用于身份验证的 RADIUS 服务器配置
瞻博网络以太网交换机使用 802.1X、MAC RADIUS 或强制门户身份验证为设备或用户提供访问控制。在交换机上配置 802.1X、MAC RADIUS 或强制门户身份验证后,将由身份验证 (RADIUS) 服务器在初始连接时评估终端设备。要使用 802.1X 或 MAC RADIUS 身份验证,必须在交换机上为要连接的每台 RADIUS 服务器指定连接。有关更多信息,请阅读本主题。
在交换机上指定 RADIUS 服务器连接 (CLI 过程)
IEEE 802.1X 和 MAC RADIUS 身份验证 均提供网络边缘安全性,通过阻止接口上设备往来的所有流量,直到请求方的凭据或MAC 地址在(RADIUS服务器)上 authentication server 显示和匹配为止,保护以太网 LAN 免遭未经授权的用户访问。请求方通过身份验证后,交换机将停止阻止访问,并为请求方打开接口。
要使用 802.1X 或 MAC RADIUS 身份验证,必须在交换机上为要连接的每台 RADIUS 服务器指定连接。
要配置多个 RADIUS 服务器,请包含多个 radius-server 语句。配置多台服务器时,默认情况下,将按配置顺序访问服务器。配置的第一台服务器是主服务器。如果主服务器无法访问,路由器将尝试访问第二个配置的服务器,依此类推。您可以通过配置轮询方法来均衡请求的负载。以轮询方式按顺序试用服务器,直到从其中一台服务器收到有效响应,或者直到达到所有配置的重试限制。
不建议将轮询访问方法用于 EX 系列交换机。
您还可以配置解析为一个或多个 IP 地址的完全限定域名 (FQDN)。请参阅在交换机上指定 RADIUS 服务器连接 (CLI 过程)。
要在交换机上配置 RADIUS 服务器,请执行以下操作:
使用 FQDN 配置 RADIUS 服务器
您可以配置解析为一个或多个 IP 地址的完全限定域名 (FQDN)。在 [edit access radius-server-name hostname] 层次结构级别使用 FQDN 配置 RADIUS 服务器。当 FQDN 解析为多个地址时,默认情况下,将按配置顺序访问服务器。第一个解析地址是主服务器。如果主服务器无法访问,路由器将尝试访问第二台服务器,依此类推。您可以通过配置轮询方法来均衡请求的负载。以轮询方式按顺序试用服务器,直到从其中一台服务器收到有效响应,或者直到达到所有配置的重试限制。
也可以看看
了解会话感知轮询 RADIUS 请求
从 Junos OS 22.4R1 版开始,当配置轮询算法时,身份验证(authd) 服务具有会话感知能力,以便将相应的访问请求发送到同一RADIUS服务器,以响应来自RADIUS服务器的访问质询,从而成功身份验证。
根据现有行为,在收到来自其中一台RADIUS服务器的访问质询和状态属性后,使用轮询算法将相应的访问请求发送到下一个RADIUS服务器。由于下一个 RADIUS 服务器没有此会话的记录,因此它会拒绝访问请求,从而导致身份验证失败。使用新功能时,配置了相应的算法,以便将相应的访问请求发送到同一 RADIUS 服务器,以响应来自 RADIUS 服务器的访问质询,从而成功进行身份验证。如果 RADIUS 服务器未响应访问质询,则接受或拒绝请求。对于下一个身份验证请求,请求将根据轮询方法发送到下一个 RADIUS 服务器。可以从 RADIUS 服务器发送任意数量的访问质询以响应每个访问请求,并且 authd 会响应同一 RADIUS 服务器,直到请求被 RADIUS 服务器接受或拒绝。
请注意,仅 authd-lite 客户端(dot1x 等)支持此功能,而不支持使用点对点协议 (PPP) 的宽带客户端,因为宽带客户端不支持此功能。此外,仅在身份验证的情况下,才会在 RADIUS 客户端和 RADIUS 服务器之间交换访问质询消息,而不是用于记帐。
配置 MS-CHAPv2 以提供密码更改支持(CLI 过程)
通过适用于 EX 系列交换机的 Junos OS,您可以在交换机上配置 Microsoft Corporation 的质询握手认证协议第 2 版 (MS-CHAPv2) 实施,以提供密码更改支持。通过在交换机上配置 MS-CHAPv2,访问交换机的用户可以选择在密码过期、重置或配置为下次登录时更改密码。
有关 MS-CHAP 的信息,请参阅 RFC 2433,Microsoft PPP CHAP 扩展。
在配置 MS-CHAPv2 以提供密码更改支持之前,请确保您已:
配置 RADIUS 服务器身份验证。在身份验证服务器上配置用户,并将身份验证顺序中的首次尝试选项设置为 radius。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
要配置 MS-CHAPv2,请指定以下内容:
[edit system radius-options] user@switch# set password-protocol mschap-v2
必须对交换机具有必要的访问权限,才能更改密码。
也可以看看
配置 MS-CHAPv2 以支持密码更改
在配置 MS-CHAPv2 以支持密码更改之前,请确保已完成以下操作:
配置的 RADIUS 服务器身份验证参数。
将身份验证顺序中的第一个尝试选项设置为 RADIUS 服务器。
可以在路由器或交换机上配置质询握手身份验证协议版本 2 (MS-CHAPv2) 的 Microsoft 实现,以支持密码更改。此功能为访问路由器或交换机的用户提供在密码过期、重置或配置为下次登录时更改密码的选项。
要配置 MS-CHAP-v2,请在 [edit system radius-options] 层次结构级别加入以下语句:
[edit system radius-options] password-protocol mschap-v2;
以下示例显示用于配置 MS-CHAPv2 密码协议、密码身份验证顺序和用户帐户的语句:
[edit]
system {
authentication-order [ radius password ];
radius-server {
192.168.69.149 secret "$9$G-j.5Qz6tpBk.1hrlXxUjiq5Qn/C"; ## SECRET-DATA
}
radius-options {
password-protocol mschap-v2;
}
login {
user bob {
class operator;
}
}
}
了解交换机上的服务器故障回退和身份验证
瞻博网络以太网交换机使用身份验证在企业网络中实施访问控制。如果交换机上配置了 802.1X、MAC RADIUS 或强制门户身份验证,则终端设备将在初始连接时由身份验证 (RADIUS) 服务器进行评估。如果终端设备配置在身份验证服务器上,则设备将被授予对 LAN 的访问权限,并且 EX 系列交换机将打开接口以允许访问。
通过服务器故障回切,您可以指定在 RADIUS 身份验证服务器变为不可用时,如何支持连接到交换机的终端设备。当已配置且正在使用的 RADIUS 服务器变得无法访问时,最常在重新验证期间触发服务器故障回退。但是,终端设备首次尝试通过 RADIUS 服务器进行身份验证也会触发服务器故障回退。
服务器故障回切允许您指定在服务器超时时为等待身份验证的终端设备执行的四个操作之一。交换机可以接受或拒绝对请求方的访问,也可以保留在 RADIUS 超时之前已授予请求方的访问权限。您还可以将交换机配置为将请求方移动到特定的 VLAN。交换机上必须已配置 VLAN。配置的 VLAN 名称将覆盖服务器发送的任何属性。
-
Permit 身份验证,允许流量从终端设备流经接口,就好像终端设备已通过 RADIUS 服务器成功验证一样。
-
Deny身份验证,防止流量从终端设备通过接口流动。这是默认设置。
-
Move 终端设备设置为指定的 VLAN,前提是交换机收到 RADIUS 访问拒绝消息。配置的 VLAN 名称将覆盖服务器发送的任何属性。(交换机上必须已存在 VLAN。)
-
