Auf dieser Seite
Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Router der MX-Serie
802.1X ist der IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle (PNAC). Sie verwenden 802.1X, um den Netzwerkzugriff zu steuern. Nur Benutzer und Geräte, die Anmeldeinformationen bereitstellen, die anhand einer Benutzerdatenbank überprüft wurden, erhalten Zugriff auf das Netzwerk. Ab Junos OS Version 14.2 können Sie einen RADIUS-Server als Benutzerdatenbank für die 802.1X-Authentifizierung sowie für die MAC RADIUS-Authentifizierung verwenden.
In diesem Beispiel wird beschrieben, wie Sie einen RADIUS-Server mit einem Router der MX-Serie verbinden und für 802.1X konfigurieren:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 14.2 oder höher für MX240-, MX480- oder MX960-Router, die im erweiterten LAN-Modus ausgeführt werden, und Junos OS Version 14.2R3 für alle anderen Router.
Ein Router, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Ports der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein RADIUS-Authentifizierungsserver, der 802.1X unterstützt. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie den Server mit dem Router verbinden, stellen Sie sicher, dass Sie über Folgendes verfügen:
Erweiterter LAN-Modus auf dem Router konfiguriert.
Grundlegende Bridging- und VLAN-Konfiguration auf dem Router durchgeführt.
Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver.
Übersicht und Topologie
Der Router der MX-Serie fungiert als Authentifikator Port Access Entity (PAE). Es blockiert den gesamten Datenverkehr und fungiert als Kontrollgate, bis der Supplicant (Client) vom Server authentifiziert wird. Allen anderen Benutzern und Geräten wird der Zugriff verweigert.
Stellen Sie sich einen Router der MX-Serie vor, der als Authentifikator-Port fungiert. Er ist über die Schnittstelle ge-0/0/10 über das IP-Netzwerk mit einem RADIUS-Server verbunden. Der Router ist auch mit einem Konferenzraum über die Schnittstelle ge-0/0/1, mit einem Drucker über die Schnittstelle ge-0/0/20, mit einem Hub über die Schnittstelle ge-0/0/8 und mit zwei Supplicants oder Clients über die Schnittstellen ge-0/0/2 bzw. ge-0/0/9 verbunden.
| Eigentum | Einstellungen |
|---|---|
Router-Hardware |
Router der MX-Serie |
VLAN-Name |
default |
Ein RADIUS-Server |
Backend-Datenbank mit der Adresse, die mit dem Switch am Port verbunden ist 10.0.0.100ge-0/0/10 |
Verbinden Sie in diesem Beispiel den RADIUS-Server mit dem Zugriffsport ge-0/0/10 des Routers der MX-Serie. Der Switch fungiert als Authentifikator und leitet Anmeldeinformationen vom Supplicant an die Benutzerdatenbank auf dem RADIUS-Server weiter. Sie müssen die Konnektivität zwischen dem Router der MX-Serie und dem RADIUS-Server konfigurieren, indem Sie die Adresse des Servers angeben und das geheime Kennwort konfigurieren. Diese Informationen werden in einem Zugriffsprofil auf dem Switch konfiguriert.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um den RADIUS-Server schnell mit dem Switch zu verbinden, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Schritt-für-Schritt-Anleitung
So verbinden Sie den RADIUS-Server mit dem Switch:
Definieren Sie die Adresse der Server und konfigurieren Sie das geheime Kennwort. Das geheime Passwort auf dem Switch muss mit dem geheimen Passwort auf dem Server übereinstimmen:
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
Konfigurieren Sie die Authentifizierungsreihenfolge, indem Sie die erste Authentifizierungsmethode festlegen radius :
[edit] user@switch# set access profile profile1 authentication-order radius
Konfigurieren Sie eine Liste von Server-IP-Adressen, die ausprobiert werden sollen, um den Supplicant zu authentifizieren:
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$9$qPT3ApBSrv69rvWLVb.P5"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Vergewissern Sie sich, dass der Switch und der RADIUS-Server ordnungsgemäß verbunden sind.
Zweck
Stellen Sie sicher, dass der RADIUS-Server mit dem Switch am angegebenen Port verbunden ist.
Action!
Pingen Sie den RADIUS-Server an, um die Verbindung zwischen dem Switch und dem Server zu überprüfen:
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 msBedeutung
ICMP-Echoanforderungspakete werden vom Switch an den Zielserver unter 10.0.0.100 gesendet, um zu testen, ob er über das IP-Netzwerk erreichbar ist. ICMP-Echoantworten werden vom Server zurückgegeben, um zu überprüfen, ob der Switch und der Server verbunden sind.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.