Beispiel: Einrichten von 802.1X in Konferenzräumen zur Bereitstellung von Internetzugang für Firmenbesucher über einen Switch der EX-Serie
802.1X auf Switches der EX-Serie bietet LAN-Zugriff für Benutzer, die keine Anmeldeinformationen in der RADIUS-Datenbank haben. Diese Benutzer, die als Gästebezeichnet werden, sind authentifiziert und erhalten in der Regel Zugriff auf das Internet.
In diesem Beispiel wird beschrieben, wie Sie ein Gast-VLAN erstellen und die 802.1X-Authentifizierung dafür konfigurieren.
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Dieses Beispiel gilt auch für QFX5100 Switches.
Junos OS Version 9.0 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie, der als Port Access Entity (PAE) fungiert. Die Schnittstellen der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein RADIUS-Authentifizierungsserver, der 802.1X unterstützt. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie die Gast-VLAN-Authentifizierung konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Die anfängliche Switch-Konfiguration wurde durchgeführt. Weitere Informationen finden Sie unter Anschließen und Konfigurieren eines Switches der EX-Serie (CLI-Verfahren).
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Weitere Informationen finden Sie in der Dokumentation, in der das Einrichten von grundlegendem Bridging und einem VLAN für Ihren Switch beschrieben wird. Wenn Sie einen Switch verwenden, der den Konfigurationsstil Enhanced Layer 2 Software (ELS) unterstützt, finden Sie weitere Informationen unter Beispiel: Einrichten von Basic Bridging und einem VLAN für einen Switch der EX-Serie mit ELS-Unterstützung oder Beispiel: Einrichten von grundlegendem Bridging und einem VLAN auf Switches. Informationen zu allen anderen Switches finden Sie unter Beispiel: Einrichten eines grundlegenden Bridging und eines VLANs für einen Switchder EX-Serie.
HINWEIS:Weitere Informationen zu ELS finden Sie unter: Verwenden der erweiterten Layer-2-Software-CLI
Übersicht und Topologie
Im Rahmen der portbasierten Netzwerkzugriffssteuerung (PNAC) nach IEEE 802.1X können Sie Supplicants, die keiner VLAN-Authentifizierungsgruppe angehören, eingeschränkten Netzwerkzugriff gewähren, indem Sie die Authentifizierung für ein Gast-VLAN konfigurieren. In der Regel wird der Gast-VLAN-Zugriff verwendet, um Besuchern einer Unternehmenswebsite Internetzugang zu gewähren. Sie können jedoch auch die Gast-VLAN-Funktion verwenden, um Supplicants, die die 802.1X-Authentifizierung in einem Unternehmens-LAN nicht bestehen, Zugriff auf ein VLAN mit begrenzten Ressourcen zu gewähren.
Diese Zahl gilt auch für QFX5100 Switches.
Topologie
Abbildung 1 Zeigt den Konferenzraum, der an der Schnittstelle GE-0/0/1 mit dem Switch verbunden ist.
| Eigentum | Einstellungen |
|---|---|
Switch-Hardware |
EX4200-Switch, 24-Gigabit-Ethernet-Schnittstellen: 8 PoE-Schnittstellen (ge-0/0/0 bis ge-0/0/7) und 16 Nicht-PoE-Schnittstellen (ge-0/0/8 bis ge-0/0/23) |
VLAN-Namen und Tag-IDs |
salesEtikett 100supportEtikett 200 guest-vlanEtikett 300 |
Ein RADIUS-Server |
Backend-Datenbank, die über eine Schnittstelle mit dem Switch verbunden ist ge-0/0/10 |
In diesem Beispiel stellt die Zugriffsschnittstelle ge-0/0/1 die LAN-Konnektivität im Konferenzraum bereit. Konfigurieren Sie diese Zugriffsschnittstelle so, dass sie LAN-Konnektivität für Besucher im Konferenzraum bereitstellt, die nicht über das Unternehmens-VLAN authentifiziert sind.
Konfiguration eines Gast-VLANs mit 802.1X-Authentifizierung
Verfahren
CLI-Schnellkonfiguration
Um schnell ein Gast-VLAN mit 802.1X-Authentifizierung zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
Schritt-für-Schritt-Anleitung
So konfigurieren Sie ein Gast-VLAN, das 802.1X-Authentifizierung auf einem Switch der EX-Serie enthält:
Konfigurieren Sie die VLAN-ID für das Gast-VLAN:
[edit] user@switch# set vlans guest-vlan vlan-id 300
Konfigurieren Sie das Gast-VLAN unter dot1x Protokoll:
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-vlan {
guest-vlan;
}
}
}
}
}
}
vlans {
guest-vlan {
vlan-id 300;
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob das Gast-VLAN konfiguriert ist
Zweck
Stellen Sie sicher, dass das Gast-VLAN erstellt wurde und dass eine Schnittstelle die Authentifizierung fehlgeschlagen hat und in das Gast-VLAN verschoben wurde.
Auf Switches, auf denen Junos OS für die EX-Serie mit Unterstützung für ELS ausgeführt wird, enthält die Ausgabe des show vlans Befehls zusätzliche Informationen. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS unterstützt, finden Sie weitere Informationen unter Anzeigen von VLANs. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Action!
Geben Sie die Befehle für den Betriebsmodus ein:
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/3.0*
dynamic 40
None
guest 30
None
guest—vlan 300
ge-0/0/1.0*
vlan_dyn
None
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Guest VLAN
Authenticated VLAN: guest-vlan
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Bedeutung
Die Ausgabe des show vlans Befehls wird guest-vlan als Name des VLAN und die VLAN-ID als 300angezeigt.
Die Ausgabe des show dot1x interface ge-0/0/1.0 detail Befehls zeigt das Guest VLAN membership Feld an, das angibt, dass ein Supplicant an dieser Schnittstelle die 802.1X-Authentifizierung fehlgeschlagen ist und an die guest-vlanübergeben wurde.