访问控制身份验证方法

802.1X 身份验证

802.1X 是一项针对基于端口的网络访问控制 （PNAC） 的 IEEE 标准。它为寻求访问 LAN 的设备提供了一种身份验证机制。802.1X 身份验证功能基于 IEEE 802.1X 标准 基于端口的网络访问控制。

终端设备与设备之间的通信协议是 LAN 可扩展身份验证协议 （EAPoL）。EAPoL 是专为与以太网网络配合使用而设计的 EAP 版本。身份验证服务器与设备之间的通信协议为 RADIUS。

在身份验证过程中，设备会在终端设备与身份验证服务器之间完成多次消息交换。在进行 802.1X 身份验证时，只有 802.1X 流量和控制流量可以通过网络。其他流量（例如 DHCP 流量和 HTTP 流量）会在数据链路层被阻止。

注意：

您可以配置重新传输 EAPoL 请求数据包的最大次数和尝试之间的超时时间。有关信息，请参阅配置 802.1X 接口设置（CLI 过程）。

LAN 的 802.1X 身份验证配置包含三个基本组件：

Supplicant (also called end device)	请求者是请求加入网络的终端设备的 IEEE 术语。终端设备可以是响应式的，也可以是无响应的。响应式终端设备支持 802.1X，并使用 EAP 提供身份验证凭据。所需的凭据取决于所使用的 EAP 版本，具体而言，EAP MD5 的用户名和密码，或可扩展身份验证协议传输层安全性 （EAP-TLS）、EAP 隧道传输层安全性 （EAP-TTLS） 和受保护 EAP （PEAP） 的用户名和客户端证书。 您可以配置服务器拒绝 VLAN，为响应迅速且支持 802.1X 的终端设备提供有限的 LAN 访问，但这些终端设备发送了错误的凭据。服务器拒绝 VLAN 可以为这些设备提供补救连接，通常仅与互联网连接。更多信息，请参阅 示例：在 EX 系列交换机上为 EAP-TTLS 身份验证和 Odyssey Access Clients 配置回退选项 。 注意： 如果使用服务器拒绝 VLAN 进行身份验证的终端设备是 IP 电话，则语音流量将被丢弃。 无响应终端设备是指未启用 802.1X 的终端设备。它可以通过 MAC RADIUS 身份验证进行验证。
Authenticator port access entity	验证器的 IEEE 术语。设备是身份验证器，它通过阻止进出终端设备的所有流量来控制访问，直到它们通过身份验证。
Authentication server	身份验证服务器包含做出身份验证决策的后端数据库。它包含每个通过身份验证才能连接到网络的终端设备的证书信息。验证方将终端设备提供的凭据转发到身份验证服务器。如果验证者转发的凭据与身份验证服务器数据库中的凭据匹配，则授予访问权限。如果转发的凭据不匹配，则拒绝访问。

注意：

无法在冗余中继组 （RTG） 上配置 802.1X 身份验证。有关 RTG 的更多信息，请参阅了解冗余中继链路（旧版 RTG 配置）。

MAC RADIUS 身份验证

802.1X 身份验证方法仅在终端设备启用了 802.1X 时才有效，但许多单用途网络设备（如打印机和 IP 电话）不支持 802.1X 协议。如果接口连接到不支持 802.1X 的网络设备，但您希望允许其访问 LAN，则可以配置 MAC RADIUS 身份验证。当接口上检测到未启用 802.1X 的终端设备时，设备会将设备的 MAC 地址传输到身份验证服务器。然后，服务器会尝试将 MAC 地址与其数据库中的 MAC 地址列表进行匹配。如果 MAC 地址与列表中的地址匹配，则终端设备会通过身份验证。

您可以在接口上配置 802.1X 和 MAC RADIUS 身份验证方法。在这种情况下，设备首先尝试使用 802.1X 对终端设备进行身份验证，如果该方法失败，则尝试使用 MAC RADIUS 身份验证对终端设备进行身份验证。如果您知道只有无响应的请求方在该接口上连接，则可以通过配置该 mac-radius restrict 选项来消除设备在确定终端设备未启用 802.1X 时产生的延迟。配置此选项后，设备不会尝试通过 802.1X 身份验证来验证终端设备，而是立即向 RADIUS 服务器发送请求，要求对终端设备的 MAC 地址进行身份验证。如果在 RADIUS 服务器上将该终端设备的 MAC 地址配置为有效的 MAC 地址，则设备将在其所连接的接口上打开对终端设备的 LAN 访问。

当接口上不需要其他 802.1X 身份验证方法（如访客 VLAN）时，该 mac-radius-restrict 选项很有用。如果在某个接口上进行配置 mac-radius-restrict ，则设备将丢弃所有 802.1X 数据包。

