EX 系列交换机上的灵活身份验证顺序
Junos OS 交换机支持 802.1X、MAC RADIUS 和强制门户作为需要连接到网络的设备的身份验证方法。您可以使用灵活的身份验证顺序功能指定交换机在尝试对客户端进行身份验证时使用的身份验证方法的顺序。如果在单个接口上配置了多种身份验证方法,则当一种身份验证方法失败时,交换机将回退到另一种方法。有关更多信息,请阅读本主题。
配置灵活的身份验证顺序
您可以使用灵活的身份验证顺序功能指定交换机在尝试对客户端进行身份验证时使用的身份验证方法的顺序。如果在单个接口上配置了多种身份验证方法,则当一种身份验证方法失败时,交换机将回退到另一种方法。
默认情况下,交换机首先尝试使用 802.1X 身份验证对客户端进行身份验证。如果 802.1X 身份验证因客户端无响应而失败,并且接口上配置了 MAC RADIUS 身份验证,交换机将尝试使用 MAC RADIUS 进行身份验证。如果 MAC RADIUS 发生故障,并且接口上配置了强制网络门户,交换机将尝试使用强制网络门户进行身份验证。
使用灵活的身份验证顺序,可以根据连接到接口的客户端类型更改所用身份验证方法的顺序。您可以配置语句以 authentication-order
指定 802.1X 身份验证还是 MAC RADIUS 身份验证必须是尝试的第一个身份验证方法。强制门户始终是最后尝试的身份验证方法。
如果将 MAC RADIUS 身份验证配置为订单中的第一种身份验证方法,则在从任何客户端接收数据时,交换机将尝试使用 MAC RADIUS 身份验证对客户端进行身份验证。如果 MAC RADIUS 身份验证失败,交换机将使用 802.1X 身份验证对客户端进行身份验证。如果 802.1X 身份验证失败,且接口上配置了强制网络门户,交换机将尝试使用强制网络门户进行身份验证。
如果 802.1X 身份验证和 MAC RADIUS 身份验证失败,并且接口上未配置强制门户,则除非配置了服务器故障回退方法,否则客户端将被拒绝访问 LAN。有关详细信息,请参阅配置 RADIUS 服务器故障回退(CLI 过程)。
可以在配置为多请求模式的接口上并行使用不同的身份验证方法。因此,如果使用强制门户在接口上对终端设备进行身份验证,则连接到该接口的另一个终端设备仍可使用 802.1X 或 MAC RADIUS 身份验证进行身份验证。
在接口上配置灵活的身份验证顺序之前,请确保在该接口上配置了身份验证方法。交换机不会尝试使用接口上未配置的方法进行身份验证,即使该方法包含在身份验证顺序中也是如此;交换机将忽略该方法,并尝试按照该接口上启用的身份验证顺序执行下一个方法。
配置 authentication-order
语句时,请使用以下准则:
身份验证顺序必须至少包括两种身份验证方法。
802.1X 身份验证必须是身份验证顺序中包含的方法之一。
如果身份验证订单中包含强制门户,则该门户必须是顺序中的最后一种方法。
如果在接口上配置,则
mac-radius-restrict
无法在该接口上配置身份验证顺序。
要配置灵活的身份验证顺序,请使用以下有效组合之一:
可以使用选项全局 interface all
配置身份验证顺序,也可以使用单个接口名称在本地配置身份验证顺序。如果同时为单个接口和所有接口配置了身份验证顺序,则该接口的本地配置将覆盖全局配置。
配置身份验证顺序后,必须使用 insert
命令对身份验证顺序进行任何修改。使用该 set
命令不会更改配置的顺序。
要在初始配置后更改身份验证顺序,请执行以下操作:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order authentication-method before authentication-method
例如,要将顺序从 [mac-radius dot1x captive portal]
更改为 [dot1x mac-radius captive portal]
:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order dot1x before mac-radius
另请参阅
配置 EAPoL 块以维护现有认证会话
当充当 802.1X 身份验证器的交换机从经过身份验证的客户端收到 EAP-Start 消息时,交换机会尝试使用 802.1X 方法重新对客户端进行身份验证,通常返回 EAP-Request 消息,并等待响应。如果客户端无法响应,交换机将尝试使用 MAC RADIUS 或强制门户方法(如果配置了这些方法)重新验证客户端。使用 MAC RADIUS 或强制门户身份验证进行身份验证的客户端无响应,交换机尝试重新进行身份验证时,接口上的流量将被丢弃。
如果在接口上配置了灵活的身份验证顺序,以便 MAC RADIUS 是用于对客户端进行身份验证的第一种方法,则当客户端发送 EAP-Start 消息时,交换机仍会恢复为使用 802.1X 进行重新身份验证,即使客户端已使用 MAC RADIUS 身份验证成功进行身份验证也是如此。您可以使用固定或灵活的身份验证顺序配置 EAPoL 块。如果不配置语句, authentication-order
则默认情况下顺序是固定的。eapol-block
可以使用或不配置authentication-order
语句来配置语句。
您可以将交换机配置为忽略从已使用 MAC RADIUS 身份验证或使用语句强制 eapol-block
门户身份验证进行身份验证的客户端发送的 EAP-Start 消息。在 EAPoL 消息块生效的情况下,如果交换机从客户端收到 EAP-Start 消息,则不会返回 EAP-Request 消息,并且将保留现有身份验证会话。
如果终端尚未通过 MAC RADIUS 身份验证或强制门户身份验证,则 EAPoL 块不会生效。端点可以使用 802.1X 身份验证进行身份验证。
如果使用选项配置mac-radius
了,则eapol-block
在使用 MAC RADIUS 身份验证或 CWA(中央 Web 身份验证)对客户端进行身份验证后,即使客户端发送 EAP-Start 消息,客户端也会保持身份验证状态。如果配置了captive-portal
该选项,则eapol-block
一旦客户端通过强制门户进行身份验证,即使客户端发送 EAP-Start 消息,它也会保持身份验证状态。
EX4300 和 EX9200 交换机支持此功能。
要配置 EAPoL 消息块以维护现有身份验证会话,请执行以下操作: