802.1X 身份验证
IEEE 802.1X 标准,用于基于端口的网络接入控制,并保护以太网 LAN 免遭未经授权的用户访问。它可阻止在接口处与请求方(客户端)之间的所有流量,直至请求方的凭据在认证服务器(RADIUS 服务器)上显示并匹配。请求方经过身份验证后,交换机将停止阻止访问,并打开请求方的接口。有关更多信息,请阅读本主题。
802.1X 交换机概述
802.1X 身份验证的工作原理
802.1X 身份验证的工作原理是使用认证器端口访问实体(交换机)阻止来自端口请求方(最终设备)的入口流量,直至请求方的凭据在身份验证服务器(RADIUS 服务器)上显示并匹配。经过身份验证后,交换机将停止阻止信息流,并将端口打开至请求方。
终端设备在 单 请求模式、 单安全 请求模式或 多 请求模式下进行身份验证:
单一请求方 — 仅对第一端设备进行身份验证。稍后连接到端口的所有其他终端设备均可完全访问,无需任何进一步身份验证。它们实际上在第一端设备的身份验证上 回传 。
单一安全请求方 — 仅允许一个终端设备连接到端口。在第一台设备注销之前,不允许其他终端设备连接。
多请求方 — 允许多个终端设备连接到端口。每个终端设备都经过单独认证。
通过使用 VLAN 和防火墙过滤器进一步定义网络访问,这两者都可以作为过滤器,将终端设备组分开并匹配到所需的 LAN 区域。例如,您可以配置 VLAN 以处理不同类别的身份验证故障,具体取决于:
无论终端设备是否支持 802.1X。
是否在主机连接的交换机接口上配置 MAC RADIUS 身份验证。
无论是 RADIUS 身份验证服务器不可用,还是发送 RADIUS 访问拒绝消息。请参阅 配置 RADIUS 服务器故障回退(CLI 过程)。
802.1X 功能概述
瞻博网络以太网交换机支持以下 802.1X 功能:
访客 VLAN — 对于未在连接到主机的交换机接口上配置 MAC RADIUS 身份验证时未启用 802.1X 的非响应式终端设备,对 LAN(通常仅对互联网)的限量访问。此外,访客 VLAN 可用于为访客用户提供对 LAN 的有限访问。访客 VLAN 通常仅提供对互联网和其他访客终端设备的访问。
服务器拒绝 VLAN — 为支持 802.1X 但发送错误凭据的响应式终端设备提供对 LAN 的有限访问(通常仅针对互联网)。如果使用服务器拒绝 VLAN 进行身份验证的终端设备是 IP 电话,则不允许语音信息流。
服务器故障 VLAN — 在 RADIUS 服务器超时期间,为 802.1X 终端设备提供对 LAN 的有限访问,通常仅适用于互联网。
动态 VLAN — 认证后启用终端设备以动态方式成为 VLAN 的成员。
专用 VLAN — 在专用 VLAN (PVLAN) 成员接口上启用 802.1X 身份验证配置。
用户会话的动态更改 — 允许交换机管理员终止已认证的会话。此功能基于 RFC 3576 中定义的 RADIUS 断开消息的支持。
VoIP VLAN — 支持 IP 电话。在 IP 电话上实施语音 VLAN 特定于供应商。如果手机支持 802.1X,则与任何其他请求方一样经过身份验证。如果手机未支持 802.1X,但已连接到其数据端口的另一个兼容 802.1X 的设备,则该设备将经过身份验证,然后 VoIP 流量可以流向手机(前提是接口配置为单请求模式,而非单安全请求模式)。
注:不支持在专用 VLAN (PVLAN) 接口上配置 VoIP VLAN。
RADIUS 计费 — 将计费信息发送至 RADIUS 计费服务器。只要订阅者登录或注销,以及当订阅者激活或停用订阅时,计费信息就会发送至服务器。
802.1X 的 RADIUS 服务器属性 — 这是
Juniper-Switching-Filter一种特定于供应商的属性 (VSA),可在 RADIUS 服务器上配置,以便在 802.1X 身份验证过程中进一步定义请求方的访问。集中配置身份验证服务器上的属性时,不需要在 LAN 中请求方可能连接到 LAN 的每个交换机上以防火墙过滤器的形式配置这些相同的属性。此功能基于 RLI 4583、AAA RADIUS BRAS VSA 支持。
支持以下功能来验证未支持 802.1X 的设备:
静态 MAC 旁路 — 提供一种旁路机制,用于验证未支持 802.1X 的设备(如打印机)。静态 MAC 旁路通过 802.1X 身份验证将这些设备连接到支持 802.1X 的端口。
MAC RADIUS 身份验证 — 提供一种允许不支持 802.1X 的主机访问 LAN 的方法。MAC-RADIUS 使用客户端的 MAC 地址作为用户名和密码,模拟客户端设备的请求方功能。
中继端口上的 802.1X 身份验证
从 Junos OS 18.3R1 版开始,您可以在中继接口上配置 802.1X 身份验证,允许网络接入设备 (NAS) 对接入点 (AP) 或其他连接的第 2 层设备进行身份验证。连接到 NAS 的 AP 或交换机将支持多个 VLAN,因此必须连接到中继端口。在中继接口上启用 802.1X 身份验证可保护 NAS 免遭安全漏洞,攻击者可能会断开接入点连接并连接便携式计算机,从而为所有配置的 VLAN 免费访问网络。
在中继接口上配置 802.1X 身份验证时,请注意以下注意事项。
中继接口上仅支持单个和单一安全请求模式。
您必须在中继接口上本地配置 802.1X 身份验证。如果使用
set protocol dot1x interface all命令全局配置 802.1X 身份验证,则配置不应用于中继接口。中继接口不支持动态 VLAN。
中继接口不支持访客 VLAN 和服务器拒绝 VLAN。
中继接口不支持 VoIP 客户端的服务器故障回退 (
server-fail-voip)。不支持使用强制门户在中继端口上进行身份验证。
中继端口上的认证在聚合接口上不受支持。
中继端口不支持在作为专用 VLAN (PVLAN) 成员的接口上配置 802.1X 身份验证。
第 3 层接口上的 802.1X 身份验证
从 Junos OS 20.2R1 版开始,您可以在第 3 层接口上配置 802.1X 身份验证。在第 3 层接口上配置 802.1X 身份验证时,请注意以下注意事项:
仅支持支持支持 EAP 的客户端。
仅支持单个请求模式。
您必须在第 3 层接口上本地配置 802.1X 身份验证。如果使用
set protocol dot1x interface all命令全局配置 802.1X 身份验证,则配置不应用于第 3 层接口。对第 3 层接口的支持不包括 IRB 或子接口。
不支持访客 VLAN、服务器拒绝 VLAN 和服务器故障 VLAN。
不支持 VoIP 客户端的服务器故障回退 (
server-fail-voip)。对于在第 3 层接口上进行身份验证的客户端,只有认证服务器将仅接受以下属性作为 RADIUS 访问接受或 COA 消息的一部分:
用户名
会话超时
呼叫站 ID
Acct-Session-ID
NAS 端口 ID
端口反弹
另请参阅
配置 802.1X 接口设置(CLI 过程)
IEEE 802.1X 身份验证提供网络边缘安全,通过阻止接口上请求方(客户端)上的所有流量,保护以太网 LAN 免遭未经授权的用户访问,直至请求方的凭据在 认证服务器 (RADIUS 服务器)上显示并匹配。请求方经过身份验证后,交换机将停止阻止访问,并打开请求方的接口。
您也可指定 802.1X 排除列表,以指定可绕过身份验证并自动连接到 LAN 的请求方。请参阅 配置 802.1X 和 MAC RADIUS 身份验证的静态 MAC 旁路(CLI 过程)。
您无法在已启用 Q-in-Q 隧道的接口上配置 802.1X 用户身份验证。
开始之前,请指定要用作认证服务器的 RADIUS 服务器或服务器。请参阅 指定交换机上的 RADIUS 服务器连接(CLI 过程)。
要在接口上配置 802.1X:
此设置指定交换机将接口置于 HELD 状态之前尝试的数量。
另请参阅
了解 RADIUS 发起的对授权用户会话的更改
使用基于客户端/服务器 RADIUS 模型的身份验证服务时,请求通常由客户端发起并发送至 RADIUS 服务器。在某些情况下,可能会由服务器发起请求并发送至客户端,以便动态修改已进行认证的用户会话。接收和处理消息的客户端是交换机,交换机充当网络访问服务器或 NAS。服务器可以向交换机发送请求终止会话的断开消息,或发送请求修改会话授权属性的授权变更 (CoA) 消息。
交换机会侦听 UPD 端口 3799 上的未经请求的 RADIUS 请求,并且仅接受来自可信来源的请求。发送断开连接或 CoA 请求的授权根据源地址以及必须在交换机上和 RADIUS 服务器上配置的相应共享密钥确定。有关在交换机上配置源地址和共享密钥的详细信息,请参阅 示例:将 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
断开消息
RADIUS 服务器向交换机发送“断开请求”消息,以终止用户会话并丢弃所有关联的会话上下文。如果请求成功,交换机将使用断开-ACK 消息响应“断开请求”数据包,也就是说,所有关联会话上下文将被丢弃,用户会话将不再连接,或者在请求失败时使用断开-NAK 数据包,也就是说,验证方无法断开会话并丢弃所有关联会话上下文。
在“断开请求”消息中,RADIUS 属性用于唯一标识交换机 (NAS) 和用户会话。消息中包含的 NAS 识别属性和会话识别属性的组合必须至少匹配一个会话才能成功;否则,交换机会使用断开连接-NAK 消息进行响应。断开请求消息只能包含 NAS 和会话识别属性;如果包含任何其他属性,交换机将使用断开-NAK 消息进行响应。
授权消息变更
授权变更 (CoA) 消息包含用于动态修改用户会话的授权属性以更改授权级别的信息。这会作为两步身份验证过程的一部分进行,其中端点首先使用 MAC RADIUS 身份验证进行身份验证,然后根据设备类型进行分析。CoA 消息用于应用适合设备的实施策略,通常通过更改数据过滤器或 VLAN。
如果授权更改成功,交换机将使用 CoA-ACK 消息响应 CoA 消息,或者在变更不成功时使用 CoA-NAK 消息响应。如果无法执行 CoA-Request 消息中指定的一个或多个授权更改,交换机将使用 CoA-NAK 消息进行响应。
在 CoA-Request 消息中,RADIUS 属性用于唯一标识交换机(用作 NAS)和用户会话。消息中包含的 NAS 识别属性和会话识别属性的组合必须与至少一个会话的识别属性匹配,才能成功请求;否则,交换机会使用 CoA-NAK 消息进行响应。
CoA-Request 数据包还包括将在接受请求时将修改的会话授权属性。以下列出了支持的会话授权属性。CoA 消息可以包含任意或所有这些属性。如果 CoA-Request 消息中不包含任何属性,则 NAS 假设该属性的值保持不变。
过滤器 ID
隧道专用组 ID
瞻博网络交换过滤器
瞻博网络-VoIP-VLAN
会话超时
CoA 请求端口反弹
当 CoA 消息用于为经过认证的主机更改 VLAN 时,打印机等终端设备没有检测 VLAN 更改的机制,因此他们不会在新 VLAN 中续订 DHCP 地址的租约。从 Junos OS 版本 17.3 开始,端口弹跳功能可用于通过在经过身份验证的端口上引起链路翻动来强制终端设备启动 DHCP 重新协商。
用于弹出端口的命令使用瞻博网络特定于供应商的属性 (VSA) 从 RADIUS 服务器发送。如果在 RADIUS 服务器的 CoA 消息中收到以下 VSA 属性值对,该端口将弹出:
瞻博网络-AV-Pair = “端口反弹”
要启用端口反弹功能,您必须使用瞻博网络-AV-Pair VSA 更新 RADIUS 服务器上的 Junos 字典文件 (juniper.dct)。找到字典文件并将以下文本添加到文件中:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
有关添加 VSA 的详细信息,请查阅 FreeRADIUS 文档。
您可以通过在 [edit protocols dot1x authenticator interface interface-name] 层次结构级别上配置ignore-port-bounce语句来禁用此功能。
错误原因代码
断开连接或 CoA 操作不成功时,NAS 发送至服务器的响应消息中可包含错误原因属性(RADIUS 属性 101),以便提供故障原因的详细信息。如果检测到的错误未映射到支持的一个错误原因属性值,则路由器将发送消息,而没有错误原因属性。请参阅 表 1 ,了解可包含在 NAS 发送的响应消息中的错误原因代码的说明。
编码 |
价值 |
说明 |
|---|---|---|
201 |
删除了剩余会话上下文 |
如果一个或多个用户会话不再处于活动状态,则会针对“断开连接请求”消息发送,但是已找到剩余会话上下文并成功删除。此代码仅在断开-ACK 消息中发送。 |
