在本页
802.1 x 身份验证
IEEE 802.1 X 标准,适用于基于端口的网络接入控制,保护以太网 Lan 免遭未经授权的用户访问。它将阻止在接口上与请求方 (客户端)通信的所有流量,直到请求方凭据在身份验证服务器(RADIUS服务器上显示并匹配)。当请求者通过身份验证时,交换机将停止阻止访问并打开请求者的接口。有关详细信息,请阅读本主题。
802.1 x for 交换机概述
802.1 X 身份验证的工作原理
802.1X 身份验证使用验证方端口访问实体(交换机)拦截端口请求方(终端设备)的入口流量,直至在身份验证服务器(RADIUS 服务器上显示并匹配请求方凭据)。经过身份验证时,交换机将停止阻止信息流并向请求者打开该端口。
终端设备在单请求方模式、单安全请求方模式或多个请求方模式下经过身份验证:
单个请求方 — 仅对第一个终端设备进行身份验证。以后连接到端口的所有其他最终设备都允许完全访问,无需任何进一步的验证。它们 实际上可以第 一终端设备的身份验证执行小操作。
单安全请求方 - 仅允许一个终端设备连接到端口。在第一个设备注销之前,不允许其他任何终端设备连接。
多个请求方 - 允许多个终端设备连接到端口。每个终端设备都单独进行身份验证。
通过使用 Vlan 和防火墙过滤器可进一步定义网络接入,这两种过滤均用作过滤器,以将端设备组与所需的 LAN 区域分开和匹配。例如,您可以根据以下因素配置 Vlan,以处理不同类别的认证故障:
最终设备是否 802.1 X 启用状态。
在主机连接的交换机接口上是否配置 MAC RADIUS 认证。
RADIUS 认证服务器是否不可用或发送 RADIUS 访问拒绝消息。请参阅配置 RADIUS 服务器故障回退(CLI 过程)。
802.1 x 功能概述
瞻博网络以太网交换机上支持以下 802.1 X 功能:
访客 VLAN — 在主机所连接的交换机接口上未配置 MAC RADIUS 身份验证时,对未启用 802.1X 的无响应终端设备提供对 LAN(通常仅对 Internet)的访问受限。此外,访客 VLAN 可用于为访客用户提供对 LAN 的有限访问。访客 VLAN 通常仅提供对 Internet 和其他访客终端设备的访问。
服务器拒绝 VLAN — 为已启用 802.1X 但发送错误凭据的响应式终端设备提供对 LAN(通常仅对 Internet)的访问受限。如果使用服务器拒绝 VLAN 认证的终端设备是 IP 电话,则不允许语音信息流。
服务器故障 VLAN — 在服务器超时期间为 802.1X 终端设备提供对 LAN 的有限访问(通常仅限于RADIUS)。
动态 VLAN — 允许终端设备在认证后成为 VLAN 动态的成员。
专用 VLAN — 支持在作为专用 VLAN (PVLAN) 成员的接口上配置 802.1X 身份验证。
用户会话的动态更改 — 使交换机管理员能够终止已认证的会话。此功能基于 RFC 3576 中定义的 RADIUS 断开连接消息的支持。
VoIP VLAN — 支持 IP 电话。IP 电话上的语音 VLAN 的实施是特定于供应商的。如果电话 802.1 X 启用,则会通过身份验证,其他任何请求者都是这样。如果电话未 802.1 X 启用,但有另一个 802.1 X 兼容的设备连接到其数据端口,则该设备经过身份验证,随后 VoIP 流量可以流入和接收电话(前提是接口配置为单请求方模式,而不是单安全请求方模式)。
注:不支持在专用 VLAN (PVLAN)接口上配置 VoIP VLAN。
RADIUS核算 — 将核算信息RADIUS服务器。只要订阅者登录或注销,并且订阅者激活或停用订阅,就会将记帐信息发送至服务器。
RADIUS 802.1X 的服务器属性 — 是可在 RADIUS 服务器上配置的供应商特定属性
Juniper-Switching-Filter(VSA),可在 802.1X 身份验证过程中进一步定义请求方的访问。在认证服务器上集中配置属性 obviates 需要以防火墙过滤器的形式在申请者可能连接到 LAN 的每台交换机上配置这些相同的属性。此功能基于 RLI 4583,AAA RADIUS BRAS VSA 支持。
支持以下功能来认证未 802.1 X 启用状态的设备:
静态 MAC 旁路 — 提供旁路机制来认证未启用 802.1X 的设备(如打印机)。静态 MAC 旁路将这些设备连接到 802.1 X 启用的端口,绕过 802.1 X 身份验证。
MAC RADIUS验证 — 提供一种允许未启用 802.1X 的主机访问 LAN 的方式。MAC-RADIUS 使用客户端的 MAC 地址用户名和密码模拟客户端设备的请求者功能。
中继端口上的 802.1 x 身份验证
从 Junos OS Release 18.3 R1 开始,您可以在中继接口上配置 802.1 X 身份验证,允许网络接入设备(NAS)对接入点(AP)或其他连接的第2层设备进行认证。连接到 NAS 的接入点或交换机将支持多个 Vlan,因此必须连接到中继端口。在中继接口上启用 802.1 X 身份验证可保护 NAS 免遭安全漏洞的危害,攻击者可能会断开 AP 并连接便携式计算机,以获得所有已配置 Vlan 的免费接入网络。