MAC RADIUS 身份验证支持的身份验证协议包括 EAP-MD5（默认）、受保护 EAP （EAP-PEAP） 和密码身份验证协议 （PAP）。您可以使用该语句指定要用于 MAC RADIUS 身份验证 authentication-protocol 的身份验证协议。

强制门户身份验证

强制门户身份验证（以下简称强制门户）允许您通过将 Web 浏览器请求重定向到登录页面来对用户进行身份验证，该页面要求用户在访问网络之前输入有效的用户名和密码。强制门户要求用户提供使用 EAP-MD5 针对 RADIUS 服务器数据库进行身份验证的信息，从而控制网络访问。您还可以使用强制门户在用户访问您的网络之前向他们显示可接受的使用策略。

Junos OS 提供了一个模板，使您能够轻松设计和修改强制门户登录页面的外观。您可以为强制门户启用特定接口。连接到强制门户界面的终端设备首次尝试访问网页时，设备将显示强制门户登录页面。设备成功通过身份验证后，可以访问网络并继续访问请求的原始页面。

注意：

如果启用了 HTTPS，则 HTTP 请求将重定向到 HTTPS 连接，以进行强制门户身份验证过程。身份验证后，终端设备将返回到 HTTP 连接。

如果有未启用 HTTP 的终端设备连接到强制门户接口，您可以通过将其 MAC 地址添加到身份验证白名单中，允许它们绕过强制门户身份验证。

RADIUS 服务器对用户进行身份验证时，与该用户关联的任何每用户策略（属性）也会发送至设备。

强制门户具有以下限制：

• • 强制门户不支持动态分配从 RADIUS 服务器下载的 VLAN。

  • 如果用户保持空闲状态超过 5 分钟且没有通过任何流量，则用户必须重新登录到强制门户。

静态 MAC 绕过身份验证

您可以将终端设备的 MAC 地址包含在静态 MAC 旁路列表（也称为排除列表）中，以允许终端设备在不身份验证RADIUS服务器上访问 LAN。

您可以选择在旁路列表中包括某个设备，以便：

• 允许未启用 802.1X 的设备访问 LAN。

• 消除设备确定连接的设备是否为未启用 802.1X 的主机而产生的延迟。

配置静态 MAC 时，将首先在本地数据库（用户配置的 MAC 地址列表）中检查终端设备的 MAC 地址。如果找到匹配项，则终端设备将成功通过身份验证，并为其打开接口。不会对该终端设备执行进一步的身份验证。如果未找到匹配项，且设备上启用了 802.1X 身份验证，则设备将尝试通过 RADIUS 服务器对终端设备进行身份验证。

对于每个 MAC 地址，您还可以配置终端设备移动到的 VLAN 或主机连接的接口。

注意：

使用命令 clear dot1x interface 从接口中清除学习的 MAC 地址时，将清除所有 MAC 地址，包括静态 MAC 旁路列表中的地址。

身份验证方法的回退

您可以在单个接口上配置 802.1X、MAC RADIUS 和强制门户身份验证，以便在使用一种方法进行身份验证失败时回退到其他方法。身份验证方法可以任意组合配置，但不能在未同时配置 802.1X 的情况下在接口上同时配置 MAC RADIUS 和强制门户。默认情况下，大多数设备使用以下身份验证方法的顺序：

1. 802.1X 身份验证 — 如果接口上配置了 802.1X，则设备会向终端设备发送 EAPoL 请求，并尝试通过 802.1X 身份验证对终端设备进行身份验证。如果终端设备未响应 EAP 请求，设备将检查接口上是否配置了 MAC RADIUS 身份验证。

2. MAC RADIUS 身份验证 — 如果接口上配置了 MAC RADIUS 身份验证，则设备会将终端设备的 MAC RADIUS 地址发送到身份验证服务器。如果未配置 MAC RADIUS 身份验证，设备将检查接口上是否配置了强制门户。

3. 强制门户身份验证 — 如果接口上配置了强制门户，则在接口上配置的其他身份验证方法失败后，设备将尝试使用此方法对终端设备进行身份验证。

有关在接口上配置多种身份验证方法时的默认流程图示，请参阅 了解交换机上的访问控制。

您可以通过配置 authentication-order 语句来指定设备首先使用 802.1X 身份验证或 MAC RADIUS 身份验证，以覆盖身份验证方法回退的默认身份验证顺序。强制门户必须始终在身份验证方法的顺序中排在最后。更多信息，请参阅 配置灵活认证顺序。

注意：

如果接口配置为多请求方模式，则可使用不同的并行方法对通过该接口连接的终端设备进行身份验证。因此，如果接口上的终端设备在回退到强制门户后已通过身份验证，则仍可使用 802.1X 或 MAC RADIUS 身份验证对其他终端设备进行身份验证。