Auf dieser Seite
Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren)
Grundlegendes zu RADIUS-initiierten Änderungen an einer autorisierten Benutzersitzung
Filtern von 802.1X-Supplicants mithilfe von RADIUS-Serverattributen
Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie
Grundlegendes zu dynamischen Filtern basierend auf RADIUS-Attributen
Grundlegendes zur dynamischen VLAN-Zuweisung mithilfe von RADIUS-Attributen
Fehlerbehebung bei der Authentifizierung von Endgeräten auf Switches der EX-Serie
Vorteile der Verwendung von RADIUS-Standardattributen und VSAs
802.1X-Authentifizierung
IEEE 802.1X-Standard für portbasierte Netzwerkzugangskontrolle und schützt Ethernet-LANs vor unbefugtem Benutzerzugriff. Er blockiert den gesamten Datenverkehr zu und von einem Supplicant (Client) an der Schnittstelle, bis die Anmeldeinformationen des Supplicants auf dem Authentifizierungsserver (einem RADIUS-Server) angezeigt und abgeglichen werden. Wenn der Supplicant authentifiziert ist, blockiert der switch nicht mehr den Zugriff und öffnet die Schnittstelle zum Supplicant. Weitere Informationen finden Sie in diesem Thema.
802.1X für Switches – Übersicht
- Funktionsweise der 802.1X-Authentifizierung
- 802.1X-Funktionen im Überblick
- 802.1X-Authentifizierung an Trunk-Ports
- 802.1X-Authentifizierung auf Layer-3-Schnittstellen
- 802.1X-Unterstützung für Junos OS Evolved-Software
Funktionsweise der 802.1X-Authentifizierung
Bei der 802.1X-Authentifizierung wird mithilfe einer Authentifikator-Portzugriffseinheit (dem Switch) eingehender Datenverkehr von einem Supplicant (Endgerät) am Port blockiert, bis die Anmeldeinformationen des Supplicants auf dem Authentifizierungsserver (einem RADIUS-Server) angezeigt werden und übereinstimmen. Nach der Authentifizierung blockiert der Switch den Datenverkehr nicht mehr und öffnet den Port für den Supplicant.
Das Endgerät wird im Modus, Modus oder Modus authentifiziert:single supplicantsingle-secure supplicant multiple supplicant
-
single supplicant: Authentifiziert nur das erste Endgerät. Alle anderen Endgeräte, die sich später mit dem Port verbinden, erhalten ohne weitere Authentifizierung vollen Zugriff. Sie nutzen quasi die Authentifizierung des ersten Endgeräts.
-
single-secure supplicant - Ermöglicht nur die Verbindung eines Endgeräts mit dem Port. Kein anderes Endgerät darf sich verbinden, bis sich das erste Gerät abmeldet.
-
multiple supplicant: Ermöglicht es mehreren Endgeräten, sich mit dem Port zu verbinden. Jedes Endgerät wird individuell authentifiziert.
Der Netzwerkzugriff kann durch die Verwendung von VLANs und Firewall-Filtern weiter definiert werden, die beide als Filter fungieren, um Gruppen von Endgeräten zu trennen und den gewünschten Bereichen des LANs zuzuordnen. Sie können VLANs beispielsweise so konfigurieren, dass sie verschiedene Kategorien von Authentifizierungsfehlern behandeln, abhängig von:
-
Gibt an, ob das Endgerät 802.1X-fähig ist oder nicht.
-
Gibt an, ob die MAC RADIUS-Authentifizierung auf den Switch-Schnittstellen konfiguriert ist, mit denen die Hosts verbunden sind.
-
Gibt an, ob der RADIUS-Authentifizierungsserver nicht mehr verfügbar ist oder eine RADIUS-Zugriffsverweigerungsnachricht sendet. Weitere Informationen finden Sie unter Konfigurieren des RADIUS-Serverausfall-Fallbacks (CLI-Verfahren).Konfigurieren des RADIUS-Serverausfall-Fallbacks (CLI-Verfahren)
802.1X-Funktionen im Überblick
Die folgenden 802.1X-Funktionen werden von Ethernet-Switches von Juniper Networks unterstützt:
-
Gast-VLAN: Bietet eingeschränkten Zugriff auf ein LAN, in der Regel nur auf das Internet, für nicht reagierende Endgeräte, die nicht 802.1X-fähig sind, wenn die MAC RADIUS-Authentifizierung auf den Switch-Schnittstellen, mit denen die Hosts verbunden sind, nicht konfiguriert ist. Außerdem kann ein Gast-VLAN verwendet werden, um Gastbenutzern eingeschränkten Zugriff auf ein LAN zu gewähren. In der Regel bietet das Gast-VLAN nur Zugriff auf das Internet und auf die Endgeräte anderer Gäste.
-
VLAN mit Serverablehnung: Bietet eingeschränkten Zugriff auf ein LAN, in der Regel nur auf das Internet, für reaktionsschnelle Endgeräte, die 802.1X-fähig sind, aber die falschen Anmeldeinformationen gesendet haben. Wenn es sich bei dem Endgerät, das über das Server-Reject-VLAN authentifiziert wird, um ein IP-Telefon handelt, ist Sprachverkehr nicht zulässig.
-
Server-fail VLAN: Bietet eingeschränkten Zugriff auf ein LAN, in der Regel nur auf das Internet, für 802.1X-Endgeräte während eines RADIUS-Server-Timeouts.
-
Dynamisches VLAN: Ermöglicht es einem Endgerät, nach der Authentifizierung dynamisch Mitglied eines VLANs zu sein.
-
Privates VLAN - Ermöglicht die Konfiguration der 802.1X-Authentifizierung auf Schnittstellen, die Mitglieder privater VLANs (PVLANs) sind.
-
Dynamische Änderungen an einer Benutzersitzung: Ermöglicht es dem Switch-Administrator, eine bereits authentifizierte Sitzung zu beenden. Diese Funktion basiert auf der Unterstützung der in RFC 3576 definierten RADIUS-Verbindungsnachricht.
-
VoIP-VLAN: Unterstützt IP-Telefone. Die Implementierung eines Sprach-VLANs auf einem IP-Telefon ist herstellerspezifisch. Wenn das Telefon 802.1X-fähig ist, wird es wie jeder andere Supplicant authentifiziert. Wenn das Telefon nicht 802.1X-fähig ist, aber ein anderes 802.1X-kompatibles Gerät an seinen Datenport angeschlossen ist, wird dieses Gerät authentifiziert, und dann kann VoIP-Datenverkehr zum und vom Telefon fließen (vorausgesetzt, die Schnittstelle ist im Single-Supplicant-Modus und nicht im Single-Secure-Supplicant-Modus konfiguriert).
HINWEIS:Die Konfiguration eines VoIP-VLANs auf privaten VLAN-Schnittstellen (PVLAN) wird nicht unterstützt.
-
RADIUS-Accounting: Sendet Accounting-Informationen an den RADIUS-Accounting-Server. Abrechnungsinformationen werden an den Server gesendet, wenn sich ein Abonnent an- oder abmeldet und wenn ein Abonnent ein Abonnement aktiviert oder deaktiviert.
-
RADIUS-Serverattribute für 802.1X: Das ist ein anbieterspezifisches Attribut (VSA), das auf dem RADIUS-Server konfiguriert werden kann, um den Zugriff eines Supplicants während des 802.1X-Authentifizierungsprozesses weiter zu definieren.
Juniper-Switching-Filter
Durch die zentrale Konfiguration von Attributen auf dem Authentifizierungsserver entfällt die Notwendigkeit, dieselben Attribute in Form von Firewall-Filtern auf jedem Switch im LAN zu konfigurieren, mit dem der Supplicant eine Verbindung zum LAN herstellen kann. Dies entspricht der NAS-Filter-Regel, auf die in Attribut 92 von RFC4849 verwiesen wird.Juniper-Switching-Filter
-
Mikro- und Makrosegmentierung mit GBP mit Mist Access Assurance—Sie können Mikro- und Makrosegmentierung in einer Virtual Extensible LAN (VXLAN)-Architektur anwenden, indem Sie gruppenbasierte Richtlinien (GBP) verwenden. GBP nutzt die zugrunde liegende VXLAN-Technologie, um eine standortunabhängige Endgeräte-Zugriffssteuerung bereitzustellen. Mit GBP können Sie konsistente Sicherheitsrichtlinien über die Domänen des Unternehmensnetzwerks hinweg implementieren. Dadurch können Sie die Konfiguration einer großen Anzahl von Firewall-Filtern auf allen Ihren Switches vermeiden und Ihre Netzwerkkonfiguration vereinfachen. Die Network Access Control (NAC) der Juniper Mist Cloud weist während einer RADIUS-Transaktion dynamisch GBP-Tags zu. Mit der RADIUS 802.1X-Authentifizierung können Netzwerkbetreiber einen Benutzer oder ein Gerät automatisch authentifizieren, autorisieren und in das Netzwerk lassen. Juniper Mist Access Assurance verwendet Benutzer- und Geräteidentitäten, um die Rolle und das Netzwerksegment zu bestimmen, die das Netzwerk jedem Benutzer zuweist. Das Netzwerk verwendet VLAN oder GBP, um die Benutzer in Netzwerksegmente zu gruppieren. Juniper Mist Access Assurance wendet dann die Netzwerkrichtlinien an, die mit den einzelnen Segmenten verknüpft sind
Wir unterstützen dies derzeit auf EX4100, EX4400, EX4650, QFX5120-32C, QFX5120-48Y und auf virtuellen QFX5120-48Y-Gehäusen.
Weitere Informationen finden Sie unter: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN
Die folgenden Funktionen werden unterstützt, um Geräte zu authentifizieren, die nicht 802.1X-fähig sind:
-
Statische MAC-Umgehung: Bietet einen Umgehungsmechanismus zur Authentifizierung von Geräten, die nicht 802.1X-fähig sind (z. B. Drucker). Die statische MAC-Umgehung verbindet diese Geräte mit 802.1X-fähigen Ports und umgeht so die 802.1X-Authentifizierung.
