附录:交换机模板配置示例
本部分的所有配置示例均在分配给所有交换机的交换机模板中进行。可以通过 瞻博网络 Mist 门户的 组织>交换机模板 选项卡进行配置交换机模板。
第三方 RADIUS 服务器配置
在交换机模板开始时,您可以配置第三方 RADIUS 服务器。必须配置的最小项目包括:
- 选择身份验证服务器=
Radius - 至少添加一个新的身份验证服务器:
- 配置此 RADIUS 服务器响应请求的主机名或 IP 地址。
- 在交换机和服务器之间设置一个共享密钥以允许通信。
您必须在 RADIUS 服务器上为每个客户端执行类似的过程。配置 RADIUS 服务器、客户端的 IP 地址和共享密钥。确保为充当 RADIUS 客户端的交换机定义特定于供应商的词典。
Mist 身份验证配置
如果您打算使用瞻博网络 Mist Access Assurance,则无需进行太多配置:
- 选择作为认证服务器=
Mist Auth
图 1:身份验证服务器配置
用于测试的端口配置文件
测试期间使用了以下端口配置文件:
- 所有静态 GBP 标记分配都使用一个,无需任何特殊身份验证:
- 端口配置文件名称=
vlan1099-no-auth - 模式=
Access - 端口网络=
vlan1099
- 端口配置文件名称=
- 使用的所有具有 802.1X 请求方的动态 GBP 标记分配:
- 端口配置文件名称=
vlan1099-eap-auth - 模式=
Access - 端口网络=
vlan1099 - 使用 dot1x 身份验证=
Enabled
- 端口配置文件名称=
- 通过 MAC 地址进行的所有动态 GBP 标记分配都使用:
- 端口配置文件名称=
vlan1099-mac-auth - 模式=
access - 端口网络=vlan1099
- 使用 dot1x 身份验证=
Enabled - MAC 身份验证=
Enabled - 仅 Mac 身份验证=
Enabled这可以防止交换机尝试基于 EAP 的身份验证,但该验证将失败并导致 60 秒的延迟。
- 身份验证协议=
pap这在 RADIUS 服务器端更容易配置。
- 端口配置文件名称=
- 最后,对于接入点,我们使用了以下端口配置文件:
- 端口配置文件名称=
access-points - 模式=
Trunk - 端口网络=
vlan1033 - 中继网络 =
vlan1033和vlan1099
- 端口配置文件名称=
GBP 标记分配
根据测试用例,我们使用了不同的 GBP 标记分配配置。
图 2 显示了用于测试具有 MAB 和 802.1X 客户端的 RADIUS 服务器的 GBP 标记分配列表。
图 2:动态 GBP 标记
图 3 显示了用于测试基于 IP 地址的静态分配的 GBP 标记分配列表。
图 3:静态 GBP 标记
- 对于整个 GBP 标签分配测试,使用了更多的静态分配排列,但我们在这里不列出它们。
注意:
如果您使用基于 VLAN ID(基于网络)的分配,并且接入交换机是无法利用这些功能的 EX4100 交换机,则瞻博网络 Mist 云将自动过滤掉这些无效的 Junos OS 命令,因此不会将它们推送到交换机。其余配置将按预期保持不变。
GBP 策略分配
大多数时候,使用以下 SGT 策略实施矩阵来阻止或允许 GBP 标记之间的流量。
图 4:GBP 策略分配
