Beispiel: Einrichten von 802.1X in Konferenzräumen für den Internetzugang für Firmenbesucher auf einem Router der MX-Serie
Ab Junos OS Version 14.2 bietet 802.1X auf Routern der MX-Serie LAN-Zugriff für Benutzer, die keine Anmeldeinformationen in der RADIUS-Datenbank haben. Diese Benutzer, die als Gäste bezeichnet werden, sind authentifiziert und erhalten in der Regel Zugriff auf das Internet.
In diesem Beispiel wird beschrieben, wie Sie ein Gast-VLAN erstellen und die 802.1X-Authentifizierung dafür konfigurieren.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 14.2 oder höher für MX240-, MX480- oder MX960-Router, die im erweiterten LAN-Modus ausgeführt werden.
Ein Router, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Ports der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein RADIUS-Authentifizierungsserver, der 802.1X unterstützt. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie den Server mit dem Router verbinden, stellen Sie sicher, dass Sie über Folgendes verfügen:
Erweiterter LAN-Modus auf dem Router konfiguriert.
Grundlegende Bridging- und VLAN-Konfiguration auf dem Router durchgeführt.
Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver.
Übersicht und Topologie
Der Router der MX-Serie fungiert als Authentifikator Port Access Entity (PAE). Es blockiert den gesamten Datenverkehr und fungiert als Kontrollgate, bis der Supplicant (Client) vom Server authentifiziert wird. Allen anderen Benutzern und Geräten wird der Zugriff verweigert.
Stellen Sie sich einen Router der MX-Serie vor, der als Authentifikator-Port fungiert. Er ist über die Schnittstelle ge-0/0/10 über das IP-Netzwerk mit einem RADIUS-Server verbunden. Der Router ist auch mit einem Konferenzraum über die Schnittstelle ge-0/0/1, mit einem Drucker über die Schnittstelle ge-0/0/20, mit einem Hub über die Schnittstelle ge-0/0/8 und mit zwei Supplicants oder Clients über die Schnittstellen ge-0/0/2 bzw. ge-0/0/9 verbunden.
| Eigentum | Einstellungen |
|---|---|
Router-Hardware |
Router der MX-Serie |
VLAN-Name |
default |
Ein RADIUS-Server |
Backend-Datenbank mit der Adresse, die mit dem Switch am Port verbunden ist 10.0.0.100ge-0/0/10 |
In diesem Beispiel stellt die Zugriffsschnittstelle ge-0/0/1 die LAN-Konnektivität im Konferenzraum bereit. Konfigurieren Sie diese Zugriffsschnittstelle so, dass sie LAN-Konnektivität für Besucher im Konferenzraum bereitstellt, die nicht über das Unternehmens-VLAN authentifiziert sind.
Konfiguration eines Gast-VLANs mit 802.1X-Authentifizierung
Verfahren
CLI-Schnellkonfiguration
Um schnell ein Gast-VLAN mit 802.1X-Authentifizierung zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set vlans bridge-domain-name vlan-id 300 set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Schritt-für-Schritt-Anleitung
So konfigurieren Sie ein Gast-VLAN, das 802.1X-Authentifizierung auf Routern der MX-Serie enthält:
Konfigurieren Sie die VLAN-ID für das Gast-VLAN:
[edit] user@switch# set bridge-domains bridge-domain-name vlan-id 300
Konfigurieren Sie das Gast-VLAN unter dot1x-Protokollen:
[edit] user@switch# set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-bridge-domain {
bridge-domain-name;
}
}
}
}
}
}
}
bridge-domains {
bridge-domain-name {
vlan-id 300;
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob das Gast-VLAN konfiguriert ist
Zweck
Stellen Sie sicher, dass das Gast-VLAN erstellt wurde und dass eine Schnittstelle die Authentifizierung fehlgeschlagen hat und in das Gast-VLAN verschoben wurde.
Action!
Verwenden Sie die Befehle für den Betriebsmodus:
user@switch> show bridge-domain
Instance Bridging Domain Type
Primary Table Active
vs1 dynamic bridge
bridge.0 2
vs1 guest bridge
bridge.0 0
vs1 guest-vlan bridge
bridge.0 0
vs1 vlan_dyn bridge
bridge.0 0
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Bedeutung
Die Ausgabe des show bridge domain Befehls zeigt bridge-domain-name als Namen des VLANs und die VLAN-ID als 300.
Die Ausgabe des show dot1x interface ge-0/0/1.0 detail Befehls zeigt den Bridge-Domänennamen an, der darauf hinweist, dass ein Supplicant an dieser Schnittstelle die 802.1X-Authentifizierung fehlgeschlagen ist und an den Bridge-Domänennamen übergeben wurde.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.