-
MAC RADIUS-Authentifizierung: Bietet Hosts, die nicht 802.1X-fähig sind, den Zugriff auf das LAN. MAC-RADIUS simuliert die Supplicant-Funktionalität des Client-Geräts, wobei die MAC-Adresse des Clients als Benutzername und Kennwort verwendet wird.
802.1X-Authentifizierung an Trunk-Ports
Ab Junos OS Version 18.3R1 können Sie die 802.1X-Authentifizierung auf Trunk-Schnittstellen konfigurieren, wodurch das Network Access Device (NAS) einen Access Point (AP) oder ein anderes verbundenes Layer-2-Gerät authentifizieren kann. Ein AP oder Switch, der mit dem NAS verbunden ist, unterstützt mehrere VLANs und muss daher eine Verbindung zu einem Trunk-Port herstellen. Die Aktivierung der 802.1X-Authentifizierung auf der Trunk-Schnittstelle schützt das NAS vor einer Sicherheitsverletzung, bei der ein Angreifer den Access Point trennen und einen Laptop anschließen könnte, um freien Zugriff auf das Netzwerk für alle konfigurierten VLANs zu erhalten.
Bitte beachten Sie die folgenden Einschränkungen bei der Konfiguration der 802.1X-Authentifizierung auf Trunk-Schnittstellen.
-
Auf Trunk-Schnittstellen werden nur Single- und Single-Secure-Supplicant-Modi unterstützt.
-
Sie müssen die 802.1X-Authentifizierung lokal auf der Trunk-Schnittstelle konfigurieren. Wenn Sie die 802.1X-Authentifizierung global mit dem Befehl konfigurieren, wird die Konfiguration nicht auf die Trunk-Schnittstelle angewendet.
set protocol dot1x interface all
-
Dynamische VLANS werden auf Trunk-Schnittstellen nicht unterstützt.
-
Gast-VLAN und Server-Ablehnungs-VLAN werden auf Trunk-Schnittstellen nicht unterstützt.
-
Serverausfall-Fallback für VoIP-Clients wird auf Trunk-Schnittstellen nicht unterstützt ().
server-fail-voip
-
Die Authentifizierung am Trunk-Port wird im Captive Portal nicht unterstützt.
-
Die Authentifizierung am Trunk-Port wird auf aggregierten Schnittstellen nicht unterstützt.
-
Die Konfiguration der 802.1X-Authentifizierung auf Schnittstellen, die Mitglieder privater VLANs (PVLANs) sind, wird auf Trunk-Ports nicht unterstützt.
802.1X-Authentifizierung auf Layer-3-Schnittstellen
Ab Junos OS Version 20.2R1 können Sie die 802.1X-Authentifizierung auf Layer-3-Schnittstellen konfigurieren. Bitte beachten Sie die folgenden Einschränkungen bei der Konfiguration der 802.1X-Authentifizierung auf Layer-3-Schnittstellen:
-
Es werden nur EAP-fähige Clients unterstützt.
-
Es wird nur der Single-Supplicant-Modus unterstützt.
-
Sie müssen die 802.1X-Authentifizierung lokal auf Layer-3-Schnittstellen konfigurieren. Wenn Sie die 802.1X-Authentifizierung global mit dem Befehl konfigurieren, wird die Konfiguration nicht auf Layer-3-Schnittstellen angewendet.
set protocol dot1x interface all
-
Die Unterstützung für Layer-3-Schnittstellen umfasst keine IRB- oder Subschnittstellen.
-
Gast-VLANs, Server-Reject-VLAN und Server-Fail-VLAN werden nicht unterstützt.
-
Serverausfall-Fallback für VoIP-Clients wird nicht unterstützt ().
server-fail-voip
-
Nur die folgenden Attribute werden vom Authentifizierungsserver als Teil von RADIUS-Zugriffs-Annahme- oder COA-Nachrichten für Clients akzeptiert, die an Layer-3-Schnittstellen authentifiziert sind:
-
Benutzername
-
Sitzungs-Timeout
-
Anrufen-Station-ID
-
Acct-Session-ID
-
NAS-Port-ID
-
Port-Bounce
-
802.1X-Unterstützung für Junos OS Evolved-Software
Ab Junos OS Evolved Version 22.3R1 können Sie die 802.1X-Authentifizierung auf Layer-2-Schnittstellen konfigurieren. Beachten Sie die Einschränkungen für die 802.1X-Authentifizierung auf Layer-2-Schnittstellen.
-
Zu den nicht unterstützten Funktionen gehören:
-
Gast-VLAN, Server-Ablehnungs-VLAN und Server-Fail-VLAN
-
Serverausfall-Fallback für VoIP-Clients (server-fail-voip)
-
Dynamisches VLAN
-
Authentifizierung auf Layer-2-Schnittstellen mit Captive Portal und zentraler Webauthentifizierung (CWA).
-
-
Zu den nicht unterstützten Attributen des Authentifizierungsservers von RADIUS-Access-Accept- oder COA-Nachrichten für Clients, die an Layer-2-Schnittstellen authentifiziert wurden, gehören:
-
ip-mac-session-bindung
-
Juniper-CWA-Weiterleitung
-
Juniper-Switching-Filter
-
Filter-ID
-
Tunnel-Medium-Typ
-
Juniper-VoIP-VLAN
-
Egress-VLAN-Name
-
Ausgangs-VLAN-ID
-
Tunnel-Typ
-
Tunnel-Private-Group-ID
-
-
Wenn sich IRB in der Bridge-Domäne befindet, verwerfen 802.1x-fähige Ports den gerouteten Datenverkehr für Single-Secure- und Multi-Supplicant-Modi nicht, selbst wenn der Benutzer nicht authentifiziert ist. 802.1X-fähige Ports auf der Layer-2-Schnittstelle verwerfen gerouteten Datenverkehr nur für die Konfiguration im Single-Supplicant-Modus.
Siehe auch
Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren)
Die IEEE 802.1X-Authentifizierung bietet Netzwerk-Edge-Sicherheit und schützt Ethernet-LANs vor unbefugtem Benutzerzugriff, indem der gesamte Datenverkehr zu und von einem Supplicant (Client) an der Schnittstelle blockiert wird, bis die Anmeldeinformationen des Supplicants auf dem (einem RADIUS-Server) angezeigt und abgeglichen werden.authentication server Wenn der Supplicant authentifiziert ist, blockiert der Switch den Zugriff nicht mehr und öffnet die Schnittstelle zum Supplicant.
Sie können auch eine 802.1X-Ausschlussliste angeben, um Supplicants anzugeben, die die Authentifizierung umgehen und automatisch mit dem LAN verbunden werden können. Weitere Informationen finden Sie unter Konfigurieren der statischen MAC-Umgehung von 802.1X und MAC RADIUS-Authentifizierung (CLI-Verfahren).Konfigurieren der statischen MAC-Umgehung von 802.1X und MAC RADIUS-Authentifizierung (CLI-Verfahren)
Sie können die 802.1X-Benutzerauthentifizierung nicht auf Schnittstellen konfigurieren, die für Q-in-Q-Tunneling aktiviert wurden.
Bevor Sie beginnen, geben Sie den RADIUS-Server oder die RADIUS-Server an, die als Authentifizierungsserver verwendet werden sollen. Weitere Informationen finden Sie unter Angeben von RADIUS-Serververbindungen auf Switches (CLI-Verfahren).Angeben von RADIUS-Serververbindungen auf Switches (CLI-Verfahren)
So konfigurieren Sie 802.1X auf einer Schnittstelle:
Wenn die RADIUS-Authentifizierungsserver nicht mehr verfügbar oder nicht mehr zugänglich sind, wird der Serverausfallfallback ausgelöst. Standardmäßig ist die Option unter konfiguriert, wodurch die Supplicant-Authentifizierung fehlschlägt.deny
server-fail
Es gibt jedoch auch andere Optionen, die Sie als Aktionen konfigurieren können, die für Endgeräte ausgeführt werden sollen, die auf die Authentifizierung warten, wenn der Server eine Zeitüberschreitung aufweist.
Weitere Informationen finden Sie unter Schnittstelle (802.1X)
Diese Einstellung gibt die Anzahl der Versuche an, bevor der Switch die Schnittstelle in einen HELD-Zustand versetzt.
Siehe auch
Grundlegendes zu RADIUS-initiierten Änderungen an einer autorisierten Benutzersitzung
Wenn Sie einen Authentifizierungsdienst verwenden, der auf einem Client/Server-RADIUS-Modell basiert, werden Anforderungen in der Regel vom Client initiiert und an den RADIUS-Server gesendet. Es gibt Fälle, in denen eine Anforderung vom Server initiiert und an den Client gesendet wird, um eine bereits laufende authentifizierte Benutzersitzung dynamisch zu ändern. Der Client, der die Nachrichten empfängt und verarbeitet, ist der Switch, der als Network Access Server (NAS) fungiert. Der Server kann dem Switch eine Disconnect-Nachricht senden, in der das Beenden einer Sitzung angefordert wird, oder eine CoA-Meldung (Change of Authorization), in der die Änderung der Sitzungsautorisierungsattribute angefordert wird.
Der Switch lauscht auf unerwünschte RADIUS-Anforderungen an UPD-Port 3799 und akzeptiert nur Anforderungen von einer vertrauenswürdigen Quelle. Die Autorisierung zum Senden einer Disconnect- oder CoA-Anforderung wird anhand der Quelladresse und des entsprechenden Shared Secrets bestimmt, das sowohl auf dem Switch als auch auf dem RADIUS-Server konfiguriert werden muss. Weitere Informationen zum Konfigurieren der Quelladresse und des gemeinsamen geheimen Schlüssels auf dem Switch finden Sie unter Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
- Trennen von Nachrichten
- Änderung von Berechtigungsmeldungen
- CoA-Anforderungs-Port-Bounce
- Fehler-Ursachen-Codes
Trennen von Nachrichten
Der RADIUS-Server sendet eine Disconnect-Request-Nachricht an den Switch, um eine Benutzersitzung zu beenden und den zugehörigen Sitzungskontext zu verwerfen. Der Switch antwortet auf ein Disconnect-Request-Paket mit einer Disconnect-ACK-Nachricht, wenn die Anfrage erfolgreich ist, d. h., der gesamte zugehörige Sitzungskontext wird verworfen und die Benutzersitzung ist nicht mehr verbunden, oder mit einem Disconnect-NAK-Paket, wenn die Anfrage fehlschlägt, d. h., der Authentifikator kann die Sitzung nicht trennen und den gesamten zugehörigen Sitzungskontext verwerfen.