401 |
不受支持的属性 |
请求包含不受支持的属性(例如,第三方属性)。 |
402 |
缺少属性 |
请求中缺少一个关键属性(例如会话识别属性)。 |
403 |
NAS 识别不匹配 |
请求包含一个或多个 NAS 识别属性,这些属性与接收请求的 NAS 的标识不匹配。 |
404 |
无效请求 |
请求的某些其他方面无效,例如,如果一个或多个属性未正确格式化。 |
405 |
不受支持的服务 |
请求中包含的服务类型属性包含无效或不受支持的值。 |
406 |
不受支持的扩展 |
接收请求的实体(NAS 或 RADIUS 代理)不支持 RADIUS 发起的请求。 |
407 |
属性值无效 |
请求包含一个不支持的值的属性。 |
501 |
行政禁止 |
NAS 配置为禁止为指定会话发送断开请求或 CoA-Request 消息。 |
503 |
未找到会话环境 |
请求中标识的会话上下文不存在于 NAS 上。 |
504 |
不可移动的会话环境 |
按请求属性标识的订阅者归不受支持的组件所有。此代码仅在断开-NAK 消息中发送。 |
506 |
资源不可用 |
由于缺乏可用的 NAS 资源(如内存),无法兑现请求。 |
507 |
请求已启动 |
CoA-Request 消息包含仅有授权值的服务类型属性。 |
508 |
不支持多次会话选择 |
请求中包含的会话识别属性与多个会话匹配,但 NAS 不支持适用于多个会话的请求。 |
使用 RADIUS 服务器属性过滤 802.1X 请求方
使用端口防火墙过滤器(第 2 层防火墙过滤器)配置 RADIUS 服务器的方法有两种:
在 Juniper-Switching-Filter 属性中包含一个或多个过滤器术语。瞻博网络交换过滤器属性是 RADIUS 服务器上的瞻博网络字典第 48 号属性 ID 编号下列出的特定于供应商的属性 (VSA)。使用此 VSA 为经过认证的 802.1X 用户配置简单的过滤条件。交换机上不需要配置任何内容;所有配置都在 RADIUS 服务器上。
在每个交换机上配置本地防火墙过滤器,并将该防火墙过滤器应用于通过 RADIUS 服务器认证的用户。使用此方法进行更复杂的过滤。必须在每个交换机上配置防火墙过滤器。
注:如果防火墙过滤器配置使用 802.1X 身份验证对用户进行身份验证后进行了修改,则必须终止既定的 802.1X 身份验证会话,并重新建立防火墙过滤器配置更改才能生效。
本主题包括以下任务:
在 RADIUS 服务器上配置防火墙过滤器
您可以使用 RADIUS 服务器上的瞻博网络字典中的瞻博网络交换过滤器属性来配置简单的过滤器条件。只要新用户得到成功认证,这些过滤器就会发送到交换机。过滤器在所有 EX 系列交换机上创建和应用,这些交换机可通过该 RADIUS 服务器对用户进行身份验证,而无需在每个交换机上配置任何内容。
本过程介绍使用 FreeRADIUS 软件配置瞻博网络交换过滤器 VSA。有关配置服务器的具体信息,请查阅服务器随附的 AAA 文档。
要配置 Juniper-Switching-Filter 属性,请使用 RADIUS 服务器的 CLI 输入一个或多个过滤器术语。每个过滤器术语都包含匹配条件和相应的操作。使用以下语法,输入以引号 (“ ” “) 内括起来的过滤器术语:
Juniper-Switching-Filter = “match <destination-mac mac-address> <source-vlan vlan-name> <source-dot1q-tag tag> <destination-ip ip-address> <ip-protocol protocol-id> <source-port port> <destination-port port> action (allow | deny) <forwarding-class class-of-service> <loss-priority (low | medium | high)>”
过滤器术语中包含多个匹配条件。在过滤器术语中指定多个条件时,必须满足这些条件才能使数据包与过滤器术语匹配。例如,以下过滤器术语需要数据 包与目标 IP 地址和目标 MAC 地址匹配,才能满足术语标准:
Juniper-Switching-Filter = “match destination-ip 10.10.10.8 destination-mac 00:00:00:01:02:03 action allow”
多个过滤器术语应与逗号分隔,例如:
Juniper-Switching-Filter = “match destination-mac 00:00:00:01:02:03 action allow, match destination-port 80 destination-mac 00:aa:bb:cc:dd:ee action allow”
有关匹配条件和操作的定义,请参阅 瞻博网络交换过滤器 VSA 匹配条件和操作 。
在 EX9200 交换机上,以及将 EX9200 作为聚合设备的 Junos Fusion Enterprise 中,动态防火墙过滤器严格适用于所有 IP 数据包。如果过滤器配置为仅允许特定目标 IP 地址,则根据过滤器规则将丢弃带有其他 IP 地址(作为目标 IP 的数据包)。这包括任何 IP 协议数据包,如 DHCP、IGMP 和 ARP 数据包。
要在 RADIUS 服务器上配置匹配条件:
从 RADIUS 服务器应用本地配置的防火墙过滤器
您可以从 RADIUS 服务器集中向用户策略应用端口防火墙过滤器(第 2 层防火墙过滤器)。然后,RADIUS 服务器可以指定要应用于每个请求认证的用户的防火墙过滤器,从而减少了在多台交换机上配置相同防火墙过滤器的需要。如果防火墙过滤器包含大量条件,或者您希望对不同交换机上的相同过滤器使用不同条件,请使用此方法。必须在每个交换机上配置防火墙过滤器。
有关防火墙过滤器的详细信息,请参阅 EX 系列交换机的防火墙过滤器概述。
要从 RADIUS 服务器集中应用端口防火墙过滤器:
如果端口防火墙过滤器也本地配置为接口,则使用 VSA 配置的防火墙过滤器在与本地配置的端口防火墙过滤器冲突时优先。如果没有冲突,它们就会被合并。
示例:将 802.1X 的 RADIUS 服务器连接到 EX 系列交换机