在中继接口上配置 802.1 X 身份验证时,请注意以下注意事项。
中继接口上仅支持单安全请求方模式。
您必须在中继接口上本地配置 802.1 X 身份验证。如果使用
set protocol dot1x interface all命令全局配置 802.1 x 身份验证,则配置不会应用于中继接口。中继接口上不支持动态 VLAN。
中继接口上不支持访客 VLAN 和服务器拒绝 VLAN。
中继接口(
server-fail-voip)上不支持 VoIP 客户端的服务器故障回退。使用该固定门户不支持中继端口上的身份验证。
聚合接口上不支持中继端口上的身份验证。
中继端口上不支持作为专用 Vlan (Pvlan)成员的接口上的 802.1 X 身份验证配置。
3 层接口上的 802.1X 身份验证
从Junos OS版本20.2R1,您可以在第 3 层接口上配置 802.1X 身份验证。在 3 层接口上配置 802.1X 身份验证时,请注意以下事项:
仅支持 EAP 的客户端。
仅支持单个请求方模式。
您必须在本地第 3 层接口上配置 802.1X 身份验证。如果您使用 命令全局配置 802.1X 身份验证,
set protocol dot1x interface all此配置不会应用于第 3 层接口。支持第 3 层接口不包括 IRB 或子接口。
访客 VLAN、服务器拒绝 VLAN 和服务器故障 VLAN 不受支持。
不支持 VoIP 客户端的服务器故障回切换 (
server-fail-voip)。对于在第 3 层接口上验证的客户端,仅接受以下RADIUS接受或 COA 消息的一部分:
用户名
会话超时
呼叫站 ID
帐户-会话 ID
NAS端口 ID
端口反弹
另请参阅
配置 802.1 X 接口设置(CLI 过程)
IEEE 802.1X 身份验证提供网络边缘安全,通过阻止来自接口请求方(客户端)的所有流量,直到请求方凭据在身份验证服务器(RADIUS 服务器上显示并匹配),保护以太网 VPN 免遭未经授权的用户访问。 当请求者通过身份验证时,交换机将停止阻止访问并打开请求者的接口。
您还可以指定 802.1 X 排除列表,以指定可绕过身份验证并自动连接到 LAN 的请求者。请参阅配置 802.1 x 和 MAC RADIUS 身份验证(CLI 过程)的静态 MAC 旁路。
您不能在已启用 Q 内通道的接口上配置 802.1 X 用户身份验证。
开始之前,请指定要用作认证服务器的 RADIUS 台或服务器。请参阅在交换机上指定 RADIUS 服务器连接(CLI 过程)。
要在接口上配置 802.1 X:
此设置指定交换机将接口置于已挂起状态之前的尝试次数。
另请参阅
了解对授权用户会话 RADIUS 发起的更改
使用基于客户端/服务器的身份验证服务 RADIUS 型号时,请求通常由客户端启动并发送至 RADIUS 服务器。在某些情况下,请求可能会由服务器启动并发送至客户端,以便动态修改已在进行中的已验证用户会话。接收和处理消息的客户端是作为网络接入服务器或 NAS 的交换机。服务器可向交换机发送请求终止会话的断开消息或授权变更(CoA)消息,请求修改会话授权属性。
交换机在 UPD 端口3799上侦听未经请求的 RADIUS 请求,并仅接受来自可靠来源的请求。发送断开或 CoA 请求的授权取决于源地址和相应的共享机密,必须在交换机和 RADIUS 服务器上配置。有关在交换机上配置源地址和共享密钥的信息,请参阅 示例:将 802.1 X 的 RADIUS 服务器连接到 EX 系列交换机。
断开消息
RADIUS 服务器向交换机发送断开请求消息,以便终止用户会话并丢弃所有关联的会话上下文。如果请求成功,则交换机会响应断开请求数据包,即所有关联的会话上下文都将被丢弃,用户会话将不再连接,或者在请求失败时使用断开 NAK 数据包。也就是说,认证者无法断开会话连接并丢弃所有关联的会话上下文。
在断开请求消息中,RADIUS 属性用于唯一标识交换机(NAS)和用户会话。消息中包含的 NAS 标识属性和会话标识属性组合必须至少与一个会话匹配,请求才会成功; 否则为 。否则,交换机将使用断开 NAK 消息进行响应。断开请求消息只能包含 NAS 和会话标识属性;如果包含任何其他属性,交换机将使用断开 NAK 消息进行响应。
授权消息变更
授权变更(CoA)消息包含有关动态修改用户会话的授权属性以更改授权级别的信息。这是两步身份验证过程的一部分,其中端点首先使用 MAC RADIUS 身份验证进行身份验证,然后根据设备类型进行分析。CoA 消息用于应用适用于设备的实施策略,通常通过更改数据过滤器或 VLAN。
如果授权更改成功,则交换机将响应带有 CoA-ACK 消息的 CoA 消息,如果更改不成功,则使用 CoA-NAK 消息。如果在不能执行 CoA 请求消息中指定的一个或多个授权变更,交换机将以 CoA-NAK 消息响应。
