用于身份验证的 RADIUS 服务器配置
瞻博网络以太网交换机使用 802.1X、MAC RADIUS 或强制门户身份验证,为设备或用户提供访问控制。在交换机上配置 802.1X、MAC RADIUS 或强制门户身份验证时,身份验证 (RADIUS) 服务器将在初始连接时评估终端设备。要使用 802.1X 或 MAC RADIUS 身份验证,必须在交换机上为要连接的每个 RADIUS 服务器指定连接。有关更多信息,请阅读本主题。
在交换机上指定 RADIUS 服务器连接(CLI 过程)
IEEE 802.1X 和 MAC RADIUS 身份验证均提供网络边缘安全性,通过阻止接口上进出设备的所有流量,直到请求方的凭据或 MAC 地址在 (RADIUS 服务器) 上 authentication server 显示和匹配,保护以太网 LAN 免受未经授权的用户访问。请求方通过身份验证后,交换机将停止阻止访问,并打开请求方的接口。
要使用 802.1X 或 MAC RADIUS 身份验证,您必须为要连接到的每个 RADIUS 服务器指定交换机上的连接。
要配置多个 RADIUS 服务器,请包含多个 radius-server
语句。配置多个服务器时,默认情况下将按配置顺序访问服务器。配置的第一个服务器是主服务器。如果无法访问主服务器,路由器将尝试访问第二个配置的服务器,依此类推。可以通过配置轮循机制方法来对请求进行负载均衡。服务器将按顺序和轮询方式尝试,直到从其中一个服务器收到有效响应,或者达到所有配置的重试限制。
不建议将轮询访问方法用于 EX 系列交换机。
还可以配置解析为一个或多个 IP 地址的完全限定域名 (FQDN)。请参阅 在交换机上指定 RADIUS 服务器连接(CLI 过程)。
要在交换机上配置 RADIUS 服务器:
使用 FQDN 配置 RADIUS 服务器
可以配置解析为一个或多个 IP 地址的完全限定域名 (FQDN)。在 [] 层次结构级别使用 FQDNedit access radius-server-name hostname
配置 RADIUS 服务器。当 FQDN 解析为多个地址时,默认情况下将按配置顺序访问服务器。第一个解析的地址是主服务器。如果无法访问主服务器,路由器将尝试访问第二台服务器,依此类推。可以通过配置轮循机制方法来对请求进行负载均衡。服务器将按顺序和轮询方式尝试,直到从其中一个服务器收到有效响应,或者达到所有配置的重试限制。
另请参阅
了解会话感知轮循机制 RADIUS 请求
从 Junos OS 22.4R1 版开始,当配置轮询算法时,身份验证 (authd) 服务将实现会话感知,以便将相应的访问请求发送到同一 RADIUS 服务器以响应来自 RADIUS 服务器的访问质询,从而成功进行身份验证。
根据现有行为,在收到来自其中一个 RADIUS 服务器的访问质询和状态属性后,将使用轮询算法将相应的访问请求发送到下一个 RADIUS 服务器。由于下一个 RADIUS 服务器没有此会话的记录,因此它会拒绝访问请求,从而导致身份验证失败。借助新功能,配置相应的算法,以便将相应的访问请求发送到同一 RADIUS 服务器,以响应来自 RADIUS 服务器的访问质询,从而成功进行身份验证。如果 RADIUS 服务器未响应访问质询,则会接受或拒绝请求。对于下一个身份验证请求,请求将根据轮循机制方法发送到下一个 RADIUS 服务器。可以从 RADIUS 服务器发送任意数量的访问质询以响应每个访问请求,并且 authd 响应同一个 RADIUS 服务器,直到 RADIUS 服务器接受或拒绝该请求。
请注意,此功能仅支持 authd-lite 客户端(dot1x 等),而不支持使用点对点协议 (PPP) 的宽带客户端,因为宽带客户端不支持此功能。此外,访问质询消息仅在身份验证的情况下在 RADIUS 客户端和 RADIUS 服务器之间交换,而不用于记帐。
配置 MS-CHAPv2 以提供密码更改支持(CLI 过程)
使用 EX 系列交换机的 Junos OS,您可以在交换机上配置 Microsoft Corporation 实施质询握手身份验证协议版本 2 (MS-CHAPv2),以提供密码更改支持。在交换机上配置 MS-CHAPv2 为访问交换机的用户提供了在密码过期、重置或配置为在下次登录时更改密码时更改密码的选项。
有关 MS-CHAP 的信息,请参阅 RFC 2433 Microsoft PPP CHAP 扩展。
在配置 MS-CHAPv2 以提供密码更改支持之前,请确保您已:
已配置 RADIUS 服务器身份验证。在身份验证服务器上配置用户,并将身份验证顺序中的首次尝试选项设置为 RADIUS。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
若要配置 MS-CHAPv2,请指定以下内容:
[edit system radius-options] user@switch# set password-protocol mschap-v2
您必须对交换机具有所需的访问权限才能更改密码。
另请参阅
配置 MS-CHAPv2 以支持密码更改
在配置 MS-CHAPv2 以支持密码更改之前,请确保已完成以下操作:
配置的 RADIUS 服务器身份验证参数。
将身份验证顺序中的第一个尝试选项设置为 RADIUS 服务器。
您可以在路由器或交换机上配置质询握手身份验证协议版本 2 (MS-CHAPv2) 的Microsoft实现,以支持更改密码。此功能为访问路由器或交换机的用户提供了在密码过期、重置或配置为在下次登录时更改密码时更改密码的选项。
若要配置 MS-CHAP-v2,请在层次结构级别包括以下语句 [edit system radius-options]
:
[edit system radius-options] password-protocol mschap-v2;
下面的示例演示用于配置 MS-CHAPv2 密码协议、密码身份验证顺序和用户帐户的语句:
[edit] system { authentication-order [ radius password ]; radius-server { 192.168.69.149 secret "$9$G-j.5Qz6tpBk.1hrlXxUjiq5Qn/C"; ## SECRET-DATA } radius-options { password-protocol mschap-v2; } login { user bob { class operator; } } }
了解交换机上的服务器故障回退和身份验证
瞻博网络以太网交换机使用身份验证在企业网络中实施访问控制。如果在交换机上配置了 802.1X、MAC RADIUS 或强制门户身份验证,则身份验证 (RADIUS) 服务器将在初始连接时评估终端设备。如果在身份验证服务器上配置了终端设备,则会授予设备对 LAN 的访问权限,并且 EX 系列交换机将打开接口以允许访问。
通过服务器故障回退,您可以指定在 RADIUS 身份验证服务器不可用时如何支持连接到交换机的终端设备。服务器故障回退最常在重新进行身份验证期间触发,当已配置和正在使用的 RADIUS 服务器变得不可访问时。但是,终端设备首次尝试通过 RADIUS 服务器进行身份验证时,也可以触发服务器故障回退。
通过服务器故障回退,您可以指定在服务器超时时对等待身份验证的终端设备采取的四种操作之一。交换机可以接受或拒绝请求方的访问,或者维护在 RADIUS 超时发生之前已授予请求方的访问权限。您还可以将交换机配置为将请求方移动到特定 VLAN。VLAN 必须已在交换机上配置。配置的 VLAN 名称将覆盖服务器发送的任何属性。
Permit 身份验证,允许流量从终端设备流经接口,就像终端设备已由 RADIUS 服务器成功进行身份验证一样。
Deny 身份验证,防止流量从终端设备流经接口。这是默认设置。
Move 如果交换机收到 RADIUS 访问拒绝消息,则为指定 VLAN 的终端设备。配置的 VLAN 名称将覆盖服务器发送的任何属性。(VLAN 必须已存在于交换机上。)
Sustain 已具有 LAN 访问权限 deny 的经过身份验证的终端设备和未经身份验证的终端设备。如果 RADIUS 服务器在重新身份验证期间超时,则会重新验证先前经过身份验证的终端设备,并拒绝新用户访问 LAN。
另请参阅
配置 RADIUS 服务器故障回退(CLI 过程)
您可以配置身份验证回退选项,以指定在 RADIUS 身份验证服务器不可用时如何支持连接到交换机的终端设备。
在交换机上设置 802.1X 或 MAC RADIUS 身份验证时,请指定一个主身份验证服务器以及一个或多个备份身份验证服务器。如果交换机无法访问主认证服务器,并且也无法访问辅助认证服务器,则会发生 RADIUS 服务器超时。如果发生这种情况,由于是身份验证服务器授予或拒绝对等待身份验证的终端设备的访问权限,因此交换机不会收到尝试访问 LAN 的终端设备的访问指令,并且无法完成正常的身份验证。
您可以配置服务器故障回退功能,以指定在身份验证服务器不可用时交换机应用于终端设备的操作。交换机可以接受或拒绝请求方的访问,或者维护在 RADIUS 超时发生之前已授予请求方的访问权限。您还可以将交换机配置为将请求方移动到特定 VLAN。
您还可以为从身份验证服务器接收 RADIUS 访问拒绝消息的终端设备配置服务器拒绝回退功能。服务器拒绝回退功能为启用了 802.1X 但发送了错误凭据的响应式终端设备提供对 LAN 的有限访问,通常仅访问互联网。
从版本 14.1X53-D40 和版本 15.1R4 开始的语音流量支持服务器故障回退。要为发送语音流量的 VoIP 客户端配置服务器故障回退操作,请使用该 server-fail-voip
语句。对于所有数据流量,请使用 server-fail
语句。交换机根据客户端发送的流量类型确定要使用的回退方法。未标记的数据帧受 配置的操作 server-fail
的约束,即使它们是由 VoIP 客户端发送的。标记的 VoIP VLAN 帧受 配置的操作 server-fail-voip
的约束。如果未配置,则会 server-fail-voip
丢弃语音流量。
VoIP VLAN 标记的流量不支持服务器拒绝回退。如果 VoIP 客户端通过在服务器拒绝回退生效时向 VLAN 发送未标记的数据流量来启动身份验证,则允许 VoIP 客户端访问回退 VLAN。如果同一客户端随后发送标记的语音流量,则会丢弃语音流量。
如果 VoIP 客户端在服务器拒绝回退生效时通过发送标记的语音流量来启动身份验证,则 VoIP 客户端将被拒绝访问回退 VLAN。
可以使用以下过程为数据客户端配置服务器故障操作。要为发送语音流量的 VoIP 客户端配置服务器故障回退,请使用语句 server-fail-voip
代替 server-fail
语句。
配置服务器故障回退操作:
您可以配置从身份验证服务器接收 RADIUS 访问拒绝消息的接口,以将尝试在该接口上进行 LAN 访问的终端设备移动到服务器拒绝 VLAN,即交换机上已配置的指定 VLAN。
要配置服务器拒绝回退 VLAN,请执行以下操作:
[edit protocols dot1x authenticator] user@switch# set interface interface-name server-reject-vlan vlan-sf
另请参阅
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。