802.1X 是基于端口的网络接入控制 (PNAC) 的 IEEE 标准。您可使用 802.1X 控制网络访问。只有提供已根据用户数据库验证的凭据的用户和设备才能访问网络。您可以使用 RADIUS 服务器作为 802.1X 身份验证的用户数据库,以及 MAC RADIUS 身份验证。
此示例介绍如何将 RADIUS 服务器连接到 EX 系列交换机,并将其配置为 802.1X:
要求
此示例使用以下软件和硬件组件:
EX 系列交换机的 Junos OS 9.0 或更高版本
一台 EX 系列交换机充当认证器端口访问实体 (PAE)。认证方 PAE 上的端口构成一个控制门,可阻止所有来自请求方的流量,直至它们经过身份验证。
一台支持 802.1X 的 RADIUS 身份验证服务器。认证服务器充当后端数据库,包含允许连接到网络的主机(请求方)的证书信息。
在将服务器连接到交换机之前,请确保您已:
在交换机上执行基本桥接和 VLAN 配置。请参阅介绍为交换机设置基本桥接和 VLAN 的文档。如果您使用支持增强型第 2 层软件 (ELS) 配置样式的交换机,请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN。有关所有其他交换机,请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
注:有关 ELS 的更多信息,请参阅 使用增强型第 2 层软件 CLI。
在 RADIUS 身份验证服务器上配置用户。
概述和拓扑
EX 系列交换机充当认证器 PAE。它可阻止所有流量并充当控制门,直至请求方(客户端)通过服务器验证。所有其他用户和设备均被拒绝访问。
图 1 显示了一个 EX4200 交换机,该交换机连接到 中 表 2列出的设备。
| 财产 | 设置 |
|---|---|
交换机硬件 |
EX4200 接入交换机,24 个千兆位以太网端口:8 个 PoE 端口(ge-0/0/0 至 ge-0/0/7)和 16 个非 PoE 端口(ge-0/0/8 至 ge-0/0/23) |
VLAN 名称 |
默认 |
一台 RADIUS 服务器 |
后端数据库,地址 10.0.0.100 连接到端口处的交换机 ge-0/0/10 |
在此示例中,将 RADIUS 服务器连接到 EX4200 交换机上的端口 ge-0/0/10。交换机充当认证方,并将证书从请求方转发至 RADIUS 服务器上的用户数据库。您必须通过指定服务器地址并配置密钥密码来配置 EX4200 与 RADIUS 服务器之间的连接。此信息在交换机上的接入配置文件中配置。
有关身份验证、授权与计费 (AAA) 服务的详细信息,请参阅 Junos OS 系统基础配置指南。
配置
程序
CLI 快速配置
要将 RADIUS 服务器快速连接到交换机,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
逐步过程
要将 RADIUS 服务器连接到交换机:
定义服务器的地址并配置秘密密码。交换机上的秘密密码必须与服务器上的秘密密码匹配:
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
配置认证顺序,这是 radius 第一种身份验证方法:
[edit] user@switch# set access profile profile1 authentication-order radius
配置要依次尝试的服务器 IP 地址列表,以便对请求方进行身份验证:
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
结果
显示配置的结果:
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$ABC123"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证交换机和 RADIUS 服务器是否正确连接
目的
验证 RADIUS 服务器是否已连接到指定端口上的交换机。
行动
Ping RADIUS 服务器以验证交换机与服务器之间的连接:
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms意义
ICMP 回应请求数据包以 10.0.0.100 从交换机发送至目标服务器,以测试服务器是否可通过 IP 网络访问。服务器将返回 ICMP 回应,验证交换机和服务器是否已连接。
了解基于 RADIUS 属性的动态过滤器
您可以使用 RADIUS 服务器属性在 RADIUS 认证服务器上实施端口防火墙过滤器。这些过滤器可动态应用于通过该服务器请求认证的请求方。RADIUS 服务器属性在从认证服务器发送到交换机的访问接受消息中封装了明文字段,当连接到交换机的请求方成功认证时。作为认证方的交换机使用 RADIUS 属性中的信息将相关过滤器应用到请求方。动态过滤器可应用于同一交换机上的多个端口或使用相同身份验证服务器的多台交换机,从而为网络提供集中访问控制。
您可以使用 Juniper-Switching-Filter 属性直接在 RADIUS 服务器上定义防火墙过滤器,这是瞻博网络特定于瞻博网络的 RADIUS 属性,也称为供应商特定属性 (VSA)。RFC 2138 , 用户服务中的远程身份验证拨号 (RADIUS) 中介绍了 VSA。在 RADIUS 服务器上的瞻博网络字典中,Juniper-Switching-Filter VSA 在属性 ID 编号 48 下列出,供应商 ID 设置为瞻博网络 ID 号 2636。使用此属性,您可定义身份验证服务器上的过滤器,该过滤器应用于通过该服务器对请求方进行身份验证的所有交换机上。此方法无需在多个交换机上配置相同的过滤器。
或者,您也可以使用 RADIUS 属性 ID 编号 11 的过滤器 ID 属性,将端口防火墙过滤器应用于同一交换机上的多个端口。要使用过滤器 ID 属性,必须先在交换机上配置过滤器,然后将过滤器名称添加至 RADIUS 服务器上的用户策略,作为过滤器 ID 属性的值。当在这些策略之一中定义的请求方由 RADIUS 服务器认证时,过滤器将应用于已为请求方认证的交换机端口。如果防火墙过滤器条件复杂,或者想要在不同交换机上使用相同过滤器的不同条件,请使用此方法。在过滤器 ID 属性中命名的过滤器必须在 [edit firewall family ethernet-switching filter] 层次结构级别的交换机上本地配置。