在 CoA 请求消息中,RADIUS 属性用于唯一标识交换机(充当 NAS)和用户会话。消息中包含的 NAS 标识属性和会话标识属性组合必须与至少一个会话的标识属性匹配,请求才会成功; 否则为 。否则,交换机将以 CoA-NAK 消息响应。
CoA-请求数据包还包括会话授权属性,在请求被接受时,将被修改。下面列出了受支持的会话授权属性。CoA 消息可以包含这些属性中的任何一个或全部。如果有任何属性未包含在 CoA 请求消息中,则 NAS 假设该属性的值将保持不变。
过滤器 ID
通道专用组 ID
Juniper 交换-过滤器
Juniper-VoIP-VLAN
会话超时
CoA 请求端口弹跳
当使用 CoA 消息来更改经过身份验证的主机的 VLAN 时,终端设备(如打印机)没有检测 VLAN 更改的机制,因此它们不会在新的 VLAN 中续订其 DHCP 地址的租约。从 Junos OS 版本17.3 开始,端口反弹功能可用于通过在经过身份验证的端口上导致链路传动片来强制最终设备发起 DHCP 重新协商。
用于弹跳端口的命令使用瞻博网络供应商特定属性(VSA)从 RADIUS 服务器发送。如果在 RADIUS 服务器的 CoA 消息中收到以下 VSA 属性值对,则端口将退回:
瞻博网络-AV-对 = "端口弹回"
要启用端口弹跳功能,您必须使用 Juniper AV 的 VSA 更新 RADIUSjuniper.dct服务器上的 Junos 字典文件()。找到词典文件,然后将以下文本添加到该文件:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
有关添加 VSA 的详细信息,请参阅 FreeRADIUS 文档。
您可通过在 [ ignore-port-bounceedit protocols dot1x authenticator interface interface-name] hierachy 级别配置语句来禁用该功能。
错误原因代码
当断开连接或 CoA 操作不成功时,会将错误-原因属性(RADIUS 属性101)包含在由 NAS 发送给服务器的响应消息中,以提供有关问题原因的详细信息。如果检测到的错误未映射到受支持的错误原因属性值之一,则路由器发送消息时不会出现错误-原因属性。请表 1参阅,了解有关可包括在从 NAS 发送的响应消息中的错误原因代码的说明。
代码 |
值 |
Description |
|---|---|---|
201 |
已卸下剩余会话上下文 |
在一个或多个用户会话不再活动的情况下发送以响应断开请求消息,但发现剩余会话上下文并成功删除。此代码仅在断开连接确认消息中发送。 |
401 |
不支持的属性 |
请求中包含不受支持的属性(例如,第三方属性)。 |
402 |
缺少属性 |
请求中缺少关键属性(例如会话标识属性)。 |
403 |
NAS 标识不匹配 |
请求包含一个或多个 NAS 标识属性,它们与接收请求的 NAS 的身份不匹配。 |
404 |
无效请求 |
请求的某种其他方面无效,例如,如果一个或多个属性的格式化不正确。 |
405 |
不支持的服务 |
请求中包含的服务类型属性包含无效或不支持的值。 |
406 |
不支持的扩展名 |
接收请求的实体(NAS 或 RADIUS 代理)不支持 RADIUS 启动的请求。 |
407 |
无效属性值 |
请求中包含具有不支持的值的属性。 |
501 |
管理被禁止 |
NAS 配置为禁止接受指定会话的断开请求或 CoA 请求消息。 |
503 |
未找到会话上下文 |
请求中标识的会话上下文在 NAS 中不存在。 |
504 |
会话上下文不可移动 |
由请求中的属性标识的用户由不受支持的组件拥有。此代码仅在断开 NAK 消息中发送。 |
506 |
资源不可用 |
由于缺少可用的 NAS 资源(例如内存),无法接受请求。 |
507 |
请求已启动 |
CoA-请求消息包括仅授权值的服务类型属性。 |
508 |
不支持多个会话选择 |
请求中包含的会话标识属性与多个会话匹配,但 NAS 不支持应用于多个会话的请求。 |
使用 RADIUS 服务器属性过滤 802.1 X 请求者
使用端口防火墙过滤器配置 RADIUS 服务器的方法有两种(第2层防火墙过滤器):
在 Juniper 交换过滤器属性中包含一个或多个过滤器术语。Juniper 交换过滤器属性是在 RADIUS 服务器上的 Juniper 词典中的属性 ID 号48下列出的供应商特定属性(VSA)。使用此 VSA 为 802.1 X 经过身份验证的用户配置简单过滤器条件。交换机上无需配置任何内容;所有配置都在 RADIUS 服务器上。
在每台交换机上配置本地防火墙过滤器,并将该防火墙过滤器应用于通过 RADIUS 服务器认证的用户。将此方法用于更复杂的过滤器。必须在每台交换机上配置防火墙过滤器。
注:如果使用 802.1 X 身份验证对用户进行身份验证之后,防火墙过滤器配置已修改,则必须终止并重新建立已建立的 802.1 X 身份验证会话,才能使防火墙过滤器配置更改生效影响.
