Beispiel: Einrichten von 802.1X für Single-Supplicant- oder Multiple-Supplicant-Konfigurationen auf einem Switch der EX-Serie
Die portbasierte 802.1x-PNAC-Authentifizierung (Network Access Control) auf Switches der EX-Serie bietet drei Arten der Authentifizierung, um die Zugriffsanforderungen Ihres Unternehmens-LANs zu erfüllen:
Authentifizieren Sie das erste Endgerät (Supplicant) an einem Authentifikator-Port und erlauben Sie allen anderen Endgeräten, die sich ebenfalls verbinden, Zugriff auf das LAN.
Authentifizieren Sie jeweils nur ein Endgerät an einem Authentifikator-Port.
Authentifizieren Sie mehrere Endgeräte an einem Authentifikator-Port. Der Modus mit mehreren Supplicants wird in VoIP-Konfigurationen verwendet.
In diesem Beispiel wird ein Switch der EX-Serie so konfiguriert, dass er IEEE 802.1X zur Authentifizierung von Endgeräten verwendet, die drei verschiedene Verwaltungsmodi verwenden.
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Dieses Beispiel gilt auch für QFX5100 Switches.
Junos OS Version 9.0 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Ports der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr von und zu den Endgeräten blockiert, bis diese authentifiziert sind.
Ein RADIUS-Authentifizierungsserver, der 802.1X unterstützt. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Endgeräte (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie die Ports für die 802.1X-Authentifizierung konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Die anfängliche Switch-Konfiguration wurde durchgeführt. Weitere Informationen finden Sie unter Anschließen und Konfigurieren eines Switches der EX-Serie (CLI-Verfahren).Connecting and Configuring an EX Series Switch (CLI Procedure)
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Weitere Informationen finden Sie in der Dokumentation, in der das Einrichten von grundlegendem Bridging und einem VLAN für Ihren Switch beschrieben wird. Wenn Sie einen Switch verwenden, der den Konfigurationsstil Enhanced Layer 2 Software (ELS) unterstützt, finden Sie weitere Informationen unter Beispiel: Einrichten von Basic Bridging und einem VLAN für einen Switch der EX-Serie mit ELS-Unterstützung oder Beispiel: Einrichten von grundlegendem Bridging und einem VLAN auf Switches. Informationen zu allen anderen Switches finden Sie unter Beispiel: Einrichten eines grundlegenden Bridging und eines VLANs für einen Switch der EX-Serie.
HINWEIS:Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Konfigurierte Benutzer auf dem Authentifizierungsserver.
Übersicht und Topologie
Wie in gezeigt, enthält die Topologie einen EX4200-Zugriffs-Switch, der mit dem Authentifizierungsserver an Port ge-0/0/10 verbunden ist.Abbildung 1 Die Schnittstellen ge-0/0/8, ge-0/0/9 und ge-0/0/11 werden für drei verschiedene Verwaltungsmodi konfiguriert.
Diese Zahl gilt auch für QFX5100 Switches.
Topologie
Eigenschaft | Einstellungen |
---|---|
Switch-Hardware |
EX4200-Switch, 24 Gigabit-Ethernet-Ports: 8 PoE-Ports (ge-0/0/0 bis ge-0/0/7) und 16 Nicht-PoE-Ports (ge-0/0/8 bis ge-0/0/23) |
Anschlüsse an Avaya-Telefone – mit integriertem Hub, um Telefon und Desktop-PC an einen einzigen Port anzuschließen; (erfordert PoE) |
GE-0/0/8, GE-0/0/9 und GE-0/0/11 |
So konfigurieren Sie die Verwaltungsmodi für die Unterstützung von Supplicants in verschiedenen Bereichen des Unternehmensnetzwerks:
Konfigurieren Sie den Zugriffsport ge-0/0/8 für die Authentifizierung im Single-Supplicant-Modus.
Konfigurieren Sie den Zugriffsport ge-0/0/9 für die Authentifizierung im Single-Secure-Supplicant-Modus.
Konfigurieren Sie den Zugriffsport ge-0/0/11 für die Authentifizierung im Mehrfach-Supplicant-Modus.
Im Single-Supplicant-Modus wird nur das erste Endgerät authentifiziert, das eine Verbindung zu einem Authentifikator-Port herstellt. Alle anderen Endgeräte, die sich nach erfolgreicher Verbindung mit dem Authentifikator-Port verbinden, unabhängig davon, ob sie 802.1X-fähig sind oder nicht, erhalten ohne weitere Authentifizierung Zugriff auf den Port. Meldet sich das erste authentifizierte Endgerät ab, werden alle anderen Endgeräte gesperrt, bis sich ein Endgerät authentifiziert.
Der Single-Secure-Supplicant-Modus authentifiziert nur ein Endgerät, um eine Verbindung zu einem Authentifikator-Port herzustellen. Kein anderes Endgerät kann sich mit dem Authentifikator-Port verbinden, bis sich das erste abmeldet.
Der Multiple-Supplicant-Modus authentifiziert mehrere Endgeräte einzeln an einem Authentifikator-Port. Wenn Sie eine maximale Anzahl von Geräten konfigurieren, die über die Portsicherheit mit einem Port verbunden werden können, wird der kleinere der konfigurierten Werte verwendet, um die maximal zulässige Anzahl von Endgeräten pro Port zu bestimmen.
Konfiguration von 802.1X zur Unterstützung mehrerer Supplicant-Modi
Verfahren
CLI-Schnellkonfiguration
Um die Ports schnell mit verschiedenen 802.1X-Authentifizierungsmodi zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein:
[edit] set protocols dot1x authenticator interface ge-0/0/8 supplicant single set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple
Schritt-für-Schritt-Anleitung
Konfigurieren Sie den Verwaltungsmodus auf den Schnittstellen:
Konfigurieren Sie den Supplicant-Modus als Single auf der Schnittstelle ge-0/0/8:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single
Konfigurieren Sie den Supplicant-Modus als Single Secure auf der Schnittstelle ge-0/0/9:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure
Konfigurieren Sie den Multi-Supplicant-Modus auf der Schnittstelle ge-0/0/11:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@access-switch> show configuration protocols { dot1x { authenticator { interface { ge-0/0/8.0 { supplicant single; ) ge-0/0/9.0 { supplicant single-secure; ) ge-0/0/11.0 { supplicant multiple; ) } } } }
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen der 802.1X-Konfiguration
Zweck
Überprüfen Sie die 802.1X-Konfiguration auf den Schnittstellen ge-0/0/8, ge-0/0/9 und ge-0/0/11.
Was
Überprüfen Sie die 802.1X-Konfiguration, indem Sie den Befehl operational mode eingeben:show dot1x interface
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> user@switch> show dot1x interface ge-0/0/9.0 detail ge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0 user@switch> show dot1x interface ge-0/0/11.0 detail ge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
Bedeutung
Im Ausgabefeld wird der konfigurierte Verwaltungsmodus für jede Schnittstelle angezeigt.Supplicant mode Die Schnittstelle zeigt den Supplicant-Modus an .ge-0/0/8.0Single Die Schnittstelle zeigt den Supplicant-Modus an .ge-0/0/9.0Single-Secure Die Schnittstelle zeigt den Supplicant-Modus an .ge-0/0/11.0Multiple