过滤器必须包含一个术语,以便与 CWA 服务器的目标 IP 地址与操作允许匹配。
例如:
001122334455 Auth-Type := EAP, Cleartext-Password :="001122334455" Session-Timeout = "300", Juniper-CWA-Redirect-URL = "https://10.10.10.10", Juniper-Switching-Filter = "Match Destination-ip 10.10.10.10 Action allow, Match ip-protocol 17 Action allow, Match Destination-mac 00:01:02:33:44:55 Action deny"
对于重定向 URL,交换机无法解析 DNS 查询。要启用 CWA 服务器的目标 IP 地址,必须配置 Juniper-Switching-Filter 属性。
瞻博网络-AV-对:
Juniper-AV-Pair 属性是瞻博网络供应商特定的属性 (VSA)。为了提供订阅者管理和服务支持所需的大量重要功能,它用于增强 RADIUS 服务器的功能,使其超越公共标准属性提供的功能。
i) 端口反弹:
使用 CoA 反弹主机端口命令,会话将结束,端口被弹跳(发起链路关闭事件,然后发起链路上升事件)。请求由 radius 服务器在典型的 CoA 请求消息中发送,VSA 如下所示:
Juniper-AV-Pair = "Port-Bounce".
此命令需要“会话标识”部分列出的一个或多个会话识别属性,因为它面向会话。如果找不到会话,设备会发送带有错误代码属性“未找到会话上下文”的 CoA-NAK 消息。
设备关闭托管端口 4 秒,再次启用(端口反弹),然后在已找到会话时返回 CoA-ACK。
ii) Ip-Mac-Session-Binding:
当设备的 MAC 地址已老化且需要重新学习时,此功能用于阻止该设备的身份验证会话终止。我们从访问-接受或 COA 请求消息上的 VSA 瞻博网络 AV 对接收此属性值。
使用以下两个属性-值对配置 RADIUS 服务器,以便维护基于 IP-MAC 地址绑定的身份验证会话。
Juniper-AV-Pair = "IP-Mac-Session-Binding Juniper-AV-Pair = "No-Mac-Binding-Reauth"
iii) 无 Mac-Binding-重新验证:
这用于阻止客户端重新身份验证,并在设备的 MAC 地址过时时阻止身份验证会话终止。此值通过访问-接受或 COA 请求消息上的 VSA 瞻博网络 AV 对发送给我们。
Juniper-AV-Pair = "No-Mac-Binding-Reauth" Detailed information is provided in the document: Retain the Authentication Session Using IP-MAC Bindings
iv) 请求方模式单:
The device switches from the current set mode to single in response to receiving this attribute-value from a VSA Juniper-AV-Pair on an access-accept or COA request message.Juniper-AV-Pair = "Supplicant-Mode-Single"
v) 请求方模式-单安全:
设备会从当前设置模式切换到单安全模式,以响应从访问-accept 或 COA 请求消息上的 VSA Juniper-AV-Pair 接收此属性值。
Juniper-AV-Pair = "Supplicant-Mode-Single-Secure"
vi) 保留 Mac-老化会话:
If this attribute-value is received from a VSA Juniper-AV-Pair on an access-accept message for an 802.11X client, the client stays active even if the mac has aged out, and the mac is re-learned.Juniper-AV-Pair = "Retain-Mac-Aged-Session"
MS-MPPE-Send-Key & MS-MPPE-Recv-Key:
These are the MACSEC CAK generation keys together with the EAP key name that are utilised in dynamic CAK scenarios.Cisco-AVPair:
Cisco Systems, IANA private enterprise number 9, uses a single VSA, Cisco-AVPair (26-1). Based on the values it has, this VSA transmits various pieces of information. In some subscriber access networks with a BNG connected to a RADIUS server and a Cisco BroadHop application that serves as the Policy Control and Charging Rules Function (PCRF) server for provisioning services using RADIUS change of authorization (CoA) messages, you can use this VSA in RADIUS messages to activate and deactivate services.当 BNG 提供 RADIUS 消息时,您无法更改核算、CoA 或身份验证答案中的任何属性。
i) Cisco-AVPair = “subscriber:command=bounce-host-port”
会话结束,端口通过 CoA 反弹主机端口命令(发起链路关闭事件,然后发起链路 UP 事件)。请求由 AAA 服务器在典型的共同A 请求消息中发送,并使用以下 VSA。
Cisco:Avpair=“subscriber:command=bounce-host-port”
此命令需要“会话标识”部分列出的一个或多个会话识别属性,因为它面向会话。如果找不到会话,设备会发送带有错误代码属性“未找到会话上下文”的 CoA-NAK 消息。设备关闭托管端口 4 秒,再次启用(端口反弹),然后在已找到会话时返回 CoA-ACK。
ii) Cisco-AVPair 重新验证命令
要启动会话身份验证,AAA 服务器会发送一条标准 CoA 请求消息,其中包含以下 VSA:
Cisco:Avpair=“subscriber:command=reauthenticate” Cisco:Avpair=“subscriber:reauthenticate-type=<last | rerun>”
reauthenticate-type 定义 CoA 重新身份验证请求是使用上次在会话上成功的身份验证方法,还是完全重新运行身份验证过程。
"subscriber:command=reauthenticate" 必须到场才能导致重新身份验证。如果未给出“subscriber:reauthenticate-type”,则默认操作是重复之前用于会话的成功身份验证方法。如果方法成功重新验证,则以前的所有授权数据都会交换为新重新验证的授权数据。
仅当“subscriber:command=reauthenticate”也出现时,“subscriber:reauthenticate-type”才有效。如果 VSA 包含在其他 CoA 命令中,则将其忽略。