In Disconnect-Request-Meldungen werden RADIUS-Attribute verwendet, um den Switch (NAS) und die Benutzersitzung eindeutig zu identifizieren. Die in der Nachricht enthaltene Kombination aus NAS-Identifikationsattributen und Sitzungsidentifikationsattributen muss mit mindestens einer Sitzung übereinstimmen, damit die Anforderung erfolgreich ist. Andernfalls antwortet der Switch mit einer Disconnect-NAK-Meldung. Eine Disconnect-Request-Meldung kann nur NAS- und Sitzungsidentifikationsattribute enthalten. Wenn andere Attribute enthalten sind, antwortet der Switch mit einer Disconnect-NAK-Meldung.
Änderung von Berechtigungsmeldungen
CoA-Nachrichten (Change of Authorization) enthalten Informationen zum dynamischen Ändern der Berechtigungsattribute für eine Benutzersitzung, um die Berechtigungsstufe zu ändern. Dies geschieht im Rahmen eines zweistufigen Authentifizierungsprozesses, bei dem der Endpunkt zunächst mithilfe der MAC RADIUS-Authentifizierung authentifiziert und dann basierend auf dem Gerätetyp profiliert wird. Die CoA-Nachricht wird verwendet, um eine für das Gerät geeignete Durchsetzungsrichtlinie anzuwenden, in der Regel durch Ändern der Datenfilter oder des VLANs.
Der Switch antwortet auf eine CoA-Nachricht mit einer CoA-ACK-Nachricht, wenn die Berechtigungsänderung erfolgreich ist, oder mit einer CoA-NAK-Nachricht, wenn die Änderung nicht erfolgreich ist. Wenn eine oder mehrere Berechtigungsänderungen, die in einer CoA-Request-Nachricht angegeben sind, nicht durchgeführt werden können, antwortet der Switch mit einer CoA-NAK-Nachricht.
In CoA-Request-Nachrichten werden RADIUS-Attribute verwendet, um den Switch (der als NAS fungiert) und die Benutzersitzung eindeutig zu identifizieren. Die in der Nachricht enthaltene Kombination aus NAS-Identifikationsattributen und Sitzungsidentifikationsattributen muss mit den Identifikationsattributen von mindestens einer Sitzung übereinstimmen, damit die Anforderung erfolgreich ist. Andernfalls antwortet der Switch mit einer CoA-NAK-Nachricht.
CoA-Request-Pakete enthalten auch die Sitzungsautorisierungsattribute, die geändert werden, wenn die Anfrage akzeptiert wird. Die unterstützten Sitzungsautorisierungsattribute sind unten aufgeführt. Die CoA-Nachricht kann eines oder alle dieser Attribute enthalten. Wenn ein Attribut nicht als Teil der CoA-Request-Nachricht enthalten ist, geht der NAS davon aus, dass der Wert für dieses Attribut unverändert bleiben soll.
Filter-ID
Tunnel-Private-Group-ID
Juniper-Switching-Filter
Juniper-VoIP-VLAN
Sitzungs-Timeout
CoA-Anforderungs-Port-Bounce
Wenn eine CoA-Nachricht verwendet wird, um das VLAN für einen authentifizierten Host zu ändern, verfügen Endgeräte wie Drucker nicht über einen Mechanismus, um die VLAN-Änderung zu erkennen, sodass sie die Lease für ihre DHCP-Adresse im neuen VLAN nicht verlängern. Ab Junos OS Version 17.3 kann die Port-Bounce-Funktion verwendet werden, um das Endgerät zu zwingen, DHCP-Neuverhandlung einzuleiten, indem ein Link-Flap auf dem authentifizierten Port ausgelöst wird.
Der Befehl zum Zurücksenden des Ports wird vom RADIUS-Server mithilfe eines herstellerspezifischen Attributs (VSA) von Juniper Networks gesendet. Der Port wird zurückgewiesen, wenn das folgende VSA-Attribut-Wert-Paar in der CoA-Nachricht vom RADIUS-Server empfangen wird:
Juniper-AV-Pair = "Port-Bounce"
Um die Port-Bounce-Funktion zu aktivieren, müssen Sie die Junos-Wörterbuchdatei () auf dem RADIUS-Server mit dem Juniper-AV-Pair-VSA aktualisieren.juniper.dct Suchen Sie die Wörterbuchdatei, und fügen Sie der Datei den folgenden Text hinzu:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
Weitere Informationen zum Hinzufügen der VSA finden Sie in der FreeRADIUS-Dokumentation.
Sie können die Funktion deaktivieren, indem Sie die Anweisung auf der Hierarchieebene [] konfigurieren.ignore-port-bounce
edit protocols dot1x authenticator interface interface-name
Fehler-Ursachen-Codes
Wenn ein Verbindungsabbruch oder CoA-Vorgang nicht erfolgreich ist, kann ein Fehlerursachenattribut (RADIUS-Attribut 101) in die Antwortnachricht aufgenommen werden, die vom NAS an den Server gesendet wird, um Details zur Ursache des Problems bereitzustellen. Wenn der erkannte Fehler keinem der unterstützten Error-Cause-Attributwerte zugeordnet ist, sendet der Router die Meldung ohne error-cause-Attribut. Hier finden Sie Beschreibungen der Fehlerursachencodes, die in Antwortnachrichten enthalten sein können, die vom NAS gesendet werden.Tabelle 1
Code |
Wert |
Beschreibung |
---|---|---|
201 |
Verbleibender Sitzungskontext entfernt |
Wird als Antwort auf eine Disconnect-Request-Meldung gesendet, wenn eine oder mehrere Benutzersitzungen nicht mehr aktiv sind, aber der verbleibende Sitzungskontext gefunden und erfolgreich entfernt wurde. Dieser Code wird nur innerhalb einer Disconnect-ACK-Nachricht gesendet. |
401 |
Nicht unterstütztes Attribut |
Die Anforderung enthält ein Attribut, das nicht unterstützt wird (z. B. ein Attribut eines Drittanbieters). |
402 |
Fehlendes Attribut |
Ein kritisches Attribut (z. B. das Sitzungsidentifikationsattribut) fehlt in einer Anforderung. |
403 |
NAS-Identifikationskonflikt |
Die Anforderung enthält ein oder mehrere NAS-Identifikationsattribute, die nicht mit der Identität des NAS übereinstimmen, der die Anforderung empfängt. |
404 |
Ungültige Anfrage |
Ein anderer Aspekt der Anforderung ist ungültig, z. B. wenn ein oder mehrere Attribute nicht ordnungsgemäß formatiert sind. |
405 |
Nicht unterstützter Dienst |
Das Service-Type-Attribut, das in der Anforderung enthalten ist, enthält einen ungültigen oder nicht unterstützten Wert. |
406 |
Nicht unterstützte Erweiterung |
Die Entität, die die Anforderung erhält (entweder ein NAS oder ein RADIUS-Proxy), unterstützt keine von RADIUS initiierten Anforderungen. |
407 |
Ungültiger Attributwert |
Die Anforderung enthält ein Attribut mit einem nicht unterstützten Wert. |
501 |
Administrativ verboten |
Der NAS ist so konfiguriert, dass die Berücksichtigung von Disconnect-Request- oder CoA-Request-Nachrichten für die angegebene Sitzung nicht berücksichtigt wird. |
503 |
Sitzungskontext nicht gefunden |
Der in der Anforderung identifizierte Sitzungskontext ist auf dem NAS nicht vorhanden. |
504 |
Sitzungskontext nicht entfernbar |
Der Abonnent, der durch Attribute in der Anforderung identifiziert wird, gehört einer Komponente, die nicht unterstützt wird. Dieser Code wird nur innerhalb einer Disconnect-NAK-Nachricht gesendet. |
506 |
Ressourcen nicht verfügbar |
Eine Anforderung konnte aufgrund fehlender verfügbarer NAS-Ressourcen (z. B. Arbeitsspeicher) nicht erfüllt werden. |
507 |
Anfrage initiiert |
Die CoA-Request-Nachricht enthält ein Service-Type-Attribut mit dem Wert Authorize Only. |
508 |
Auswahl mehrerer Sitzungen wird nicht unterstützt |
Die in der Anforderung enthaltenen Sitzungsidentifikationsattribute entsprechen mehreren Sitzungen, aber der NAS unterstützt keine Anfragen, die für mehrere Sitzungen gelten. |
Filtern von 802.1X-Supplicants mithilfe von RADIUS-Serverattributen
Es gibt zwei Möglichkeiten, einen RADIUS-Server mit Port-Firewall-Filtern (Layer-2-Firewall-Filter) zu konfigurieren:
-
Fügen Sie einen oder mehrere Filterbegriffe in das Attribut Juniper-Switching-Filter ein. Das Juniper-Switching-Filter-Attribut ist ein anbieterspezifisches Attribut (Vendor-Specific Attribute, VSA), das im Juniper-Wörterbuch auf dem RADIUS-Server unter der Attribut-ID-Nummer 48 aufgeführt ist. Verwenden Sie diesen VSA, um einfache Filterbedingungen für 802.1X-authentifizierte Benutzer zu konfigurieren. Auf dem Switch muss nichts konfiguriert werden. Die gesamte Konfiguration befindet sich auf dem RADIUS-Server.
-
Konfigurieren Sie auf jedem Switch einen lokalen Firewallfilter, und wenden Sie diesen Firewallfilter auf Benutzer an, die über den RADIUS-Server authentifiziert wurden. Verwenden Sie diese Methode für komplexere Filter. Der Firewall-Filter muss auf jedem Switch konfiguriert werden.
HINWEIS:Wenn die Firewallfilterkonfiguration geändert wird, nachdem Benutzer mit der 802.1X-Authentifizierung authentifiziert wurden, muss die eingerichtete 802.1X-Authentifizierungssitzung beendet und neu eingerichtet werden, damit die Änderungen an der Firewallfilterkonfiguration wirksam werden.