本主题包括以下任务:
在 RADIUS 服务器上配置防火墙过滤器
您可以使用 RADIUS 服务器上 Juniper 字典中的 Juniper 交换过滤器属性来配置简单过滤器条件。只要新用户获得成功认证,这些过滤器就会发送至交换机。这些过滤器在所有 EX 系列交换机上创建和应用,通过该 RADIUS 服务器对用户进行身份验证,而无需您在每台单独的交换机上配置任何内容。
此过程介绍如何使用 FreeRADIUS 软件配置 Juniper 交换过滤器 VSA。有关配置服务器的具体信息,请参阅服务器随附 AAA 文档。
要配置 Juniper 交换过滤器属性,请使用 CLI for RADIUS 服务器输入一个或多个过滤器术语。每个过滤器术语都包含符合条件和相应的操作。使用以下语法输入引号("")中包含的过滤器术语:
Juniper-Switching-Filter = “match <destination-mac mac-address> <source-vlan vlan-name> <source-dot1q-tag tag> <destination-ip ip-address> <ip-protocol protocol-id> <source-port port> <destination-port port> action (allow | deny) <forwarding-class class-of-service> <loss-priority (low | medium | high)>”
一个过滤器术语中可包含多个匹配条件。当在过滤器术语中指定多个条件时,它们必须全部满足,才能使数据包与过滤器术语相匹配。例如,以下过滤器术语需要一个数据包来匹配目标IP 地址和目标 MAC 地址,以满足术语标准:
Juniper-Switching-Filter = “match destination-ip 10.10.10.8 destination-mac 00:00:00:01:02:03 action allow”
多个过滤器术语应该用逗号分隔,例如:
Juniper-Switching-Filter = “match destination-mac 00:00:00:01:02:03 action allow, match destination-port 80 destination-mac 00:aa:bb:cc:dd:ee action allow”
有关匹配条件和操作的定义,请参阅Juniper 交换过滤器 VSA 匹配条件和操作。
在 EX9200 交换机和 EX9200 作为聚合设备的 Junos Fusion Enterprise 中,动态防火墙过滤器严格应用于所有 IP 数据包。如果将过滤器配置为仅允许特定目标 IP 地址,则将根据过滤规则丢弃将其他 IP 地址用作目标 IP 的数据包。这包括任何 IP 协议数据包,如 DHCP、IGMP 和 ARP 数据包。
要在 RADIUS 服务器上配置匹配条件:
从 RADIUS 服务器应用本地配置的防火墙过滤器
您可以从 RADIUS 服务器集中对用户策略应用端口防火墙过滤器(第2层防火墙过滤器)。然后,RADIUS 服务器可以指定要应用于每个用户的防火墙过滤器,以请求认证,从而减少在多台交换机上配置相同防火墙过滤器的需求。当防火墙过滤器包含大量条件或您希望对不同交换机上的相同过滤器使用不同条件时,请使用此方法。必须在每台交换机上配置防火墙过滤器。
有关防火墙过滤器的详细信息,请参阅EX 系列交换机的防火墙过滤器概述。
要从 RADIUS 服务器集中应用端口防火墙过滤器:
如果还在本地为接口配置端口防火墙过滤器,则使用 Vsa 配置的防火墙过滤器在与本地配置的端口防火墙过滤器冲突时优先。如果不存在冲突,则将其合并。
示例:将用于 802.1 X 的 RADIUS 服务器连接到 EX 系列交换机
802.1 x 是基于端口的网络接入控制(PNAC)的 IEEE 标准。您可使用 802.1 X 控制网络接入。只有提供已根据用户数据库验证的证书的用户和设备才允许访问网络。您可以将 RADIUS 服务器用作 802.1 X 认证的用户数据库,以及 MAC RADIUS 认证。
此示例介绍如何将 RADIUS 服务器连接到 EX 系列交换机,并将其配置为 802.1 X:
要求
此示例使用以下软件和硬件组件:
EX 系列交换机 Junos OS 发行9.0 或更高版本
一个 EX 系列交换机充当认证者端口接入实体(PAE)。认证器 PAE 上的端口是控制门,用于阻止到达请求者和来自请求方的所有流量,直至其获得身份验证。
一种支持 802.1 X 的 RADIUS 认证服务器。认证服务器用作后端数据库,其中包含有权连接到网络的主机(请求者)的证书信息。
将服务器连接到交换机之前,请确保具备:
已在交换机上执行基本桥接和 VLAN 配置。请参阅介绍如何为交换机设置基本桥接和 VLAN 的文档。如果您使用的交换机支持增强型第 2 层软件 (ELS) 配置样式,请参阅 示例:为具有 ELS 支持的 EX 系列交换机设置基本桥接和 VLAN。有关所有其他交换机,请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
注:有关 ELS 的详细信息,请参阅使用增强型第2层软件 CLI。
RADIUS 认证服务器上的配置用户。
概述和拓扑
EX 系列交换机可用作认证器 PAE。它会阻止所有流量,并充当控制门,直到请求者(客户端)由服务器进行身份验证。所有其他用户和设备都被拒绝访问。
图 1显示了连接到中表 2所列设备的一个 EX4200 交换机。
| 财产 | 设置 |
|---|---|
交换机硬件 |
EX4200 接入交换机,24个千兆位以太网端口:8个 PoE 端口(ge-0/0/0 到 ge-0/0/7)和16个非 PoE 端口(ge-0/0/8 到 ge-0/0/23) |
VLAN 名称 |
本币 |
一台 RADIUS 服务器 |
一个后端数据库 10.0.0.100 ,地址连接到交换机的端口 ge-0/0/10 |
在此示例中,将 RADIUS 服务器连接到 EX4200 交换机上的端口 ge-0/0/10。交换机充当认证者,并将其从请求者转发至 RADIUS 服务器上的用户数据库。您必须通过指定服务器的地址和配置机密密码,在 EX4200 和 RADIUS 服务器之间配置连接。此信息在交换机上的接入配置文件中配置。
有关认证、授权和计费(AAA)服务的详细信息,请参阅Junos OS 系统基础配置指南。
配置
操作
CLI 快速配置
要将 RADIUS 服务器快速连接到交换机,请复制以下命令并将其粘贴到交换机端子窗口中:
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
分步过程
要将 RADIUS 服务器连接到交换机:
定义服务器的地址并配置密码。交换机上的机密密码必须与服务器上的机密密码匹配:
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
配置身份验证顺序,从而radius第一种身份验证方法:
[edit] user@switch# set access profile profile1 authentication-order radius
配置要按顺序尝试以验证请求者的服务器 IP 地址列表:
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
成果
显示配置结果:
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$ABC123"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
针对
要确认配置是否正常运行,请执行以下任务:
验证交换机和 RADIUS 服务器是否正确连接
用途
验证 RADIUS 服务器是否连接到指定端口上的交换机。
行动
Ping RADIUS 服务器以验证交换机和服务器之间的连接:
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms含义
ICMP 回显请求数据包从交换机发送至10.0.0.100 上的目标服务器,以测试服务器是否可通过 IP 网络到达。正在从服务器返回 ICMP 回显响应,并验证交换机和服务器是否已连接。
了解基于 RADIUS 属性的动态过滤器
您可以使用 RADIUS 服务器属性在 RADIUS 认证服务器上实施端口防火墙过滤器。这些过滤器可动态应用于请求者,通过该服务器申请认证。RADIUS 服务器属性是封装在 Access 中的明文字段,当连接到交换机的请求者成功通过身份验证时,从认证服务器发送到交换机的消息。作为认证者的交换机使用 RADIUS 属性中的信息来将相关过滤器应用于申请者。动态过滤器可应用于同一交换机上的多个端口,或用于多台使用相同认证服务器的交换机,为网络提供集中式接入控制。
您可以使用 Juniper 交换过滤器属性(这是特定于瞻博网络的 RADIUS 属性,也称为供应商特定属性(VSA)),直接在 RADIUS 服务器上定义防火墙过滤器。RFC 2138" 用户服务远程认证拨号 (RADIUS) 中介绍了 VSA。瞻博网络-交换过滤器 VSA 列于 RADIUS 服务器的 瞻博网络 年词汇表属性 ID 编号 48 下,供应商 ID 设置为 瞻博网络 ID 号 2636。通过使用此属性,可在认证服务器上定义过滤器,这些过滤将应用于通过该服务器验证请求者的所有交换机。此方法无需在多台交换机上配置相同的过滤器。
或者,您也可使用过滤器 ID 属性(即属性 ID 编号 11)将端口防火墙过滤器应用于同一交换机上的RADIUS过滤器。要使用过滤器 ID 属性,必须先在交换机上配置过滤器,然后将过滤器名称作为过滤器 ID 属性的值添加到 RADIUS 服务器上的用户策略中。当在其中一个策略中定义的申请者由 RADIUS 服务器认证时,过滤器将应用于已针对申请者进行身份验证的交换机端口。如果防火墙过滤器具有复杂条件,或者您希望对不同交换机上的相同过滤器使用不同条件,请使用此方法。过滤器 ID 属性中指定的过滤器必须在交换机的 [edit firewall family ethernet-switching filter] 层次结构级别上本地配置。
只有 802.1 X 单请求器配置和多个申请者配置支持 Vsa。
另请参阅
了解使用 RADIUS 属性的动态 VLAN 分配
Vlan 可由 RADIUS 服务器动态分配给请求者通过该服务器发出 802.1 X 身份验证。您可以使用 RADIUS 服务器属性在 RADIUS 服务器上配置 VLAN,在连接到交换机的请求者请求身份验证时,会将明文字段封装在从认证服务器发送到交换机的消息中。作为认证者的交换机使用 RADIUS 属性中的信息来将 VLAN 分配给申请者。根据身份验证的结果,在一个 VLAN 中开始身份验证的申请者可能分配给另一个 VLAN。
成功的身份验证要求在充当 802.1 X 认证器的交换机上配置 VLAN ID 或 VLAN 名称,并且匹配身份验证期间由 RADIUS 服务器发送的 VLAN ID 或 VLAN 名称。如果不存在,则结束设备未通过身份验证。如果建立了访客 VLAN,未经身份验证的终端设备将自动移至访客 VLAN。
用于RADIUS VLAN 分配的服务器属性,在 RFC 2868, RADIUS 协议支持属性中介绍。
通道类型 - 定义为 RADIUS 64 属性类型。该值应设置为
VLAN。通道介质类型 - 定义为 RADIUS 65 属性类型。该值应设置为
IEEE-802。Tunnel-Private-Group-ID — 定义为 RADIUS 81 属性类型。该值应设置为 VLAN ID 或 VLAN 名称。
有关在 RADIUS 服务器上配置动态 Vlan 的详细信息,请参阅 RADIUS 服务器的文档。
另请参阅
在交换机上了解 802.1 X 的访客 Vlan
访客 VLAN 可在使用 802.1X 身份验证的交换机上配置,为企业访客提供受限访问(通常仅针对 Internet)。来宾 VLAN 在以下情况中用作备用:
请求者未 802.1 X 启用状态,并且不响应 EAP 消息。
MAC RADIUS 身份验证尚未在申请者连接到的交换机接口上配置。
未在申请者连接到的交换机接口上配置固定门户。
访客 VLAN 不用于发送错误凭证的请求者。这些请求者将转到服务器拒绝 VLAN。
对于未 802.1 X 启用的最终设备,来宾 VLAN 可允许对不支持 802.1 X 的端设备下载请求者软件并再次尝试身份验证的服务器进行有限访问。
另请参阅
示例:在 RADIUS 服务器不可用于 EX 系列交换机时配置 802.1 X 身份验证选项
通过服务器故障回退,您可以指定在 RADIUS 认证服务器不可用时,如何支持连接到交换机的 802.1 X 请求程序。
您可使用 802.1 X 控制网络接入。只允许用户和设备(请求者)提供经过用户数据库验证的凭据,从而访问网络。您使用 RADIUS 服务器作为用户数据库。
此示例介绍如何配置接口,以便在 RADIUS 服务器超时时将请求者迁移到 VLAN:
要求
此示例使用以下软件和硬件组件:
此示例也适用于 QFX5100 交换机。
EX 系列交换机 Junos OS 发行9.3 或更高版本
一个 EX 系列交换机充当认证者端口接入实体(PAE)。认证器 PAE 上的端口是控制门,用于阻止到达请求者和来自请求方的所有流量,直至其获得身份验证。
一种支持 802.1 X 的 RADIUS 认证服务器。认证服务器用作后端数据库,其中包含有权连接到网络的主机(请求者)的证书信息。
将服务器连接到交换机之前,请确保具备:
已在交换机上执行基本桥接和 VLAN 配置。请参阅介绍如何为交换机设置基本桥接和 VLAN 的文档。如果您使用的交换机支持增强型第 2 层软件 (ELS) 配置样式,请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN 或 示例:在交换机上设置基本桥接和 VLAN。对于所有其他交换机,请参阅示例:为 EX 系列交换机设置基本桥接和 VLAN。