Sustain已通过身份验证的终端设备(已进行 LAN 访问)和deny 未通过身份验证的终端设备。如果 RADIUS 服务器在重新身份验证期间超时,则会重新验证之前经过身份验证的终端设备,并拒绝新用户访问 LAN。
如果 VLAN 配置了服务器故障 VoIP,但服务器发生故障,则会在客户端身份验证期间为此 VLAN 创建接口网桥域 (IFBD)。如果身份验证服务器无法访问或超时,交换机可以将身份验证客户端移动到回退 VLAN,从而确保语音流量的连续性。该 server-fail-voip 语句专门处理语音 VLAN 标记的流量回退操作,如允许访问、拒绝访问或将客户端移动到交换机上已配置的指定 VLAN。如果配置了该 server-fail-voip 语句,交换机将在服务器故障期间使用它来隔离和管理 VoIP 客户端流量,即使在无法完成身份验证的情况下也能保持语音服务的可用性。
也可以看看
配置 RADIUS 服务器故障回退(CLI 过程)
您可以配置身份验证回退选项,以指定在 RADIUS 身份验证服务器不可用时如何支持连接到交换机的身份验证设备。
在交换机上设置 802.1X 或 MAC RADIUS 身份验证时,请指定一个主身份验证服务器以及一个或多个备用身份验证服务器。如果交换机无法访问主身份验证服务器,且辅助身份验证服务器也无法访问,则会发生 RADIUS 服务器超时。如果发生这种情况,由于是身份验证服务器授予或拒绝对等待身份验证的终端设备的访问权限,因此交换机不会收到尝试访问 LAN 的终端设备的访问指令,因此无法完成正常身份验证。
您可以配置服务器故障回退功能,以指定在身份验证服务器不可用时交换机应用于终端设备的操作。交换机可以接受或拒绝对请求方的访问,也可以保留在 RADIUS 超时之前已授予请求方的访问权限。您还可以将交换机配置为将请求方移动到特定的 VLAN。
您还可以为从身份验证服务器接收 RADIUS 访问拒绝消息的终端设备配置服务器拒绝回退功能。对于启用了 802.1X 但发送了错误凭据的响应式终端设备,服务器拒绝回退功能提供对 LAN(通常仅限互联网)的有限访问。
从 14.1X53-D40 和 15.1R4 版本开始,语音流量支持服务器故障回退。要为发送语音流量的 VoIP 客户端配置服务器故障回退操作,请使用 server-fail-voip 该语句。对于所有数据流量,请使用 server-fail 该语句。交换机根据客户端发送的流量类型确定要使用的回退方法。未标记的数据帧受使用 server-fail配置的操作的约束,即使它们是由 VoIP 客户端发送的也是如此。标记的 VoIP VLAN 帧受使用 配置 server-fail-voip的操作的约束。如果未配置,则 server-fail-voip 语音流量将被丢弃。
VoIP VLAN 标记流量不支持服务器拒绝回退。如果 VoIP 客户端通过向 VLAN 发送未标记的数据流量来启动身份验证,而服务器拒绝回退生效,则允许 VoIP 客户端访问回退 VLAN。如果同一客户端随后发送带标记的语音流量,则语音流量将被丢弃。
如果 VoIP 客户端通过发送标记的语音流量来启动身份验证,而服务器拒绝回退生效,则 VoIP 客户端将被拒绝访问回退 VLAN。
您可以使用以下过程为数据客户端配置服务器故障操作。要为发送语音流量的 VoIP 客户端配置服务器故障回退,请使用 server-fail-voip 语句代替 server-fail 语句。
要配置服务器故障回退操作:
您可以配置一个接口,让其接收来自身份验证服务器的 RADIUS 访问-拒绝消息,以便将尝试在接口上进行 LAN 访问的终端设备移动到服务器-拒绝 VLAN(交换机上已配置的指定 VLAN)。
要配置服务器拒绝回退 VLAN,请执行以下操作:
-
[edit protocols dot1x authenticator] user@switch# set interface interface-name server-reject-vlan vlan-sf
也可以看看
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。