Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

将您的接入点配置为 IEEE 802.1X 请求方

总结 为了提高安全性,请使用此功能阻止流向接入点的流量,直到验证其凭据。

瞻博网络 Mist 接入点可以使用 IEEE 802.1X 身份验证对其上行链路有线交换机进行身份验证。实施 802.1X 身份验证时,交换机会阻止通过端口发往 AP 的流量,直到在身份验证服务器(RADIUS 服务器)上显示并匹配其凭据。当 AP 通过身份验证后,交换机将停止阻止流量。

要让 802.1X 请求方功能在您的瞻博网络 Mist™ 接入点上运行,请确保接入点具有所需的固件,启用 802.1X 交换机端口配置文件和设备配置文件,然后将瞻博网络 Mist CA 证书添加到您的 RADIUS 服务器。

部署注意事项

在边缘部署具有 802.1X 的瞻博网络 Mist 接入点的首选方法是利用交换机端的访客 VLAN。对于完全锁定的访客 VLAN(除了访问 Mist 云外),接入点可以连接到云,接收其配置,并下载正确的接入点固件版本(如果需要)。获得请求方配置后,接入点将尝试向网络进行身份验证。

要求: 需要 AP 固件版本 0.14.x 或更高版本。为确保所有 AP 都满足此要求,以下过程包括在站点设置中启用自动升级。这样,所有接入点都会自动获得支持此功能所需的固件。

启用自动更新到版本 0.14.x 或更高版本

瞻博网络 Mist 接入点固件版本 0.14.x 或更高版本支持 802.1X。要确保所有 AP 都满足此要求,请在站点设置中启用自动升级。这样,所有接入点都会自动获得支持此功能所需的固件。

  1. 从瞻博网络 Mist 门户的左侧菜单中,选择组织>管理员 |站点配置
  2. 选择一个站点以打开“站点配置”页。
  3. 在“AP 固件升级”下,选择“启用自动更新”。
  4. 在“升级版本”下,选择“生产固件的自动升级”以获取最新固件。
    AP Firmware Upgrade Section of the Site Configuration Page
  5. 选择要运行自动升级的时间和星期几
    等待至少 2 小时以使新设置生效。例如,如果您在下午 2 点配置这些设置,并且想要立即更新您的 AP,请将时间设置为下午 4 点或更晚。
  6. 单击“站点配置”页右上角附近的“保存”。

在交换机端口配置文件中启用 802.1X

在交换机上,为 AP 连接的端口启用 802.1X 身份验证。我们建议使用访客 VLAN、服务器拒绝 VLAN 或 MAC 身份验证回退与允许接入点连接到 Mist 云的默认 VLAN,至少在站点的初始部署中是这样。这样,接入点可以安全地连接到云以接收初始配置和接入点固件。

要在端口配置文件中配置 802.1X:

  1. 选择“组织>交换机模板”,然后单击要配置的交换机模板。
  2. “身份验证服务器”部分中,添加 RADIUS 服务器。
    Adding RADIUS Servers in the Switch Template
  3. “共享元素”部分中,启用 802.1X 和 MAC 身份验证或访客网络。

    • 带 MAC 身份验证的 802.1X - 使用此选项,您的 RADIUS 服务器具有完全的可见性和控制力。当接入点连接时,交换机会执行 MAC 身份验证。RADIUS 应返回可以访问 Mist 云的默认/未知设备 VLAN。然后,接入点连接到云,必要时下载固件,并接收请求方配置。接下来,AP 请求 RADIUS 身份验证。对 AP 进行身份验证后,交换机会将 AP 放置在指定的 VLAN 中。

      Enabling 802.1X and MAC Authentication

    • 802.1X 带访客网络 — 使用此方法,您可以使用访客 VLAN 提供对新接入点的有限访问,直到它们连接到 Mist 云并获得其配置。当接入点连接时,它会放置在访客 VLAN 上。然后,它连接到云,必要时下载固件,并接收请求方配置。接下来,AP 请求 RADIUS 身份验证。对 AP 进行身份验证后,交换机会将 AP 放置在指定的 VLAN 中。

      Enabling 802.1X and Guest Network in a Port Profile
    注意:

    还要在端口配置文件中标识 VLAN,以便将 AP 分配给所需的 VLAN。或者,通过 RADIUS 分配 VLAN。请参阅通过 RADIUS 分配 VLAN(如果适用)。

通过 RADIUS 分配 VLAN(如果适用)

如果您使用 Mist Edge 并通过隧道传输所有 WLAN,那么连接到配置为接入的交换机端口的 AP 可能就足够了。但是,如果您不使用 Mist Edge,或者有 WLAN 本地流量分支,则可能需要将交换机端口作为中继端口。大多数交换机操作系统允许您从 RADIUS 返回多个 VLAN。

对于 Junos,您可以返回多个出口 VLANID 或出口 VLAN 名称。

出口 VLAN 名称示例:

  • 1 = 标记
  • 2 = 未标记
  • VLAN-2 和 VLAN-3 是交换机上的 VLAN 名称

在下面的示例中,VLAN 1vlan-2 已标记,VLAN 2vlan-3 未标记:

注意:

有关配置方面的帮助,请参阅 Junos OS 文档。

在设备配置文件中启用 802.1X 请求方选项

要一次快速配置多个接入点,请在启用此功能的情况下设置设备配置文件。然后,您将设备配置文件应用到接入点。当接入点首次连接到云时,它将立即收到请求方配置。

  1. 从瞻博网络 Mist 门户的左侧菜单中选择组织>设备配置文件
  2. 单击现有配置文件或单击创建配置文件
  3. 在设备配置文件的以太网属性部分中,找到 802.1X 请求方选项,然后单击启用
    802.1X Supplicant Option on the Device Profile Page
  4. 为此设备配置文件配置任何其他所需设置。
  5. 单击“设备配置文件”页面右上角附近的“保存”。

将设备配置文件应用到您的接入点

当您在组织中声明接入点时,请应用设备配置文件并标识站点。这样,当您使 AP 联机时,它们将通过站点配置中的自动升级设置获取固件,并从设备配置文件获取 AP 配置。

  1. 从瞻博网络 Mist 门户的左侧菜单中选择接入点
  2. 单击接入点页面右上角的声明接入点
  3. 在弹出窗口中,输入激活码或声明码,选择站点,然后选择设备配置文件。
    Applying a Device Profiles When Claiming APs
  4. 单击“声明”。

将证书导入 RADIUS 服务器

瞻博网络 Mist 会为您的组织生成唯一的 CA 证书。您需要将此证书导入 RADIUS 服务器,以便服务器可以对您的 AP 进行身份验证。

您可以在组织>设置页面上找到您的 Mist 证书

Mist Certificate Link on the Organization Settings Page