访问控制身份验证方法

802.1X 身份验证

802.1X 是基于端口的网络访问控制 （PNAC） 的 IEEE 标准。它为寻求访问 LAN 的设备提供了一种身份验证机制。802.1X 身份验证功能基于 IEEE 802.1X 标准 基于端口的网络访问控制。

终端设备和设备之间的通信协议是 LAN 可扩展身份验证协议 （EAPoL）。EAPoL 是设计用于以太网网络的 EAP 版本。身份验证服务器和设备之间的通信协议为 RADIUS。

在身份验证过程中，设备完成终端设备和身份验证服务器之间的多个消息交换。在进行 802.1X 身份验证时，只有 802.1X 流量和控制流量可以通过网络。其他流量（如 DHCP 流量和 HTTP 流量）在数据链路层被阻止。

注：

您可以配置 EAPoL 请求数据包重新传输的最大次数和尝试之间的超时期限。有关信息，请参阅配置 802.1X 接口设置（CLI 过程）。

LAN 的 802.1X 身份验证配置包含三个基本组件：

Supplicant (also called end device)	请求方是请求加入网络的终端设备的 IEEE 术语。终端设备可以是响应式的，也可以是无响应的。响应式终端设备支持 802.1X，并使用 EAP 提供身份验证凭据。所需的凭据取决于所使用的 EAP 版本，具体而言，是 EAP MD5 的用户名和密码，或者可扩展身份验证协议传输层安全性 （EAP-TLS）、EAP 隧道传输层安全性 （EAP-TTLS） 和受保护 EAP （PEAP） 的用户名和密码。 您可以配置拒绝服务器的 VLAN，以便为发送错误凭据的启用 802.1X 的响应式终端设备提供有限的 LAN 访问。服务器拒绝 VLAN 可以为这些设备提供补救连接，通常只能连接到互联网。请参阅 示例：在 EX 系列交换机上配置 EAP-TTLS 身份验证和 Odyssey 接入客户端 的回退选项以获取更多信息。 注： 如果使用服务器拒绝 VLAN 进行身份验证的终端设备是 IP 电话，则会丢弃语音流量。 无响应的终端设备是指未启用 802.1X 的设备。它可以通过 MAC RADIUS 身份验证进行身份验证。
Authenticator port access entity	身份验证器的 IEEE 术语。设备是身份验证器，它通过阻止进出终端设备的所有流量来控制访问，直到它们通过身份验证。
Authentication server	身份验证服务器包含做出身份验证决策的后端数据库。它包含经过身份验证以连接到网络的每个终端设备的凭据信息。验证器将终端设备提供的凭据转发到身份验证服务器。如果验证器转发的凭据与身份验证服务器数据库中的凭据匹配，则授予访问权限。如果转发的凭据不匹配，则拒绝访问。

注：

您无法在冗余中继组 （RTG） 上配置 802.1X 身份验证。有关 RTG 的更多信息，请参阅了解冗余中继链路（旧版 RTG 配置）。

MAC RADIUS 身份验证

802.1X 身份验证方法仅在终端设备启用了 802.1X 时才有效，但许多单用途网络设备（如打印机和 IP 电话）不支持 802.1X 协议。您可以在连接到不支持 802.1X 的网络设备且希望允许其访问 LAN 的网络设备的接口上配置 MAC RADIUS 身份验证。当接口上检测到未启用 802.1X 的终端设备时，设备会将设备的 MAC 地址传输到身份验证服务器。然后，服务器尝试将 MAC 地址与其数据库中的 MAC 地址列表进行匹配。如果 MAC 地址与列表中的地址匹配，则终端设备将进行身份验证。

您可以在接口上配置 802.1X 和 MAC RADIUS 身份验证方法。在这种情况下，设备首先尝试使用 802.1X 对终端设备进行身份验证，如果该方法失败，它将尝试使用 MAC RADIUS 身份验证对终端设备进行身份验证。如果您知道只有无响应的请求方在该接口上进行连接，则可以通过配置 mac-radius restrict 该选项来消除设备确定终端设备未启用 802.1X 时出现的延迟。配置此选项后，设备不会尝试通过 802.1X 身份验证对终端设备进行身份验证，而是立即向 RADIUS 服务器发送请求，以验证终端设备的 MAC 地址。如果该终端设备的 MAC 地址在 RADIUS 服务器上配置为有效的 MAC 地址，则设备将在其连接的接口上打开对终端设备的 LAN 访问。

mac-radius-restrict当接口上不需要其他 802.1X 身份验证方法（如访客 VLAN）时，此选项非常有用。如果在接口上配置 mac-radius-restrict ，设备将丢弃所有 802.1X 数据包。

MAC RADIUS 身份验证支持的身份验证协议是 EAP-MD5（默认的受保护 EAP （EAP-PEAP） 和密码身份验证协议 （PAP）。您可以使用语句 authentication-protocol 指定要用于 MAC RADIUS 身份验证的身份验证协议。

强制门户身份验证

强制网络门户身份验证（以下简称强制门户）使您能够通过将 Web 浏览器请求重定向到登录页面来验证用户身份，该页面要求用户在访问网络之前输入有效的用户名和密码。强制门户通过要求用户提供使用 EAP-MD5 针对 RADIUS 服务器数据库进行身份验证的信息来控制网络访问。您还可以使用强制网络门户在用户访问您的网络之前向他们显示可接受使用策略。

Junos OS 提供了一个模板，可让您轻松设计和修改强制门户登录页面的外观。您可以为强制门户启用特定接口。连接到强制网络门户界面的终端设备首次尝试访问网页时，设备会显示强制网络门户登录页面。设备通过成功身份验证后，将允许其访问网络并继续执行请求的原始页面。

注：

如果启用了 HTTPS，HTTP 请求将重定向到 HTTPS 连接，以进行强制门户身份验证过程。身份验证后，终端设备将返回到 HTTP 连接。

如果有未启用 HTTP 的终端设备连接到强制网络门户界面，您可以通过将其 MAC 地址添加到身份验证白名单来允许它们绕过强制网络门户身份验证。

当用户通过 RADIUS 服务器身份验证时，与该用户关联的任何每用户策略（属性）也会发送到设备。

强制网络门户具有以下限制：

• • 强制门户不支持动态分配从 RADIUS 服务器下载的 VLAN。

  • 如果用户保持空闲时间超过 5 分钟且未传递流量，则用户必须重新登录强制网络门户。

身份验证的静态 MAC 旁路

通过将终端设备的 MAC 地址包含在静态 MAC 旁路列表（也称为排除列表）中，可以允许终端设备在 RADIUS 服务器上无需身份验证即可访问 LAN。

您可以选择在绕过列表中包括设备，以便：

• 允许未启用 802.1X 的设备访问 LAN。

• 消除设备确定连接的设备是否为未启用 802.1X 的主机而发生的延迟。

配置静态 MAC 时，首先在本地数据库（用户配置的 MAC 地址列表）中检查终端设备的 MAC 地址。如果找到匹配项，则终端设备成功通过身份验证，并为其打开接口。不会对该终端设备执行进一步的身份验证。如果未找到匹配项，并且在设备上启用了 802.1X 身份验证，则设备将尝试通过 RADIUS 服务器对终端设备进行身份验证。

对于每个 MAC 地址，您还可以配置终端设备移动到的 VLAN 或主机连接的接口。

注：

使用命令从 clear dot1x interface 接口中清除获知的 MAC 地址时，将清除所有 MAC 地址，包括静态 MAC 绕过列表中的地址。

身份验证方法的回退

您可以在单个接口上配置 802.1X、MAC RADIUS 和强制网络门户身份验证，以便在一种方法身份验证失败时回退到其他方法。身份验证方法可以任意组合进行配置，但如果不同时配置 802.1X，则无法在接口上同时配置 MAC RADIUS 和强制网络门户。默认情况下，大多数设备使用以下身份验证方法顺序：

1. 802.1X 身份验证 — 如果在接口上配置了 802.1X，设备将向终端设备发送 EAPoL 请求，并尝试通过 802.1X 身份验证对终端设备进行身份验证。如果终端设备未响应 EAP 请求，设备将检查接口上是否配置 MAC RADIUS 身份验证。

2. MAC RADIUS 身份验证 — 如果在接口上配置了 MAC RADIUS 身份验证，设备会将终端设备的 MAC RADIUS 地址发送到身份验证服务器。如果未配置 MAC RADIUS 身份验证，设备将检查接口上是否配置了强制网络门户。

3. 强制网络门户身份验证 — 如果在接口上配置了强制网络门户，则在接口上配置的其他身份验证方法失败后，设备将尝试使用此方法对终端设备进行身份验证。

有关在接口上配置多种身份验证方法时的默认流程流的说明，请参阅 了解交换机上的访问控制。

您可以通过配置 authentication-order 语句来指定设备首先使用 802.1X 身份验证或 MAC RADIUS 身份验证，从而覆盖身份验证方法回退的默认顺序。强制网络门户必须始终在身份验证方法的顺序中排在最后。有关更多信息，请参阅 配置灵活身份验证顺序。

注：

如果接口配置为多请求模式，则通过该接口连接的终端设备可以使用不同的方法并行进行身份验证。因此，如果接口上的终端设备在回退到强制门户后进行了身份验证，则其他终端设备仍可使用 802.1X 或 MAC RADIUS 身份验证进行身份验证。