Dieses Thema umfasst die folgenden Aufgaben:
- Konfigurieren von Firewallfiltern auf dem RADIUS-Server
- Anwenden eines lokal konfigurierten Firewallfilters vom RADIUS-Server
Konfigurieren von Firewallfiltern auf dem RADIUS-Server
Ab Junos OS Evolved Version 22.4R1 können Sie mehrere Quell- und Zielports (oder Portbereiche) innerhalb einer einzigen Zeile konfigurieren, ohne die Übereinstimmungsbedingung erneut wiederholen zu müssen. Diese Funktion ermöglicht kürzere VSA-Längen und trägt außerdem dazu bei, die Größe von RADIUS-Antwortpaketen zu reduzieren.
Der Switching-Filter ermöglicht die Bereitstellung einer Liste von Werten für Ether-Typ, IP, Quell-Tag, Quell-Port und Ziel-Port.
Juniper-Switching-Filter = match dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow
Juniper-Switching-Filter = match dst-port 500 source-tag [ 100, 200 ] action allow
Juniper-Switching-Filter = match src-port 9090 ip-proto [ 25 17] action allow
Juniper-Switching-Filter = match ether-type [ 3000-4000 8000 ] action allow
Sie können einfache Filterbedingungen konfigurieren, indem Sie das Attribut Juniper-Switching-Filter im Juniper-Wörterbuch auf dem RADIUS-Server verwenden. Diese Filter werden an einen Switch gesendet, wenn ein neuer Benutzer erfolgreich authentifiziert wurde. Die Filter werden erstellt und auf allen Switches der EX-Serie angewendet, die Benutzer über diesen RADIUS-Server authentifizieren, ohne dass Sie auf jedem einzelnen Switch etwas konfigurieren müssen.
In diesem Verfahren wird die Verwendung der FreeRADIUS-Software zur Konfiguration des Juniper-Switching-Filter-VSA beschrieben. Spezifische Informationen zur Konfiguration Ihres Servers finden Sie in der AAA-Dokumentation, die im Lieferumfang Ihres Servers enthalten ist.
Um das Attribut Juniper-Switching-Filter zu konfigurieren, geben Sie einen oder mehrere Filterbegriffe ein, indem Sie die CLI für den RADIUS-Server verwenden. Jeder Filterbegriff besteht aus Übereinstimmungsbedingungen mit einer entsprechenden Aktion. Geben Sie die Filterbegriffe in Anführungszeichen (" ") ein, indem Sie die folgende Syntax verwenden:
Juniper-Switching-Filter = “match <destination-mac mac-address> <source-vlan vlan-name> <source-dot1q-tag tag> <destination-ip ip-address> <ip-protocol protocol-id> <source-port port> <destination-port port> action (allow | deny) <forwarding-class class-of-service> <loss-priority (low | medium | high)>”
In einem Filterbegriff kann mehr als eine Übereinstimmungsbedingung enthalten sein. Wenn in einem Filterbegriff mehrere Bedingungen angegeben sind, müssen diese alle erfüllt sein, damit das Paket mit dem Filterbegriff übereinstimmt. Der folgende Filterbegriff erfordert beispielsweise, dass ein Paket sowohl mit der Ziel-IP-Adresse als auch mit der MAC-Zieladresse übereinstimmt, um die Begriffskriterien zu erfüllen:
Juniper-Switching-Filter = “match destination-ip 10.10.10.8 destination-mac 00:00:00:01:02:03 action allow”
Mehrere Filterbegriffe sollten durch Kommas getrennt werden, z. B.:
Juniper-Switching-Filter = “match destination-mac 00:00:00:01:02:03 action allow, match destination-port 80 destination-mac 00:aa:bb:cc:dd:ee action allow”
Definitionen von Übereinstimmungsbedingungen und -aktionen finden Sie unter Juniper-Switching-Filter VSA-Übereinstimmungsbedingungen und -aktionen .Juniper-Switching-Filter VSA-Richtlinien, Übereinstimmungsbedingungen und -aktionen
Auf EX9200-Switches und in einem Junos Fusion Enterprise mit EX9200 als aggregiertem Gerät wird der dynamische Firewall-Filter ausschließlich auf alle IP-Pakete angewendet. Wenn der Filter so konfiguriert ist, dass er nur eine bestimmte Ziel-IP-Adresse zulässt, werden Pakete mit anderen IP-Adressen als Ziel-IP gemäß den Filterregeln verworfen. Dazu gehören alle IP-Protokollpakete wie DHCP-, IGMP- und ARP-Pakete.
So konfigurieren Sie Übereinstimmungsbedingungen auf dem RADIUS-Server:
Anwenden eines lokal konfigurierten Firewallfilters vom RADIUS-Server
Sie können einen Port-Firewall-Filter (Layer-2-Firewall-Filter) zentral vom RADIUS-Server aus auf Benutzerrichtlinien anwenden. Der RADIUS-Server kann dann die Firewall-Filter angeben, die auf jeden Benutzer angewendet werden sollen, der eine Authentifizierung anfordert, wodurch die Notwendigkeit verringert wird, denselben Firewall-Filter auf mehreren Switches zu konfigurieren. Verwenden Sie diese Methode, wenn der Firewall-Filter eine große Anzahl von Bedingungen enthält oder Sie unterschiedliche Bedingungen für denselben Filter auf verschiedenen Switches verwenden möchten. Die Firewall-Filter müssen auf jedem Switch konfiguriert werden.
Weitere Informationen zu Firewall-Filtern finden Sie unter Übersicht über Firewall-Filter für Switches der EX-Serie.Firewall Filters for EX Series Switches Overview
So wenden Sie einen Port-Firewall-Filter zentral vom RADIUS-Server aus an:
Wenn Portfirewallfilter auch lokal für die Schnittstelle konfiguriert sind, haben die mithilfe von VSAs konfigurierten Firewallfilter Vorrang, wenn sie mit den lokal konfigurierten Portfirewallfiltern in Konflikt stehen. Wenn es keinen Konflikt gibt, werden sie zusammengeführt.
Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie
802.1X ist der IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle (PNAC). Sie verwenden 802.1X, um den Netzwerkzugriff zu steuern. Nur Benutzer und Geräte, die Anmeldeinformationen bereitstellen, die anhand einer Benutzerdatenbank überprüft wurden, erhalten Zugriff auf das Netzwerk. Sie können einen RADIUS-Server als Benutzerdatenbank für die 802.1X-Authentifizierung sowie für die MAC RADIUS-Authentifizierung verwenden.
In diesem Beispiel wird beschrieben, wie Sie einen RADIUS-Server mit einem Switch der EX-Serie verbinden und für 802.1X konfigurieren:
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Junos OS Version 9.0 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Ports der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein RADIUS-Authentifizierungsserver, der 802.1X unterstützt. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie den Server mit dem Switch verbinden, stellen Sie sicher, dass Sie über Folgendes verfügen:
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Weitere Informationen finden Sie in der Dokumentation, in der das Einrichten von grundlegendem Bridging und einem VLAN für Ihren Switch beschrieben wird. Wenn Sie einen Switch verwenden, der den Konfigurationsstil Enhanced Layer 2 Software (ELS) unterstützt, finden Sie weitere Informationen unter Beispiel: Einrichten von Basic Bridging und einem VLAN für einen Switch der EX-Serie mit ELS-Unterstützung . Informationen zu allen anderen Switches finden Sie unter Beispiel: Einrichten eines grundlegenden Bridging und eines VLANs für einen Switch der EX-Serie.
HINWEIS:Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver.
Übersicht und Topologie
Der Switch der EX-Serie fungiert als Authentifikator-PAE. Es blockiert den gesamten Datenverkehr und fungiert als Kontrollgate, bis der Supplicant (Client) vom Server authentifiziert wird. Allen anderen Benutzern und Geräten wird der Zugriff verweigert.
zeigt einen EX4200-Switch, der mit den in .Abbildung 1Tabelle 2
Eigenschaft | Einstellungen |
---|---|
Switch-Hardware |
Zugangs-Switch EX4200, 24 Gigabit-Ethernet-Ports: 8 PoE-Ports (ge-0/0/0 bis ge-0/0/7) und 16 Nicht-PoE-Ports (ge-0/0/8 bis ge-0/0/23) |
VLAN-Name |
Standard |
Ein RADIUS-Server |
Backend-Datenbank mit einer Adresse , die mit dem Switch am Port verbunden ist 10.0.0.100ge-0/0/10 |
Verbinden Sie in diesem Beispiel den RADIUS-Server mit dem Zugriff auf Port ge-0/0/10 auf dem EX4200-Switch. Der Switch fungiert als Authentifikator und leitet Anmeldeinformationen vom Supplicant an die Benutzerdatenbank auf dem RADIUS-Server weiter. Sie müssen die Konnektivität zwischen dem EX4200 und dem RADIUS-Server konfigurieren, indem Sie die Adresse des Servers angeben und das geheime Kennwort konfigurieren. Diese Informationen werden in einem Zugriffsprofil auf dem Switch konfiguriert.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um den RADIUS-Server schnell mit dem Switch zu verbinden, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Schritt-für-Schritt-Anleitung
So verbinden Sie den RADIUS-Server mit dem Switch:
Definieren Sie die Adresse der Server und konfigurieren Sie das geheime Kennwort. Das geheime Passwort auf dem Switch muss mit dem geheimen Passwort auf dem Server übereinstimmen:
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
Konfigurieren Sie die Authentifizierungsreihenfolge, indem Sie die erste Authentifizierungsmethode festlegen :radius
[edit] user@switch# set access profile profile1 authentication-order radius
Konfigurieren Sie eine Liste von Server-IP-Adressen, die in sequenzieller Reihenfolge ausprobiert werden sollen, um den Supplicant zu authentifizieren:
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch> show configuration access radius-server { 10.0.0.100 port 1812; secret "$ABC123"; ## SECRET-DATA } } profile profile1{ authentication-order radius; radius { authentication-server 10.0.0.100 10.0.0.200; } } }
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Vergewissern Sie sich, dass Switch und RADIUS-Server ordnungsgemäß verbunden sind.