VSA 仅支持 802.1X 单请求方配置和多个请求方配置。
另请参阅
了解使用 RADIUS 属性的动态 VLAN 分配
VLAN 可由 RADIUS 服务器动态分配给请求通过该服务器进行 802.1X 身份验证的请求者。您使用 RADIUS 服务器属性在 RADIUS 服务器上配置 VLAN,当请求方连接到交换机请求身份验证时,该属性将封装在从认证服务器发送到交换机的消息中。作为认证方的交换机使用 RADIUS 属性中的信息将 VLAN 分配给请求方。根据认证结果,在一个 VLAN 中开始认证的请求方可能会被分配给另一个 VLAN。
成功认证要求在充当 802.1X 认证器的交换机上配置 VLAN ID 或 VLAN 名称,并且该身份验证可与 RADIUS 服务器在认证期间发送的 VLAN ID 或 VLAN 名称匹配。如果不存在,则最终设备未经过认证。如果已建立访客 VLAN,未经过验证的终端设备将自动移动到访客 VLAN。
用于动态 VLAN 分配的 RADIUS 服务器属性,详见 RFC 2868, 用于通道协议支持的 RADIUS 属性。
隧道类型 — 定义为 RADIUS 属性类型 64。该值应设置为
VLAN。隧道介质类型 — 定义为 RADIUS 属性类型 65。该值应设置为
IEEE-802。隧道专用组 ID — 定义为 RADIUS 属性类型 81。该值应设置为 VLAN ID 或 VLAN 名称。
有关在 RADIUS 服务器上配置动态 VLAN 的详细信息,请参阅 RADIUS 服务器的文档。
另请参阅
了解交换机上 802.1X 的访客 VLAN
访客 VLAN 可在使用 802.1X 身份验证的交换机上配置,以便为企业访客提供有限访问(通常仅针对互联网)。访客 VLAN 在以下时用作回退:
请求方未启用 802.1X,并且不响应 EAP 消息。
MAC RADIUS 身份验证未在请求方连接到的交换机接口上配置。
强制门户未在请求方连接到的交换机接口上配置。
访客 VLAN 不用于发送不正确的凭据的请求方。这些请求方会被定向到服务器拒绝 VLAN。
对于未支持 802.1X 的终端设备,访客 VLAN 可以允许对服务器进行有限访问,而支持 802.1X 功能的终端设备可从该服务器下载请求软件并再次尝试身份验证。
另请参阅
示例:当 RADIUS 服务器无法为 EX 系列交换机提供时配置 802.1X 身份验证选项
如果 RADIUS 认证服务器不可用,可让您指定连接到交换机的 802.1X 请求方如何受支持服务器故障回退。
您可使用 802.1X 控制网络访问。只有提供已根据用户数据库验证的凭据的用户和设备(请求方)才能访问网络。您可将 RADIUS 服务器用作用户数据库。
此示例介绍如何配置接口以在 RADIUS 服务器超时时时将请求方移动到 VLAN:
要求
此示例使用以下软件和硬件组件:
此示例也适用于 QFX5100 交换机。
EX 系列交换机的 Junos OS 9.3 或更高版本
一台 EX 系列交换机充当认证器端口访问实体 (PAE)。认证方 PAE 上的端口构成一个控制门,可阻止所有来自请求方的流量,直至它们经过身份验证。
一台支持 802.1X 的 RADIUS 身份验证服务器。认证服务器充当后端数据库,包含允许连接到网络的主机(请求方)的证书信息。
在将服务器连接到交换机之前,请确保您已:
在交换机上执行基本桥接和 VLAN 配置。请参阅介绍为交换机设置基本桥接和 VLAN 的文档。如果您使用支持增强型第 2 层软件 (ELS) 配置样式的交换机,请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN 或 示例:在交换机上设置基本桥接和 VLAN。有关所有其他交换机,请参阅支出:为 EX 系列交换机设置基本桥接和 VLAN。
注:有关 ELS 的更多信息,请参阅 使用增强型第 2 层软件 CLI。
在交换机和 RADIUS 服务器之间设置连接。请参阅 示例:将 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
在认证服务器上配置用户。
概述和拓扑
如果请求方登录并尝试访问 LAN 时无法访问身份验证 RADIUS 服务器,则会出现 RADIUS 服务器超时。使用服务器故障回退,可为尝试 LAN 访问的请求者配置替代选项。您可以将交换机配置为接受或拒绝请求方的访问,或在 RADIUS 服务器超时之前保持已授予请求方的访问权限。此外,还可配置交换机,以便在发生 RADIUS 超时时将请求方移至特定 VLAN。
图 2 显示了用于此示例的拓扑。RADIUS 服务器连接到接入端口 ge-0/0/10上的 EX4200 交换机。交换机充当认证器端口访问实体 (PAE),并将凭据从请求方转发至 RADIUS 服务器上的用户数据库。交换机可阻止所有流量并充当控制门,直至请求方通过认证服务器认证。请求方通过接口 ge-0/0/1 连接到交换机。
此图也适用于 QFX5100 交换机。
表 3 介绍了此拓扑中的组件。
| 财产 | 设置 |
|---|---|
交换机硬件 |
EX4200 接入交换机,24 个千兆位以太网端口:16 个非 PoE 端口和 8 个 PoE 端口。 |
VLAN 名称 |
default VLAN vlan-sf VLAN |
请求方 |
请求方尝试访问接口 ge-0/0/1 |
一台 RADIUS 服务器 |
后端数据库,地址已连接到端口处的 10.0.0.100 交换机 ge-0/0/10 |
在此示例中,配置接口 ge-0/0/1,以便在 RADIUS 超时期间尝试访问 LAN 的请求方移动到另一个 VLAN。RADIUS 超时可防止 EAP 消息的正常交换,这些消息将信息从 RADIUS 服务器传至交换机,并允许请求方进行身份验证。默认 VLAN 在接口 ge-0/0/1 上配置。发生 RADIUS 超时时时,接口上的请求方将从默认 VLAN 移至名为 vlan-sf 的 VLAN。
拓扑
配置
程序
CLI 快速配置
要快速配置交换机上的服务器故障回退,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit protocols dot1x authenticator] set interface ge-0/0/1 server-fail vlan-name vlan-sf
