Beispiel: Einrichten von 802.1X in Konferenzräumen zur Bereitstellung von Internetzugang für Firmenbesucher über einen Switch der EX-Serie
802.1X auf Switches der EX-Serie bietet LAN-Zugriff für Benutzer, die keine Anmeldeinformationen in der RADIUS-Datenbank haben. Diese Benutzer, die als Gäste bezeichnet werden, sind authentifiziert und erhalten in der Regel Zugriff auf das Internet.
In diesem Beispiel wird beschrieben, wie Sie ein Gast-VLAN erstellen und die 802.1X-Authentifizierung dafür konfigurieren.
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Dieses Beispiel gilt auch für QFX5100 Switches.
Junos OS Version 9.0 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie, der als Port Access Entity (PAE) fungiert. Die Schnittstellen der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein RADIUS-Authentifizierungsserver, der 802.1X unterstützt. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie die Gast-VLAN-Authentifizierung konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Die anfängliche Switch-Konfiguration wurde durchgeführt. Weitere Informationen finden Sie unter Anschließen und Konfigurieren eines Switches der EX-Serie (CLI-Verfahren).Connecting and Configuring an EX Series Switch (CLI Procedure)
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Weitere Informationen finden Sie in der Dokumentation, in der das Einrichten von grundlegendem Bridging und einem VLAN für Ihren Switch beschrieben wird. Wenn Sie einen Switch verwenden, der den Konfigurationsstil Enhanced Layer 2 Software (ELS) unterstützt, finden Sie weitere Informationen unter Beispiel: Einrichten von Basic Bridging und einem VLAN für einen Switch der EX-Serie mit ELS-Unterstützung oder Beispiel: Einrichten von grundlegendem Bridging und einem VLAN auf Switches. Informationen zu allen anderen Switches finden Sie unter Beispiel: Einrichten eines grundlegenden Bridging und eines VLANs für einen Switch der EX-Serie.
HINWEIS:Weitere Informationen zu ELS finden Sie unter: Verwenden der erweiterten Layer-2-Software-CLI
Übersicht und Topologie
Im Rahmen der portbasierten Netzwerkzugriffssteuerung (PNAC) nach IEEE 802.1X können Sie Supplicants, die keiner VLAN-Authentifizierungsgruppe angehören, eingeschränkten Netzwerkzugriff gewähren, indem Sie die Authentifizierung für ein Gast-VLAN konfigurieren. In der Regel wird der Gast-VLAN-Zugriff verwendet, um Besuchern einer Unternehmenswebsite Internetzugang zu gewähren. Sie können jedoch auch die Gast-VLAN-Funktion verwenden, um Supplicants, die die 802.1X-Authentifizierung in einem Unternehmens-LAN nicht bestehen, Zugriff auf ein VLAN mit begrenzten Ressourcen zu gewähren.
Diese Zahl gilt auch für QFX5100 Switches.
Topologie
Abbildung 1 Zeigt den Konferenzraum, der an der Schnittstelle GE-0/0/1 mit dem Switch verbunden ist.
Eigenschaft | Einstellungen |
---|---|
Switch-Hardware |
EX4200-Switch, 24-Gigabit-Ethernet-Schnittstellen: 8 PoE-Schnittstellen ( bis ) und 16 Nicht-PoE-Schnittstellen ( bis )ge-0/0/0ge-0/0/7ge-0/0/8ge-0/0/23 |
VLAN-Namen und Tag-IDs |
salesEtikett 100supportEtikett 200 guest-vlanEtikett 300 |
Ein RADIUS-Server |
Backend-Datenbank, die über eine Schnittstelle mit dem Switch verbunden ist ge-0/0/10 |
In diesem Beispiel stellt die Zugriffsschnittstelle die LAN-Konnektivität im Konferenzraum bereit.ge-0/0/1 Konfigurieren Sie diese Zugriffsschnittstelle so, dass sie LAN-Konnektivität für Besucher im Konferenzraum bereitstellt, die nicht über das Unternehmens-VLAN authentifiziert sind.
Konfiguration eines Gast-VLANs mit 802.1X-Authentifizierung
Verfahren
CLI-Schnellkonfiguration
Um schnell ein Gast-VLAN mit 802.1X-Authentifizierung zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
Schritt-für-Schritt-Anleitung
So konfigurieren Sie ein Gast-VLAN, das 802.1X-Authentifizierung auf einem Switch der EX-Serie enthält:
Konfigurieren Sie die VLAN-ID für das Gast-VLAN:
[edit] user@switch# set vlans guest-vlan vlan-id 300
Konfigurieren Sie das Gast-VLAN unter Protokoll:dot1x
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration protocols { dot1x { authenticator { interface { all { guest-vlan { guest-vlan; } } } } } } vlans { guest-vlan { vlan-id 300; } }
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob das Gast-VLAN konfiguriert ist
Zweck
Stellen Sie sicher, dass das Gast-VLAN erstellt wurde und dass eine Schnittstelle die Authentifizierung fehlgeschlagen hat und in das Gast-VLAN verschoben wurde.
Auf Switches, auf denen Junos OS für die EX-Serie mit Unterstützung für ELS ausgeführt wird, enthält die Ausgabe des Befehls zusätzliche Informationen.show vlans
Wenn auf Ihrem Switch Software ausgeführt wird, die ELS unterstützt, finden Sie weitere Informationen unter Anzeigen von VLANs.show vlans Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.Layer 2 Networking
Was
Geben Sie die Befehle für den Betriebsmodus ein:
user@switch> show vlans Name Tag Interfaces default ge-0/0/3.0* dynamic 40 None guest 30 None guest—vlan 300 ge-0/0/1.0* vlan_dyn None user@switch> show dot1x interface ge-0/0/1.0 detail ge-0/0/1.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: guest-vlan Number of connected supplicants: 1 Supplicant: user1, 00:00:00:00:13:23 Operational state: Authenticated Authentication method: Guest VLAN Authenticated VLAN: guest-vlan Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds
Bedeutung
Die Ausgabe des Befehls wird als Name des VLAN und die VLAN-ID als angezeigt.show vlans
guest-vlan300
Die Ausgabe des Befehls zeigt das Feld an, das angibt, dass ein Supplicant an dieser Schnittstelle die 802.1X-Authentifizierung fehlgeschlagen ist und an die übergeben wurde.show dot1x interface ge-0/0/1.0 detail
Guest VLAN membershipguest-vlan