注:有关 ELS 的详细信息,请参阅使用增强型第2层软件 CLI。
在交换机和 RADIUS 服务器之间设置连接。请参阅示例:将 802.1 X 的 RADIUS 服务器连接到 EX 系列交换机。
认证服务器上配置的用户。
概述和拓扑
如果请求者登录并尝试访问 LAN 时,没有可访问的身份验证 RADIUS 服务器,则会发生 RADIUS 服务器超时。使用服务器故障回退,可为尝试访问 LAN 的请求者配置替代选项。您可以将交换机配置为接受或拒绝对请求者的访问,或保持已授予请求者的访问权限,然后再 RADIUS 服务器超时。此外,您还可以将交换机配置为将请求器移至特定 VLAN (如果发生 RADIUS 超时)。
图 2显示了用于此示例的拓扑。该RADIUS服务器连接到接入EX4200上的交换机 ge-0/0/10 。交换机用作认证者端口接入实体(PAE),并将其从申请者转发至 RADIUS 服务器上的用户数据库。该交换机阻止所有流量,并充当控制门,直至请求者通过认证服务器的认证。请求者通过接口 ge (0/0/1)连接到交换机。
本图也适用于 QFX5100 交换机。
表 3介绍了此拓扑结构中的组件。
| 财产 | 设置 |
|---|---|
交换机硬件 |
EX4200 接入交换机,24个千兆位以太网端口:16个非 PoE 端口和8个 PoE 端口。 |
VLAN 名称 |
default VLAN vlan-sf VLAN |
者 |
请求者尝试访问接口 ge-0/0/1 |
一台 RADIUS 服务器 |
后端数据库,其地址 10.0.0.100 在端口上连接到交换机 ge-0/0/10 |
在此示例中,将 interface ge-0/0/1 配置为在 RADIUS 超时至另一个 VLAN 时,将请求者尝试接入 LAN。RADIUS 超时可阻止将信息从 RADIUS 服务器传输到交换机并允许请求者身份验证的 EAP 消息的正常交换。默认 VLAN 在接口 ge-0/0/1 上配置。发生 RADIUS 超时时,接口上的请求者将从默认 VLAN 移至名为 vlan-sf 的 VLAN。
拓扑
配置
操作
CLI 快速配置
要在交换机上快速配置服务器故障回退,请复制以下命令并将其粘贴到交换机端子窗口中:
[edit protocols dot1x authenticator] set interface ge-0/0/1 server-fail vlan-name vlan-sf
分步过程
要配置一个接口,在超时时将请求方转移到RADIUS VLAN(此处为 vlan-sf VLAN):
定义将请求者转向的 VLAN:
[edit protocols dot1x authenticator] user@switch# set interface ge-0/0/1 server-fail vlan-name vlan-sf
成果
显示配置结果:
user@switch> show configuration
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members default;
}
}
}
}
protocols {
dot1x {
authenticator {
interface {
ge-0/0/1.0 {
server-fail vlan-name vlan-sf;
}
}
}
}
}
}
针对
要确认配置是否正常运行,请执行以下任务:
验证请求方是否在 RADIUS 超时期间移至备用 VLAN
用途
验证在 RADIUS 超时期间,接口是否将请求者转移至备用 VLAN。
在运行 Junos OS for EX 系列且支持 ELS 的交换机上, show vlans命令的输出将包含附加信息。如果交换机运行支持 ELS 的软件,请参阅显示 vlan。有关 ELS 详细信息,请参阅使用增强型第2层软件 CLI
行动
显示交换机上配置的 V VPN;接口 ge-0/0/1.0 是 default VLAN 的成员:
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/0.0, ge-0/0/1.0*, ge-0/0/5.0*, ge-0/0/10.0,
ge-0/0/12.0*, ge-0/0/14.0*, ge-0/0/15.0, ge-0/0/20.0
v2 77
None
vlan—sf 50
None
mgmt
me0.0*
在交换机上显示 802.1 X 协议信息,以查看接口ge-0/0/1.0上认证的请求者:
user@switch> show dot1x interface brief 802.1X Information: Interface Role State MAC address User ge-0/0/1.0 Authenticator Authenticated 00:00:00:00:00:01 abc ge-0/0/10.0 Authenticator Initialize ge-0/0/14.0 Authenticator Connecting ge-0/0/15.0 Authenticator Initialize ge-0/0/20.0 Authenticator Initialize
发生 RADIUS 服务器超时。显示以太网交换表,以显示之前MAC 地址通过 VLAN 访问 LAN 的请求方现在在 00:00:00:00:00:01 名为 default 的 VLAN 上学习 vlan-sf :
user@switch> show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned VLAN MAC address Type Age Interfaces v1 * Flood - All-members vlan—sf 00:00:00:00:00:01 Learn 1:07 ge-0/0/1.0 default * Flood - All-members
显示 802.1X 协议信息,以显示接口正在连接,并打开对请求 ge-0/0/1.0 方的 LAN 访问:
user@switch> show dot1x interface brief
802.1X Information:
Interface Role State MAC address User
ge-0/0/1.0 Authenticator Connecting
ge-0/0/10.0 Authenticator Initialize
ge-0/0/14.0 Authenticator Connecting
ge-0/0/15.0 Authenticator Initialize
ge-0/0/20.0 Authenticator Initialize
含义
命令 show vlans 将接口 ge-0/0/1.0 显示为 default VLAN 的成员。命令显示请求方 ( ) 在接口上经过身份验证, show dot1x interface briefabcge-0/0/1.0 具有 00:00:00:00:00:01 MAC 地址。发生 RADIUS 服务器超时,并且交换机无法访问认证服务器。命令 show-ethernet-switching table 显示,MAC 地址 00:00:00:00:00:01 VLAN 上学习命令 vlan-sf 。请求方已从 VLAN 移至 defaultvlan-sf VLAN。然后,请求方通过名为 的 VLAN 连接到 vlan-sf LAN。
示例:在 EX 系列交换机上配置回退选项,用于 EAP-TTLS 身份验证和 Odyssey 访问客户端
对于 802.1X 用户身份验证,EX 系列交换机支持 RADIUS 认证服务器,这些服务器使用可扩展身份验证协议-隧道 TLS (EAP-TTLS) 来认证 Odyssey Access Client (OAC) 请求方。OAC 网络软件在端点计算机(桌面、便携式计算机或记事本计算机和支持的无线设备)上运行,并提供对有线和无线网络的安全接入。
本示例介绍如何在交换机上配置 802.1 X 启用的接口,以便为已输入不正确登录凭据的 OAC 用户提供后备支持:
要求
此示例使用以下软件和硬件组件:
此示例也适用于 QFX5100 交换机。
EX 系列交换机 Junos OS 发行11.2 或更高版本
一个 EX 系列交换机充当认证者端口接入实体(PAE)。认证器 PAE 上的端口是控制门,用于阻止到达请求者和来自请求方的所有流量,直至其获得身份验证。
一种支持 802.1 X 的 RADIUS 认证服务器。认证服务器用作后端数据库,其中包含有权连接到网络的主机(请求者)的证书信息。
一个 OAC 最终设备,充当请求者。
开始配置回退选项之前,请确保已具备:
在交换机和 RADIUS 服务器之间设置连接。请参阅示例:将 802.1 X 的 RADIUS 服务器连接到 EX 系列交换机。
在服务器上配置了 EAP-TTLS。请参阅 RADIUS 服务器文档。
RADIUS 服务器上配置的用户。请参阅 RADIUS 服务器文档。
概述和拓扑
OAC 是在端点计算机(桌面、便携式计算机或记事本)和支持的无线设备上运行的网络软件。OAC 提供对 EAP 的完全支持,这是安全无线 LAN 接入所必需的。
在此拓扑中,OAC 与支持 X 的802.1 交换机和 RADIUS 服务器一起部署。交换机充当网络安全架构中的实施点。此拓扑:
确保只有授权用户才能连接。
维护登录凭证的隐私。
维护无线链路的数据隐私。
此示例包括交换机上的服务器拒绝 VLAN 的配置,可用于防止意外锁定已输入错误登录凭证的用户。可以授予这些用户有限的 LAN 访问权限。
但是,由于 OAC 网络请求者和 RADIUS 服务器使用 EAP-TTLS,这一回退配置很复杂。EAP-TTLS 在服务器和最终设备之间创建安全加密的通道,以完成身份验证过程。当用户输入不正确的登录证书时,RADIUS 服务器通过此通道直接向客户端发送 EAP 失败消息。EAP 故障消息会导致客户端重新启动认证过程,因此交换机的 802.1X 身份验证流程会关闭使用服务器拒绝 VLAN 与交换机建立的会话。您可以启用补救连接以继续配置:
eapol-block—在配置为属于服务器拒绝 VLAN 的 802.1X 接口上启用 EAPoL 阻止计时器。阻止计时器会使身份验证端口访问实体忽略来自客户端的 EAP 启动消息,尝试重新启动身份验证过程。
注:仅在 802.1X 接口上的已配置数量的允许重新分析(使用 选项)耗尽之后,EAPoL 块计时器才 retries 触发。您可以配置以指定交换机在出现初始故障后尝试验证 retries 端口次数。默认值为三次重试。
block-interval—配置希望 EAPoL 阻止计时器继续忽略 EAP 开始消息的时间量。如果不配置阻止间隔,EAPoL 阻止计时器默认为120秒。
当 802.1 X 接口忽略来自客户端的 EAP 启动消息时,交换机允许通过服务器拒绝 VLAN 建立的现有补救会话保持打开状态。
这些配置选项适用于单一、单安全和多个请求者身份验证模式。在此示例中,802.1 X 接口配置为单请求者模式。
图 3显示了将 OAC 端设备连接到 RADIUS 服务器的 EX 系列交换机,并指出了用于连接网络实体的协议。
本图也适用于 QFX5100 交换机。
拓扑
表 4介绍了此 OAC 部署中的组件:。
| 财产 | 设置 |
|---|---|
交换机硬件 |
EX 系列交换机 |
VLAN |
default server-reject-vlan可以:VLAN 名称为 remedial ,VLAN ID 为 700 |
802.1 x 接口 |
ge-0/0/8 |
OAC 请求者 |
EAP-TTLS |
一台 RADIUS 认证服务器 |
EAP-TTLS |
配置
操作
CLI 快速配置
要快速配置 EAP-TTLS 和 OAC 请求者的回退选项,请复制以下命令并将其粘贴到交换机端子窗口中:
[edit] set vlans remedial vlan-id 700 set protocols dot1x authenticator interface ge-0/0/8 retries 4 set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan remedial set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan eapol-block set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan block-interval 130
分步过程
要配置 EAP-TTLS 和 OAC 请求者的回退选项:
在此示例中,交换机只有一个服务器拒绝 VLAN。因此,配置指定 并 eapol-blockblock-interval 直接在 server-reject-vlan 之后 。但是,如果在交换机上配置了多个 VLAN,则必须直接包括 VLAN 名称或 VLAN ID,并指明正在 server-reject-vlan 修改哪个 VLAN。
配置将用作服务器拒绝 VLAN 的 VLAN,以便为输入错误登录凭证的用户提供有限的 LAN 接入:
[edit] user@switch# set vlans remedial vlan-id 700
配置在将不正确的登录定向到服务器拒绝 VLAN 之前,客户端被提示输入用户名和密码的次数:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set retries 4
将 802.1 X 认证器接口配置为使用服务器拒绝 VLAN 作为错误登录的后备:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan remedial
在配置为属于服务器拒绝 VLAN 的 802.1 X 接口上启用 EAPoL 块计时器。
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan eapol-block