Zweck
Stellen Sie sicher, dass der RADIUS-Server mit dem Switch am angegebenen Port verbunden ist.
Was
Pingen Sie den RADIUS-Server an, um die Verbindung zwischen dem Switch und dem Server zu überprüfen:
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms
Bedeutung
ICMP-Echoanforderungspakete werden vom Switch an den Zielserver unter 10.0.0.100 gesendet, um zu testen, ob der Server über das IP-Netzwerk erreichbar ist. ICMP-Echoantworten werden vom Server zurückgegeben, um zu überprüfen, ob der Switch und der Server verbunden sind.
Grundlegendes zu dynamischen Filtern basierend auf RADIUS-Attributen
Sie können RADIUS-Serverattribute verwenden, um Portfirewallfilter auf einem RADIUS-Authentifizierungsserver zu implementieren. Diese Filter können dynamisch auf Supplicants angewendet werden, die eine Authentifizierung über diesen Server anfordern. RADIUS-Serverattribute sind Klartextfelder, die in Access-Accept-Nachrichten gekapselt sind, die vom Authentifizierungsserver an den Switch gesendet werden, wenn ein mit dem Switch verbundener Supplicant erfolgreich authentifiziert wurde. Der Switch, der als Authentifikator fungiert, verwendet die Informationen in den RADIUS-Attributen, um die entsprechenden Filter auf den Supplicant anzuwenden. Dynamische Filter können auf mehrere Ports desselben Switches oder auf mehrere Switches angewendet werden, die denselben Authentifizierungsserver verwenden, um eine zentrale Zugriffskontrolle für das Netzwerk zu ermöglichen.
Sie können Firewallfilter direkt auf dem RADIUS-Server definieren, indem Sie das Attribut Juniper-Switching-Filter verwenden, bei dem es sich um ein Juniper Networks-spezifisches RADIUS-Attribut handelt, das auch als anbieterspezifisches Attribut (VSA) bezeichnet wird. VSAs werden in RFC 2138, Remote Authentication Dial In User Service (RADIUS) beschrieben. Der Juniper-Switching-Filter-VSA wird im Juniper-Wörterbuch auf dem RADIUS-Server unter der Attribut-ID-Nummer 48 aufgeführt, wobei die Hersteller-ID auf die Juniper Networks-ID-Nummer 2636 festgelegt ist. Mit diesem Attribut definieren Sie Filter auf dem Authentifizierungsserver, die auf alle Switches angewendet werden, die Supplicants über diesen Server authentifizieren. Mit dieser Methode entfällt die Notwendigkeit, dieselben Filter auf mehreren Switches zu konfigurieren.
Alternativ können Sie einen Port-Firewall-Filter auf mehrere Ports auf demselben Switch anwenden, indem Sie das Filter-ID-Attribut verwenden, bei dem es sich um die RADIUS-Attribut-ID-Nummer 11 handelt. Um das Filter-ID-Attribut zu verwenden, müssen Sie zuerst einen Filter auf dem Switch konfigurieren und dann den Filternamen den Benutzerrichtlinien auf dem RADIUS-Server als Wert des Filter-ID-Attributs hinzufügen. Wenn ein in einer dieser Richtlinien definierter Supplicant vom RADIUS-Server authentifiziert wird, wird der Filter auf den Switch-Port angewendet, der für den Supplicant authentifiziert wurde. Verwenden Sie diese Methode, wenn der Firewall-Filter komplexe Bedingungen aufweist oder wenn Sie unterschiedliche Bedingungen für denselben Filter auf verschiedenen Switches verwenden möchten. Der im Attribut Filter-ID genannte Filter muss lokal auf dem Switch auf der Hierarchieebene [] konfiguriert werden.edit firewall family ethernet-switching filter
VSAs werden nur für 802.1X-Konfigurationen mit einem Supplicant und Konfigurationen mit mehreren Supplicants unterstützt.
Siehe auch
Grundlegendes zur dynamischen VLAN-Zuweisung mithilfe von RADIUS-Attributen
VLANs können von einem RADIUS-Server dynamisch Supplicants zugewiesen werden, die eine 802.1X-Authentifizierung über diesen Server anfordern. Sie konfigurieren das VLAN auf dem RADIUS-Server mithilfe von RADIUS-Serverattributen, bei denen es sich um Klartextfelder handelt, die in Nachrichten gekapselt sind, die vom Authentifizierungsserver an den Switch gesendet werden, wenn ein mit dem Switch verbundener Supplicant die Authentifizierung anfordert. Der Switch, der als Authentifikator fungiert, verwendet die Informationen in den RADIUS-Attributen, um das VLAN dem Supplicant zuzuweisen. Basierend auf den Ergebnissen der Authentifizierung kann ein Supplicant, der mit der Authentifizierung in einem VLAN begonnen hat, einem anderen VLAN zugewiesen werden.
Für eine erfolgreiche Authentifizierung ist es erforderlich, dass die VLAN-ID oder der VLAN-Name auf dem Switch konfiguriert ist, der als 802.1X-Authentifikator fungiert, und dass er mit der VLAN-ID oder dem VLAN-Namen übereinstimmt, die vom RADIUS-Server während der Authentifizierung gesendet wird. Ist beides nicht vorhanden, wird das Endgerät nicht authentifiziert. Wird ein Gast-VLAN aufgebaut, wird das nicht authentifizierte Endgerät automatisch in das Gast-VLAN verschoben.
Die RADIUS-Serverattribute, die für die dynamische VLAN-Zuweisung verwendet werden, beschrieben in RFC 2868, RADIUS-Attribute für Tunnelprotokollunterstützung.
Tunnel-Type: Definiert als RADIUS-Attributtyp 64. Der Wert sollte auf gesetzt werden.
VLAN
Tunnel-Medium-Type: Definiert als RADIUS-Attributtyp 65. Der Wert sollte auf gesetzt werden.
IEEE-802
Tunnel-Private-Group-ID: Definiert als RADIUS-Attributtyp 81. Der Wert sollte auf die VLAN-ID oder den VLAN-Namen festgelegt werden.
Weitere Informationen zum Konfigurieren dynamischer VLANs auf Ihrem RADIUS-Server finden Sie in der Dokumentation zu Ihrem RADIUS-Server.
Siehe auch
Konfigurieren von VLAN-Gruppen auf Switches der EX-Serie
Mit der VLAN-Gruppenfunktion können Sie Clients auf die VLANs verteilen. Wenn Sie diese Funktion aktivieren, können Sie ein einzelnes WLAN (WLAN) an einem einzelnen VLAN oder an mehreren VLANs ausrichten. Wenn Sie eine VLAN-Gruppe konfigurieren, wird ein Client einem der konfigurierten VLANs zugewiesen. Diese Funktion unterstützt den dynamischen Lastenausgleich von Benutzern über VLANs in einer VLAN-Gruppe. Diese Funktion folgt dem Round-Robin-Algorithmus, um Benutzer dem nächsten verfügbaren VLAN in einer VLAN-Gruppe zuzuweisen.
Für dynamisches VLAN-Load-Balancing fügen Sie den VLAN-Gruppennamen anstelle einer regulären VLAN-ID oder eines VLAN-Namens im Attribut hinzu (in RFC 2868 als RADIUS-Attributtyp 81 definiert).Tunnel-Private-Group-ID
Anschließend senden Sie diese Informationen in der RADIUS-Antwort, wenn ein Supplicant eine 802.1X-Authentifizierung über den RADIUS-Server anfordert. Wenn der Switch den Namen der VLAN-Gruppe erhält, weist der Switch den Endpunkt mithilfe des Round-Robin-Algorithmus einem der VLANs in dieser Gruppe zu. Die VLAN-Gruppe ermöglicht die Zuweisung eines VLANs aus einer vorkonfigurierten Liste, wodurch die Notwendigkeit für Administratoren verringert wird, das Netzwerk auszugleichen.
Beachten Sie bei der Konfiguration einer VLAN-Gruppe Folgendes:
-
Sie können maximal 4096 VLAN-Gruppen konfigurieren.
-
Sie müssen ein VLAN erstellen, bevor Sie es Clients zuweisen. Alle VLANs, die auf dem Switch nicht vorhanden sind, werden bei der Zuweisung ignoriert.
-
Ein VLAN-Name darf nicht mit dem Namen der VLAN-Gruppe identisch sein.
-
Ein VoIP-VLAN sollte nicht Teil der VLAN-Gruppe sein. Ein VoIP-VLAN, falls vorhanden, wird ignoriert.
-
Wenn Sie ein VLAN löschen, werden alle 802.1X-authentifizierten Sitzungen, die diesem VLAN zugeordnet sind, beendet.
-
Sie können eine VLAN-Gruppe löschen, ohne eine Unterbrechung für die Clients zu verursachen, die bereits VLANs in dieser VLAN-Gruppe zugewiesen wurden.
-
Sie können ein VLAN aus einer VLAN-Gruppe entfernen, ohne die Clients, die diesem VLAN bereits zugewiesen wurden, zu stören. Es kann jedoch zu einer Unterbrechung kommen, wenn:
-
Die Clientsitzung läuft ab.
-
Eine erneute Authentifizierung oder ein Rollenwechsel wird mithilfe einer CoA-Anforderung (Change of Authorization) durchgeführt.
-
So konfigurieren Sie VLAN-Gruppen auf Switches der EX-Serie:
Siehe auch
Grundlegendes zu Gast-VLANs für 802.1X auf Switches
Gast-VLANs können auf Switches konfiguriert werden, die 802.1X-Authentifizierung verwenden, um Unternehmensgästen einen eingeschränkten Zugriff – in der Regel nur auf das Internet – zu ermöglichen. Gast-VLAN wird in folgenden Fällen als Fallback verwendet:
Der Supplicant ist nicht 802.1X-fähig und reagiert nicht auf EAP-Nachrichten.
Die MAC RADIUS-Authentifizierung wurde auf den Switch-Schnittstellen, mit denen der Supplicant verbunden ist, nicht konfiguriert.
Das Captive Portal wurde auf den Switch-Schnittstellen, mit denen der Supplicant verbunden ist, nicht konfiguriert.
Ein Gast-VLAN wird nicht für Supplicants verwendet, die falsche Anmeldeinformationen senden. Diese Supplicants werden stattdessen an das Server-Reject-VLAN weitergeleitet.
Bei Endgeräten, die nicht 802.1X-fähig sind, kann ein Gast-VLAN eingeschränkten Zugriff auf einen Server erlauben, von dem das nicht 802.1X-fähige Endgerät die Supplicant-Software herunterladen und erneut versuchen kann, sich zu authentifizieren.
Siehe auch
Beispiel: Konfigurieren von Fallback-Optionen auf Switches der EX-Serie für EAP-TTLS-Authentifizierung und Odyssey Access-Clients
Für die 802.1X-Benutzerauthentifizierung unterstützen Switches der EX-Serie RADIUS-Authentifizierungsserver, die Extensible Authentication Protocol–Tunneled TLS (EAP-TTLS) zur Authentifizierung von Odyssey Access Client (OAC)-Supplicants verwenden. Die OAC-Netzwerksoftware läuft auf Endgeräten (Desktop-, Laptop- oder Notepad-Computer und unterstützte drahtlose Geräte) und bietet sicheren Zugriff auf kabelgebundene und drahtlose Netzwerke.
In diesem Beispiel wird beschrieben, wie eine 802.1X-fähige Schnittstelle auf dem Switch konfiguriert wird, um Fallback-Unterstützung für OAC-Benutzer bereitzustellen, die falsche Anmeldeinformationen eingegeben haben:
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Dieses Beispiel gilt auch für QFX5100 Switches.
Junos OS Version 11.2 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Ports der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein RADIUS-Authentifizierungsserver, der 802.1X unterstützt. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Ein OAC-Endgerät, das als Bittsteller fungiert.
Bevor Sie mit der Konfiguration der Fallback-Option beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Richten Sie eine Verbindung zwischen dem Switch und dem RADIUS-Server ein. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
EAP-TTLS auf dem Server konfiguriert. Weitere Informationen finden Sie in der Dokumentation zu Ihrem RADIUS-Server.
Konfigurierte Benutzer auf dem RADIUS-Server. Weitere Informationen finden Sie in der Dokumentation zu Ihrem RADIUS-Server.
Übersicht und Topologie
OAC ist Netzwerksoftware, die auf Endgeräten (Desktop, Laptop oder Notepad) und unterstützten drahtlosen Geräten ausgeführt wird. OAC bietet volle Unterstützung für EAP, das für einen sicheren WLAN-Zugriff erforderlich ist.
In dieser Topologie wird OAC mit einem 802.1X-fähigen Switch und einem RADIUS-Server bereitgestellt. Der Switch fungiert als Durchsetzungspunkt in der Netzwerksicherheitsarchitektur. Diese Topologie:
Stellt sicher, dass nur autorisierte Benutzer eine Verbindung herstellen können.
Wahrt die Vertraulichkeit der Anmeldeinformationen.
Wahrt den Datenschutz über die drahtlose Verbindung.
Dieses Beispiel umfasst die Konfiguration eines VLANs mit Serverablehnung auf dem Switch, das verwendet werden kann, um eine versehentliche Sperrung für Benutzer zu verhindern, die falsche Anmeldeinformationen eingegeben haben. Diesen Benutzern kann eingeschränkter LAN-Zugriff gewährt werden.
Diese Fallbackkonfiguration wird jedoch durch die Tatsache erschwert, dass der OAC-Supplicant und der RADIUS-Server EAP-TTLS verwenden. EAP-TTLS erstellt einen sicheren, verschlüsselten Tunnel zwischen dem Server und dem Endgerät, um den Authentifizierungsprozess abzuschließen. Wenn der Benutzer falsche Anmeldeinformationen eingibt, sendet der RADIUS-Server EAP-Fehlermeldungen über diesen Tunnel direkt an den Client. Die EAP-Fehlermeldung veranlasst den Client, das Authentifizierungsverfahren neu zu starten, sodass der 802.1X-Authentifizierungsprozess des Switches die Sitzung abbricht, die mit dem Switch über das Server-Reject-VLAN eingerichtet wurde. Sie können die Wiederherstellungsverbindung aktivieren, um fortzufahren, indem Sie Folgendes konfigurieren:
eapol-block- Aktivieren Sie den EAPoL-Block-Timer auf der 802.1X-Schnittstelle, die so konfiguriert ist, dass sie zum Server-Reject-VLAN gehört. Der Blockierungstimer bewirkt, dass die Entität für den Zugriff auf den Authentifizierungsport EAP-Startnachrichten vom Client ignoriert und versucht, das Authentifizierungsverfahren neu zu starten.
HINWEIS:Der EAPoL-Block-Timer wird erst ausgelöst, nachdem die konfigurierte Anzahl der zulässigen Wiederholungsversuche (mit der Option) auf der 802.1X-Schnittstelle ausgeschöpft wurde.retries Sie können festlegen , wie oft der Switch versucht, den Port nach einem anfänglichen Fehler zu authentifizieren.retries Der Standardwert sind drei Wiederholungsversuche.
block-interval– Konfigurieren Sie die Zeitspanne, für die der EAPoL-Blocktimer EAP-Startmeldungen weiterhin ignorieren soll. Wenn Sie das Blockierungsintervall nicht konfigurieren, ist der EAPoL-Block-Timer standardmäßig auf 120 Sekunden festgelegt.
Wenn die 802.1X-Schnittstelle die EAP-Startmeldungen vom Client ignoriert, lässt der Switch zu, dass die vorhandene Standardsitzung, die über das Server-Reject-VLAN eingerichtet wurde, geöffnet bleibt.
Diese Konfigurationsoptionen gelten für die Authentifizierungsmodi "Single", "Single Secure" und "Multiple Supplicant". In diesem Beispiel wird die 802.1X-Schnittstelle im Single-Supplicant-Modus konfiguriert.
Abbildung 3 zeigt einen Switch der EX-Serie, der ein OAC-Endgerät mit einem RADIUS-Server verbindet, und gibt die Protokolle an, die zum Verbinden der Netzwerkeinheiten verwendet werden.
Diese Zahl gilt auch für QFX5100 Switches.
Topologie
Tabelle 4 beschreibt die Komponenten in dieser OAC-Bereitstellung:.
Eigenschaft | Einstellungen |
---|---|
Switch-Hardware |
Switch der EX-Serie |
VLANs |
default server-reject-vlan Der VLAN-Name und die VLAN-ID sind remedial700 |
802.1X-Schnittstelle |
ge-0/0/8 |
OAC-Bittsteller |
EAP-TTLS |
Ein RADIUS-Authentifizierungsserver |
EAP-TTLS |
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um die Fallback-Optionen für EAP-TTLS- und OAC-Supplicants schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminal-Fenster ein:
[edit] set vlans remedial vlan-id 700 set protocols dot1x authenticator interface ge-0/0/8 retries 4 set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan remedial set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan eapol-block set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan block-interval 130
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Fallback-Optionen für EAP-TTLS- und OAC-Supplicants:
In diesem Beispiel verfügt der Switch nur über ein Server-Reject-VLAN. Daher wird in der Konfiguration und direkt nach .eapol-blockblock-intervalserver-reject-vlan Wenn Sie jedoch mehrere VLANs auf dem Switch konfiguriert haben, müssen Sie den VLAN-Namen oder die VLAN-ID direkt danach angeben, um anzugeben, welches VLAN geändert wird.server-reject-vlan
Konfigurieren Sie ein VLAN, das als VLAN für die Serverablehnung fungiert, um Benutzern, die falsche Anmeldeinformationen eingegeben haben, eingeschränkten LAN-Zugriff zu gewähren:
[edit] user@switch# set vlans remedial vlan-id 700
Konfigurieren Sie, wie oft der Client zur Eingabe von Benutzername und Kennwort aufgefordert werden soll, bevor eine falsche Anmeldung an das vom Server abgelehnte VLAN weitergeleitet wird:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set retries 4
Konfigurieren Sie die 802.1X-Authentifikatorschnittstelle so, dass das Server-Reject-VLAN als Fallback für falsche Anmeldungen verwendet wird:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan remedial
Aktivieren Sie den EAPoL-Blocktimer auf der 802.1X-Schnittstelle, die so konfiguriert ist, dass sie zum Server-Reject-VLAN gehört.
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan eapol-block
Konfigurieren Sie die Zeitspanne, für die der EAPoL-Block wirksam bleibt:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan block-interval 130
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration protocols { dot1x { authenticator { interface { ge-0/0/8.0 { supplicant single; retries 4; server-reject-vlan remedial block-interval 130 eapol-block; }
Überprüfung
Führen Sie die folgende Aufgabe aus, um zu bestätigen, dass die Konfiguration und die Fallback-Optionen ordnungsgemäß funktionieren:
Überprüfen der Konfiguration der 802.1X-Schnittstelle
Zweck
Stellen Sie sicher, dass die 802.1X-Schnittstelle mit den gewünschten Optionen konfiguriert ist.
Was
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 4 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 120 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPoL requests: 2 Guest VLAN member: guest Number of connected supplicants: 1 Supplicant: tem, 2A:92:E6:F2:00:00 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Radius Authenticated VLAN: remedial Session Reauth interval: 120 seconds Reauthentication due in 68 seconds
Bedeutung
Die Befehlsausgabe zeigt, dass sich die Schnittstelle im Status befindet und das VLAN verwendet.show dot1x ge-0/0/8 detail
ge-0/0/8Authenticatedremedial
Überwachung der 802.1X-Authentifizierung
Zweck
Dieses Thema gilt nur für das J-Web-Anwendungspaket.
Verwenden Sie die Überwachungsfunktion, um Details zu authentifizierten Benutzern und Benutzern anzuzeigen, bei denen die Authentifizierung fehlgeschlagen ist.
Was
Um Authentifizierungsdetails in der J-Web-Schnittstelle anzuzeigen, wählen Sie > > aus.MonitoringSecurity802.1X
Geben Sie die folgenden Befehle ein, um Authentifizierungsdetails in der CLI anzuzeigen:
show dot1x interface detail | display xml
show dot1x interface detail <interface> | display xml
show dot1x auth-failed-users
Bedeutung
Zu den angezeigten Details gehören:
Eine Liste der authentifizierten Benutzer.