逐步过程
要配置接口,以便在发生 RADIUS 超时时时将请求方转移至特定 VLAN(此处为 VLAN vlan-sf):
定义请求者转移至的 VLAN:
[edit protocols dot1x authenticator] user@switch# set interface ge-0/0/1 server-fail vlan-name vlan-sf
结果
显示配置的结果:
user@switch> show configuration
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members default;
}
}
}
}
protocols {
dot1x {
authenticator {
interface {
ge-0/0/1.0 {
server-fail vlan-name vlan-sf;
}
}
}
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证请求方是否在 RADIUS 超时期间移至替代 VLAN
目的
验证接口是否在 RADIUS 超时期间将请求方移至替代 VLAN。
在运行支持 ELS 的 EX 系列 Junos OS 的交换机上,命令的 show vlans 输出将包含更多信息。如果您的交换机运行支持 ELS 的软件,请参阅 show vlans。有关 ELS 详细信息,请参阅 使用增强型第 2 层软件 CLI
行动
显示交换机上配置的 VLAN;接口 ge-0/0/1.0 是 VLAN 的成员 default :
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/0.0, ge-0/0/1.0*, ge-0/0/5.0*, ge-0/0/10.0,
ge-0/0/12.0*, ge-0/0/14.0*, ge-0/0/15.0, ge-0/0/20.0
v2 77
None
vlan—sf 50
None
mgmt
me0.0*
在交换机上显示 802.1X 协议信息,以查看在接口 ge-0/0/1.0上经过认证的请求方:
user@switch> show dot1x interface brief 802.1X Information: Interface Role State MAC address User ge-0/0/1.0 Authenticator Authenticated 00:00:00:00:00:01 abc ge-0/0/10.0 Authenticator Initialize ge-0/0/14.0 Authenticator Connecting ge-0/0/15.0 Authenticator Initialize ge-0/0/20.0 Authenticator Initialize
发生 RADIUS 服务器超时。显示以太网交换表,显示之前通过 default VLAN 访问 LAN 的 MAC 地址00:00:00:00:00:01的请求方目前正在名为vlan-sf的 VLAN 上学习:
user@switch> show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned VLAN MAC address Type Age Interfaces v1 * Flood - All-members vlan—sf 00:00:00:00:00:01 Learn 1:07 ge-0/0/1.0 default * Flood - All-members
显示 802.1X 协议信息,以显示接口 ge-0/0/1.0 正在连接,并将向请求方开放 LAN 访问:
user@switch> show dot1x interface brief
802.1X Information:
Interface Role State MAC address User
ge-0/0/1.0 Authenticator Connecting
ge-0/0/10.0 Authenticator Initialize
ge-0/0/14.0 Authenticator Connecting
ge-0/0/15.0 Authenticator Initialize
ge-0/0/20.0 Authenticator Initialize
意义
命令 show vlans 将接口 ge-0/0/1.0 显示为 VLAN 的成员 default 。命令 show dot1x interface brief 显示请求方 (abc) 在接口 ge-0/0/1.0 上经过身份验证,并具有 MAC 地址 00:00:00:00:00:01。出现 RADIUS 服务器超时,交换机无法到达认证服务器。命令 show-ethernet-switching table 显示,MAC 地址 00:00:00:00:00:01 是在 VLAN vlan-sf上学习的。请求方已从 default VLAN 移至 vlan-sf VLAN。请求方随后通过名为 vlan-sf的 VLAN 连接到 LAN。
示例:在用于 EAP-TTLS 身份验证和 Odyssey Access Clients 的 EX 系列交换机上配置回退选项
对于 802.1X 用户身份验证,EX 系列交换机支持 RADIUS 身份验证服务器,这些服务器使用可扩展身份验证协议–隧道 TLS (EAP-TTLS) 来验证 Odyssey Access Client (OAC) 请求方。OAC 网络软件在端点计算机(台式机、便携式计算机或记事本计算机以及支持的无线设备)上运行,并提供对有线和无线网络的安全访问。
此示例介绍如何在交换机上配置支持 802.1X 的接口,以便为输入错误登录凭据的 OAC 用户提供回退支持:
要求
此示例使用以下软件和硬件组件:
此示例也适用于 QFX5100 交换机。
EX 系列交换机的 Junos OS 11.2 或更高版本
一台 EX 系列交换机充当认证器端口访问实体 (PAE)。认证方 PAE 上的端口构成一个控制门,可阻止所有来自请求方的流量,直至它们经过身份验证。