配置 EAPoL 块保持有效的时间量:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan block-interval 130
成果
检查配置结果:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
retries 4;
server-reject-vlan remedial block-interval 130 eapol-block;
}
针对
要确认配置和回退选项是否正常工作,请执行以下任务:
验证 802.1 X 接口的配置
用途
验证 802.1 X 接口是否配置了所需选项。
行动
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 4
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 120 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPoL requests: 2
Guest VLAN member: guest
Number of connected supplicants: 1
Supplicant: tem, 2A:92:E6:F2:00:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Radius
Authenticated VLAN: remedial
Session Reauth interval: 120 seconds
Reauthentication due in 68 seconds
含义
命令 show dot1x ge-0/0/8 detail 输出显示接口 ge-0/0/8 状态 Authenticated 中,并且正在使用 remedial VLAN。
监控 802.1 X 身份验证
用途
本主题仅适用于 J Web 应用程序包。
J-Web 应用程序包 Release 14.1 X53-A2 不支持 EX4600 交换机上的 802.1 X 身份验证。
使用监控功能显示身份验证失败的用户和用户的详细信息。
行动
要显示 J-Web 界面中的身份验证详细信息,请选择 Monitoring >> Security802.1X 。
要在 CLI 中显示身份验证详细信息,请输入以下命令:
show dot1x interface detail | display xmlshow dot1x interface detail <interface> | display xmlshow dot1x auth-failed-users
含义
显示的详细信息包括:
经过身份验证的用户列表。
连接的用户数。
身份验证失败的用户列表。
您还可以指定必须显示其详细信息的接口。
另请参阅
验证 802.1 X 身份验证
用途
验证请求者是否正在通过配置为 802.1 X 身份验证的接口的交换机上的接口进行身份验证,并显示所使用的身份验证方法。
行动
显示有关为 802.1 X 配置的接口的详细信息(在此接口为 ge-0/0/16):
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: v200
Reauthentication due in 17 seconds含义
命令的样本 show dot1x interface detail 输出显示 为 Number of connected supplicants 1。经身份验证现在连接到 LAN 的请求方称为 RADIUS user5 服务器上,具有 00:30:48:8C:66:BD MAC 地址。请求者通过 802.1 X 身份验证方法(称为 RADIUS 身份验证)进行身份验证,如Radius输出中所示。使用 RADIUS 身份验证时,请求者在 RADIUS 服务器上配置,RADIUS 服务器将其与交换机通信,交换机将在申请者连接到的接口上打开 LAN 接入。示例输出还显示请求方已连接到 v200 VLAN。
除了 RADIUS 身份验证之外,EX 系列交换机支持的其他 802.1 X 身份验证方法包括:
访客 VLAN — 授予无响应主机来宾-VLAN 访问权限。
MAC Radius — 非响应主机根据主机的认证MAC 地址。MAC 地址根据 RADIUS 服务器上的允许配置,RADIUS 服务器会通知交换机 MAC 地址是允许的地址,而交换机则向其连接的接口上的未响应主机授予 LAN 访问权限。
服务器失败拒绝 — 如果服务器RADIUS,所有请求方均拒绝对 LAN 的访问,从而阻止请求方的流量通过接口。这是默认设置。
服务器失败允许 — 当 RADIUS 服务器不可用时,仍然允许请求方访问 LAN,就像请求方经 RADIUS 服务器成功RADIUS一样。
服务器故障使用缓存 — 如果 RADIUS 服务器在重新身份验证期间时间过长,则先前经过身份验证的请求方将获批接入 LAN,但新的请求方将被拒绝 LAN 访问。
服务器故障 VLAN — 如果 RADIUS 服务器无法重新验证请求方,则将请求方配置为移动到指定的 VLAN。(VLAN 必须已存在于交换机上。)
另请参阅
EX 系列交换机上的终端设备身份验证故障排除
出
说明
使用静态 MAC 地址配置的终端设备在清除 dot1x 接口命令后,将断开与交换机的连接,以清除所有已知 MAC 地址。
清除 MAC 地址之前:
user@switch# run show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members default 00:a0:d4:00:03:00 Learn 0 ge-3/0/16.0 user@switch> show dot1x authentication-bypassed-users MAC address Interface VLAN 00:a0:d4:00:03:00 ge-3/0/16.0 configured/default
要清除 MAC 地址:
user@switch> clear dot1x interface
清除 MAC 地址后:
user@switch> show ethernet-switching table Ethernet-switching table: 2 entries, 0 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members user@switch> show dot1x authentication-bypassed-users
请注意,身份验证绕过列表中没有终端设备。
触发
静态 MAC 地址的处理方式与接口上的其他已知 MAC 地址相同。当执行 clear dot1x 接口命令时,将从接口中清除所有已知的 MAC 地址,包括静态 MAC 旁路列表(也称为排除列表)。
解决方案
如果您对具有为身份验证绕过而配置的静态 MAC 地址的接口运行 clear dot1x 接口命令,请将静态 MAC 地址重新添加到静态 MAC 旁路列表中。