Die Anzahl der verbundenen Benutzer.
Eine Liste der Benutzer, bei denen die Authentifizierung fehlgeschlagen ist.
Sie können auch eine Schnittstelle angeben, für die die Details angezeigt werden sollen.
Siehe auch
Verifizieren der 802.1X-Authentifizierung
Zweck
Stellen Sie sicher, dass Supplicants auf einer Schnittstelle auf einem Switch authentifiziert werden, wobei die Schnittstelle für die 802.1X-Authentifizierung konfiguriert ist, und zeigen Sie die verwendete Authentifizierungsmethode an.
Was
Zeigen Sie detaillierte Informationen zu einer für 802.1X konfigurierten Schnittstelle an (hier ist die Schnittstelle ge-0/0/16):
user@switch> show dot1x interface ge-0/0/16.0 detail ge-0/0/16.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Strict: Disabled Reauthentication: Enabled Reauthentication interval: 40 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 1 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user5, 00:30:48:8C:66:BD Operational state: Authenticated Authentication method: Radius Authenticated VLAN: v200 Reauthentication due in 17 seconds
Bedeutung
Die Beispielausgabe des Befehls zeigt, dass der Wert 1 ist. Der Supplicant, der authentifiziert wurde und jetzt mit dem LAN verbunden ist, wird als auf dem RADIUS-Server bezeichnet und hat die MAC-Adresse .show dot1x interface detail
Number of connected supplicants
user500:30:48:8C:66:BD Der Supplicant wurde mit der 802.1X-Authentifizierungsmethode namens RADIUS-Authentifizierung authentifiziert, wie in der Ausgabe angegeben .Radius
Wenn die RADIUS-Authentifizierung verwendet wird, wird der Supplicant auf dem RADIUS-Server konfiguriert, der RADIUS-Server übermittelt dies an den Switch, und der Switch öffnet den LAN-Zugriff auf die Schnittstelle, mit der der Supplicant verbunden ist. Die Beispielausgabe zeigt auch, dass der Supplicant mit VLAN verbunden ist.v200
Weitere 802.1X-Authentifizierungsmethoden, die auf Switches der EX-Serie zusätzlich zur RADIUS-Authentifizierung unterstützt werden, sind:
Gast-VLAN: Einem nicht reagierenden Host wird Gast-VLAN-Zugriff gewährt.
MAC Radius: Ein nicht reagierender Host wird anhand seiner MAC-Adresse authentifiziert. Die MAC-Adresse wird auf dem RADIUS-Server als zulässig konfiguriert, der RADIUS-Server benachrichtigt den Switch, dass es sich bei der MAC-Adresse um eine zulässige Adresse handelt, und der Switch gewährt dem nicht reagierenden Host auf der Schnittstelle, mit der er verbunden ist, LAN-Zugriff.
Server-fail deny: Wenn bei den RADIUS-Servern eine Zeitüberschreitung auftritt, wird allen Supplicants der Zugriff auf das LAN verweigert, wodurch verhindert wird, dass der Datenverkehr vom Supplicant die Schnittstelle durchläuft. Dies ist die Standardeinstellung.
Server-fail permit: Wenn der RADIUS-Server nicht verfügbar ist, wird einem Supplicant weiterhin der Zugriff auf das LAN gewährt, als ob der Supplicant erfolgreich vom RADIUS-Server authentifiziert worden wäre.
Server-fail use-cache - Wenn bei der erneuten Authentifizierung bei den RADIUS-Servern eine Zeitüberschreitung auftritt, wird zuvor authentifizierten Supplicants der LAN-Zugriff gewährt, neuen Supplicants wird jedoch der LAN-Zugriff verweigert.
Server-fail VLAN: Ein Supplicant ist so konfiguriert, dass er in ein bestimmtes VLAN verschoben wird, wenn der RADIUS-Server nicht verfügbar ist, um den Supplicant erneut zu authentifizieren. (Das VLAN muss bereits auf dem Switch vorhanden sein.)
Siehe auch
Fehlerbehebung bei der Authentifizierung von Endgeräten auf Switches der EX-Serie
Problem
Beschreibung
Endgeräte, die mit statischen MAC-Adressen konfiguriert sind, verlieren die Verbindung zum Switch, nachdem der Befehl clear dot1x interface ausgeführt wurde, um alle gelernten MAC-Adressen zu löschen.
Vor dem Löschen von MAC-Adressen:
user@switch# run show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members default 00:a0:d4:00:03:00 Learn 0 ge-3/0/16.0 user@switch> show dot1x authentication-bypassed-users MAC address Interface VLAN 00:a0:d4:00:03:00 ge-3/0/16.0 configured/default
So löschen Sie MAC-Adressen:
user@switch> clear dot1x interface
Nach dem Löschen der MAC-Adressen:
user@switch> show ethernet-switching table Ethernet-switching table: 2 entries, 0 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members user@switch> show dot1x authentication-bypassed-users
Beachten Sie, dass sich keine Endgeräte in der Liste der Authentifizierungsumgehungen befinden.
Ursache
Statische MAC-Adressen werden genauso behandelt wie andere gelernte MAC-Adressen auf einer Schnittstelle. Wenn der Befehl clear dot1x interface ausgeführt wird, werden alle gelernten MAC-Adressen von der Schnittstelle gelöscht, einschließlich der statischen MAC-Bypass-Liste (auch als Ausschlussliste bezeichnet).
Lösung
Wenn Sie den Befehl clear dot1x interfaces für eine Schnittstelle ausführen, für die statische MAC-Adressen für die Authentifizierungsumgehung konfiguriert sind, fügen Sie die statischen MAC-Adressen erneut zur Liste der statischen MAC-Umgehungen hinzu.
Siehe auch
RADIUS-Attribute und herstellerspezifische Attribute (VSAs) von Juniper Networks, die von 802.1X unterstützt werden
Authenticator (Network Access Server), Supplicant (Client) und der Authentifizierungsserver sind alle an der 802.1X-Authentifizierung (RADIUS-Server) beteiligt. Das RADIUS-Protokoll wird als Request/Response-Mechanismus für die Kommunikation zwischen NAS und Radius-Server verwendet. Es gibt null oder mehr Type Length Values (TLVs/Attributes) sowohl in Anforderungen als auch in Antwort.
Der Zugriff jedes Antragstellers kann mithilfe eines Standardsatzes definierter Funktionen und herstellerspezifischer Attribute eingeschränkt werden, die durch 802.1X aktiviert werden. (Kunde). Bestimmte Attribute können mehr als einmal verwendet werden, um längere Werte zu unterstützen, da das Attribut "Radius-Klasse" eine maximale Größe von 253 Byte hat.
Vorteile der Verwendung von RADIUS-Standardattributen und VSAs
Um eine Verbindung mit einem externen RADIUS-Server für die Abonnentenauthentifizierung, -autorisierung und -kontoerstellung herzustellen, sind RADIUS-Standardattribute erforderlich.
VSAs ermöglichen die Implementierung zahlreicher wertvoller Funktionen, die für die Abonnentenverwaltung und den Servicesupport erforderlich sind, und erweitern die Fähigkeiten des RADIUS-Servers über das hinaus, was von öffentlichen Standardattributen bereitgestellt wird.
Von 802.1X unterstützte Radius-Attribute und VSA-Liste
Typ | Attribut |
---|---|
1 |
Benutzername |
11 |
Filter-ID |
24 |
Bundesland |
25 |
Klasse |
26 |
Herstellerspezifisch |
27 |
Sitzungs-Timeout |
56 |
Ausgangs-VLANID |
57 |
Egress-VLAN-Name |
64 |
Tunnel-Typ |
65 |
Tunnel-Medium-Typ |
81 |
Tunnel-Private-Group-ID |
85 |
Acct-Interim-Interval |
102 |
EAP-Schlüssel-Name |
Anbieter-ID | Anzahl | Juniper VSAs | Microsoft VSAs | Cisco VSA |
---|---|---|---|---|
2636 | 48 | Juniper-Switching-Filter | ||
49 | Juniper-VoIP-VLAN | |||
50 | Juniper-CWA-Weiterleitungs-URL | |||
52 | Juniper-AV-Paar = Port-Bounce |
|||
Juniper-AV-Pair = Juniper IP-Mac-Session-Bindung |
||||
Juniper-AV-Pair = No-Mac-Binding-Reauth |
||||
Juniper-AV-Pair = Supplicant-Mode-Single |
||||
Juniper-AV-Pair = Supplicant-Mode-Single-Secure |
||||
Juniper-AV-Pair = Mac-Age-Session beibehalten |
||||
311 | 16 | MS-MPPE-Sendeschlüssel | ||
17 | MS-MPPE-Recv-Schlüssel | |||
9 | 1 |
Cisco-AVPair = "subscriber:command=bounce-host-port" |
||
Cisco-AVPair = "subscriber:command=reauthenticate" |
||||
Cisco-AVPair = "subscriber:reauthenticate-type=rerun" |
||||
"subscriber:reauthenticate-type=last" | ||||
"URL-Weiterleitung" |
802.1X unterstützte RADIUS-Attribute
Benutzername:
Durch dieses Attribut wird der Name des Benutzers angegeben, der verifiziert werden soll. Falls verfügbar, müssen Access-Request-Pakete verwendet werden, um dieses Attribut zu senden. Der RADIUS-Typ für dieses Attribut ist 1.
Filter-ID:
Auf dem RADIUS-Server können Benutzerrichtlinien einem Firewallfilter unterliegen. Der RADIUS-Server kann dann verwendet werden, um die Firewall-Filter festzulegen, die auf jeden Benutzer angewendet werden sollen, der eine Authentifizierungsanfrage sendet. Jeder Switch muss mit Firewall-Filtern konfiguriert werden.
You must set up firewall filter on the local switch in order to apply filter centrally from the RADIUS server.[root@freeradius]# cd /usr/local/pool/raddb vi users
Fügen Sie den Filter für jeden relevanten Benutzer hinzu.