一台支持 802.1X 的 RADIUS 身份验证服务器。认证服务器充当后端数据库,包含允许连接到网络的主机(请求方)的证书信息。
一个作为请求方的 OAC 终端设备。
开始配置回退选项之前,请确保您已:
在交换机和 RADIUS 服务器之间设置连接。请参阅 示例:将 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
在服务器上配置 EAP-TTLS。请参阅 RADIUS 服务器文档。
在 RADIUS 服务器上配置用户。请参阅 RADIUS 服务器文档。
概述和拓扑
OAC 是一种网络软件,可在端点计算机(台式机、笔记本电脑或记事本)上运行并支持无线设备。OAC 为 EAP 提供全面支持,这是安全无线 LAN 接入所必需的。
在此拓扑中,OAC 部署有一台支持 802.1X 的交换机和一台 RADIUS 服务器。交换机可作为网络安全架构中的实施点。此拓扑结构:
确保只有授权用户才能连接。
维护登录凭据的隐私。
通过无线链路维护数据隐私。
此示例包括交换机上的服务器拒绝 VLAN 配置,可用于防止输入错误登录凭据的用户意外锁定。这些用户的 LAN 访问权限有限。
但是,由于 OAC 请求方和 RADIUS 服务器正在使用 EAP-TTLS,这种回退配置很复杂。EAP-TTLS 在服务器和终端设备之间创建安全加密隧道,以完成认证过程。当用户输入错误的登录凭据时,RADIUS 服务器会通过此隧道直接向客户端发送 EAP 故障消息。EAP 故障消息会使客户端重新启动身份验证过程,从而使交换机的 802.1X 身份验证流程中断使用服务器拒绝 VLAN 与交换机建立的会话。您可通过配置以下配置启用修复连接以继续:
eapol-block— 在配置为属于服务器拒绝 VLAN 的 802.1X 接口上启用 EAPoL 阻止计时器。阻止计时器会使身份验证端口访问实体忽略来自客户端的 EAP 启动消息,尝试重新启动认证过程。
注:只有在 802.1X 接口上配置的允许重新模板(使用 retries 选项)数量耗尽后,才触发 EAPoL 阻止计时器。您可配置 retries 为指定交换机尝试在初始故障后验证端口的次数。默认是三次重述。
block-interval—配置希望 EAPoL 阻止计时器继续忽略 EAP 启动消息的时间量。如果不配置块间隔,EAPoL 阻止计时器将默认为 120 秒。
当 802.1X 接口忽略来自客户端的 EAP 启动消息时,交换机允许通过服务器拒绝 VLAN 建立的现有补救会话保持开放。
这些配置选项适用于单个、单个安全和多个请求方身份验证模式。在此示例中,802.1X 接口配置为单请求模式。
图 3 显示了将 OAC 终端设备连接到 RADIUS 服务器的 EX 系列交换机,并指示用于连接网络实体的协议。
此图也适用于 QFX5100 交换机。
拓扑
表 4 介绍了此 OAC 部署中的组件:
| 财产 | 设置 |
|---|---|
交换机硬件 |
EX 系列交换机 |
VLAN |
default server-reject-vlan: VLAN 名称为 remedial ,VLAN ID 为 700 |
802.1X 接口 |
ge-0/0/8 |
OAC 请求方 |
EAP-TTLS |
一台 RADIUS 身份验证服务器 |
EAP-TTLS |
配置
程序
CLI 快速配置
要快速配置 EAP-TTLS 和 OAC 请求者的回退选项,请复制以下命令并粘贴到交换机终端窗口中:
[edit] set vlans remedial vlan-id 700 set protocols dot1x authenticator interface ge-0/0/8 retries 4 set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan remedial set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan eapol-block set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan block-interval 130
逐步过程
要配置 EAP-TTLS 和 OAC 请求方的回退选项:
在此示例中,交换机只有一个服务器拒绝 VLAN。因此,配置会指定 eapol-block 并 block-interval 直接后 server-reject-vlan继 。但是,如果在交换机上配置了多个 VLAN,则必须直接 server-reject-vlan 包括 VLAN 名称或 VLAN ID,以指示正在修改哪些 VLAN。
配置将用作服务器拒绝 VLAN 的 VLAN,为输入错误登录凭据的用户提供有限的 LAN 访问:
[edit] user@switch# set vlans remedial vlan-id 700
在将错误登录引向服务器拒绝 VLAN 之前,配置提示客户端用户名和密码的次数:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set retries 4
配置 802.1X 认证器接口以将服务器拒绝 VLAN 用作错误登录的回退:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan remedial
在配置为属于服务器拒绝 VLAN 的 802.1X 接口上启用 EAPoL 阻止计时器。
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan eapol-block
配置 EAPoL 块保持有效的时间量:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan block-interval 130
结果
检查配置结果:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
retries 4;
server-reject-vlan remedial block-interval 130 eapol-block;
}
验证
要确认配置和回退选项是否正常工作,请执行以下任务:
验证 802.1X 接口的配置
目的
验证 802.1X 接口是否已配置所需的选项。
行动
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 4
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 120 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPoL requests: 2
Guest VLAN member: guest
Number of connected supplicants: 1
Supplicant: tem, 2A:92:E6:F2:00:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Radius
Authenticated VLAN: remedial
Session Reauth interval: 120 seconds
Reauthentication due in 68 seconds
意义
命令 show dot1x ge-0/0/8 detail 输出显示 ge-0/0/8 接口处于 Authenticated 状态,并且正在使用 remedial VLAN。
监控 802.1X 身份验证
目的
本主题仅适用于 J-Web 应用程序包。
J-Web 应用程序包版本 14.1X53-A2 不支持 EX4600 交换机上的 802.1X 身份验证。
从 Junos OS 22.1R1 版本开始,EX4600 交换机不受支持。
使用监控功能显示身份验证失败用户和用户的详细信息。
行动
要在 J-Web 界面中显示身份验证详细信息,请选择 Monitoring > Security > 802.1X。
要在 CLI 中显示身份验证详细信息,请输入以下命令:
show dot1x interface detail | display xmlshow dot1x interface detail <interface> | display xmlshow dot1x auth-failed-users
意义
显示的详细信息包括:
经认证的用户列表。
连接的用户数量。
身份验证失败用户列表。
您也可指定必须显示详细信息的接口。
另请参阅
验证 802.1X 身份验证
目的
验证请求方是否在已配置为 802.1X 身份验证的接口的交换机上进行认证,并显示正在使用的身份验证方法。
行动
显示有关为 802.1X 配置的接口的详细信息(此处的接口为 ge-0/0/16):
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: v200
Reauthentication due in 17 seconds意义
命令的 show dot1x interface detail 示例输出显示为 Number of connected supplicants 1。已认证且现已连接到 LAN 的请求方在 RADIUS 服务器上称为 user5 ,具有 MAC 地址 00:30:48:8C:66:BD。请求方通过 802.1X 认证方法(称为 RADIUS 身份验证)进行身份验证,如输出中所示 Radius 。使用 RADIUS 身份验证时,请求方在 RADIUS 服务器上配置,RADIUS 服务器将此通信给交换机,交换机将打开请求方连接到的接口上的 LAN 访问。样本输出还显示请求方已连接到 VLAN v200。
除 RADIUS 身份验证外,EX 系列交换机上支持的其他 802.1X 身份验证方法包括:
访客 VLAN — 授予非响应式主机访客-VLAN 访问权限。
MAC Radius — 非响应主机会根据其 MAC 地址进行身份验证。MAC 地址在 RADIUS 服务器上按允许的配置,RADIUS 服务器通知交换机 MAC 地址为允许的地址,并且交换机将 LAN 访问其连接的接口上的非响应主机。
服务器故障拒绝 — 如果 RADIUS 服务器超时,所有请求方均被拒绝访问 LAN,从而阻止请求者通过接口的流量。这是默认值。
服务器故障许可 — 如果 RADIUS 服务器不可用,请求方仍允许其访问 LAN,就像请求方已通过 RADIUS 服务器成功认证一样。
服务器故障使用缓存 — 如果 RADIUS 服务器在重新授权期间超时,先前经过身份验证的请求方将获得 LAN 访问权限,但新请求方被拒绝 LAN 访问。
服务器故障 VLAN — 如果 RADIUS 服务器不可再次授权请求方,请求方配置为移动到指定的 VLAN。(VLAN 必须在交换机上存在。)
另请参阅
EX 系列交换机上的最终设备身份验证故障排除
问题
说明
使用静态 MAC 地址配置的终端设备在运行 Clear dot1x 接口命令以清除所有学到的 MAC 地址后,将失去与交换机的连接。
清除 MAC 地址之前:
user@switch# run show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members default 00:a0:d4:00:03:00 Learn 0 ge-3/0/16.0 user@switch> show dot1x authentication-bypassed-users MAC address Interface VLAN 00:a0:d4:00:03:00 ge-3/0/16.0 configured/default
要清除 MAC 地址:
user@switch> clear dot1x interface
清除 MAC 地址后:
user@switch> show ethernet-switching table Ethernet-switching table: 2 entries, 0 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members user@switch> show dot1x authentication-bypassed-users
请注意,认证旁路列表中没有终端设备。
原因
静态 MAC 地址与接口上其他学到的 MAC 地址相同。运行 Clear dot1x 接口命令时,它将清除从接口中学习到的所有 MAC 地址,包括静态 MAC 旁路列表(也称为排除列表)。
解决方案
如果您为已配置为身份验证旁路的静态 MAC 地址的接口运行 Clear dot1x 接口命令,请将静态 MAC 地址重新添加到静态 MAC 旁路列表中。