Filter-Id = Filter1
Bundesstaat:
Zwischen dem Gerät und dem RADIUS-Server können Zustandsinformationen mithilfe des String-Attributs beibehalten werden. Der RADIUS-Typ für dieses Attribut ist 24.
Ausgangs-VLANID:
Eine zulässige IEEE 802-Ausgangs-VLANID für diesen Port wird durch das Attribut Egress-VLANID dargestellt, das auch angibt, ob die VLANID zusätzlich zur VLANID für getaggte oder nicht getaggte Frames zulässig ist. Das Egress-VLANID-Attribut ist in RFC 4675 definiert.
Egress-VLANID-Attribute aus den Access-Request-, Access-Accept- oder CoA-Request-Paketen können mehrere Werte enthalten. No Access-Challenge, Access-Reject, Disconnect-Request, Disconnect-ACK, Disconnect-NAK, CoA-ACK oder CoA-NAK dürfen dieses Merkmal enthalten. Jedes Attribut fügt das bereitgestellte VLAN zur Liste der zulässigen Ausgangs-VLANs des Ports hinzu.
Wenn die Frames im VLAN getaggt (0x31) oder nicht getaggt (0x31) sind, wird dies im Feld "Tag-Indikation" mit einer Länge von einem Oktett angegeben. Die VLANID ist 12 Bit lang und enthält den VLAN-VID-Wert.
Für Egress-VLAN-ID:
0x31 = tagged 0x32 = untagged
Das folgende RADIUS-Profil enthält beispielsweise ein getaggtes und ein nicht getaggtes VLAN:
001094001177 Cleartext-Password := "001094001177" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLANID += 0x3100033, Egress-VLANID += 0x3200034,
Egress-VLAN-Name:
Egress-VLAN-Name stellt ein zulässiges VLAN für diesen Port dar. Ähnlich wie beim Attribut "Egress-VLANID" wird jedoch anstelle der definierten oder bekannten VLAN-ID der VLAN-Name verwendet, um das VLAN innerhalb des Systems zu identifizieren. RFC 4675 enthält eine Definition für das Attribut Egress-VLAN-Name.
Der VLAN-Name ist der zweite Teil des zweiteiligen Attributs Egress-VLAN-Name, das auch angibt, ob Frames im VLAN für diesen Port im getaggten oder nicht getaggten Format angezeigt werden sollen.
Für Egress-VLAN-Name: 1 = getaggt und 2 = nicht getaggt
The example below shows that VLAN 1vlan-2 is tagged, while VLAN 2vlan-3 is not.001094001144 Cleartext-Password := "001094001144" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
Tunnel-Typ:
Dieses Attribut gibt entweder das derzeit verwendete Tunneling-Protokoll oder das Tunneling-Protokoll an, das verwendet wird (im Fall eines Tunnelinitiators) (im Fall eines Tunnelabschlusszeichens). RFC 2868 spezifiziert das Tunnel-Type-Attribut. Der RADIUS-Typ für dieses Attribut ist 64
Tunnel-Private-Group-ID:
Die VLAN-ID oder der NAME für die Sitzung wird durch das Attribut Tunnel-Medium-Type angezeigt. Das Gerät überprüft, ob es sich bei der empfangenen Zeichenfolge um einen VLAN-Namen oder eine ID handelt, nachdem es einen Wert für das Attribut Tunnel-Private-Group-ID aus dem Radius erhalten hat, und prüft, ob das Gerät mit einem VLAN eingerichtet ist.
Wenn ein VLAN konfiguriert wurde, wird der Client-Port zu diesem VLAN hinzugefügt. Andernfalls wird der Client aufgrund eines Fehlers bei der VLAN-Validierung nicht zugelassen und im Status "Angehalten" gehalten.
Der RADIUS-Typ für dieses Attribut ist 81 gemäß RFC 2868.
[root@freeradius]# cat /usr/local/etc/raddb/users supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005",
Acct-Interim-Interval:
Der Wert des Attributs Acct-Interim-Interval stellt das Zeitintervall in Sekunden zwischen jeder Übertragung einer Zwischenaktualisierung für eine bestimmte Sitzung dar. Die Anzahl der Sekunden, die seit der letzten Buchhaltungsaktualisierungsnachricht vergangen sind, ist der Wert dieses Attributs.
Ein Mindestwert kann auch von einem Administrator lokal auf einem RADIUS-Client festgelegt werden, dieser Wert hat jedoch immer Vorrang vor allen Acct-Interim-Interval-Werten, die in einem Access-Accept-Paket erkannt werden. Der RADIUS-Typ für dieses Attribut ist 85.
Juniper Networks VSAs
Juniper-Switching-Filter:
Mit dem Attribut Juniper-Switching-Filter im Juniper-Wörterbuch auf dem RADIUS-Server können Sie einfache Filterkriterien angeben. Wenn danach ein neuer Benutzer erfolgreich autorisiert wurde, werden diese Filter an einen Switch geliefert.
Switches, die den RADIUS-Server für die Benutzerauthentifizierung verwenden, erstellen die Filter automatisch und wenden sie an, ohne dass eine Switch-spezifische Konfiguration erforderlich ist. Geben Sie eine oder mehrere Übereinstimmungsbedingungen, Aktionen und Benutzerzuordnungen auf dem RADIUS-Server ein, um die Juniper-Switching-Filter-Eigenschaft zu konfigurieren.
Verwenden Sie für längere Switching-Filter mehrere Instanzen des Juniper-switching-filter-Attributs mit einem maximalen Limit von 20 Übereinstimmungsbedingungen und einer maximalen Gesamtgröße von 4000 Zeichen. Die maximale Länge eines Radius-Attributs beträgt 253 Zeichen, daher sollte jede Zeile des Attributs "Juniper-switching-filter" ebenfalls weniger als 253 Zeichen lang sein.
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter = "match src-tag dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow ", Juniper-Switching-Filter += "match src-port 500 dst-port 600 src-tag [ 100, 200 ] action allow ", Juniper-Switching-Filter += "match ip-proto src-port 9090 ip-proto [ 25 17] action allow ", Juniper-Switching-Filter += "match src-port 100-120 200-220 300-320 src-tag ip-proto 26 18 action allow ", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000 ] ip-proto 240 action allow "
Die folgenden Filterübereinstimmungsbedingungen werden unterstützt:
· destination-mac / dst-mac · destination-port / dst-port · destination-ip / dst · ip-protocol / ip-proto · source-port / src-port · source-dot1q-tag / src-tag · ether-type
- Allow · Deny · GBP · Trap to CPU · Loss-Priority · Forwarding-Class
i) Vergewissern Sie sich, dass das Juniper-Wörterbuch auf Ihrem RADIUS-Server geladen ist und das Filterattribut Juniper-Switching-Filter, Attribut-ID 48, enthält:
[root@freeradius]# cat /usr/local/share/freeradius/dictionary.juniper # dictionary.juniper # $ # VENDOR Juniper 2636 BEGIN-VENDOR Juniper ATTRIBUTE Juniper-Local-User-Name 1 string ATTRIBUTE Juniper-Allow-Commands 2 string ATTRIBUTE Juniper-Deny-Commands 3 string ATTRIBUTE Juniper-Allow-Configuration 4 string ATTRIBUTE Juniper-Deny-Configuration 5 string ATTRIBUTE Juniper-Switching-Filter 48 string ATTRIBUTE Juniper-VoIP-Vlan 49 string ATTRIBUTE Juniper-CWA-Redirect 50 string ATTRIBUTE Juniper-AV-Pair 52 string END-VENDOR Juniper
ii) Geben Sie die Spielbedingungen und Aktionen ein.
[root@freeradius]# cd /usr/local/etc/raddb vi users
Fügen Sie für jeden relevanten Benutzer das Attribut Juniper-Switching-Filter hinzu. Um den Zugriff basierend auf der Ziel-MAC zu verweigern oder zuzulassen, verwenden Sie
Juniper-Switching-Filter = "Match Destination mac 00:00:00:01:02:03 Action allow",
oder
Juniper-Switching-Filter = "Match Destination-mac 00:00:00:01:02:03 Action deny",
So verweigern oder erlauben Sie den Zugriff basierend auf der Ziel-IP-Adresse:
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action deny"
oder
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action allow"
So senden Sie mehrere Filter mit unterschiedlichen Übereinstimmungen und Aktionen:
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter += "Match Ip-protocol 1 Destination-port 53 Action allow,", Juniper-Switching-Filter += "Match ip-proto [ 17, 25 ] dst-port 53 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 2 src-port 67 Action allow,", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000] action deny,", Juniper-Switching-Filter += "Match destination-port 23 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 6 Destination-port 80 Action trap,",
oder
Juniper-Switching-Filter = "Match Ip-protocol 6 Destination-port 53 Action allow , Match Ip-protocol [ 17 25] Destination-port 53 Action allow , Match Ether-type [2054-2070] Action deny, Match Ip-protocol 6 Destination-port 443 Action trap"
So legen Sie die Paketverlustpriorität (PLP) basierend auf einer MAC-Zieladresse und dem IP-Protokoll auf "Hoch" fest:
Juniper-Switching-Filter = "match destination-mac 00:04:0f:fd:ac:fe, ip-protocol 2, forwarding-class high, action loss-priority high"
Die Weiterleitungsklasse muss auf dem Switch eingerichtet sein, damit die Option forwarding-class wirksam wird. Diese Option wird nicht verwendet, wenn sie nicht auf dem Switch angegeben ist. Sowohl die Paketverlustpriorität als auch die Weiterleitungsklasse müssen angegeben werden.
Juniper-VoIP-Vlan:
Das VOIP-VLAN wird mithilfe des VSA Juniper-VoIP-VLAN in einer Access-Accept-Nachricht oder COA-Anforderungsnachricht vom RADIUS-Server abgerufen. Dieses Attribut ist die Nummer 49.
Juniper-VoIP-Vlan = "voip_vlan"
VoIP ermöglicht es Ihnen, IP-Telefone mit dem Switch zu verbinden und die IEEE 802.1X-Authentifizierung für IP-Telefone einzurichten, die 802.1X-kompatibel sind.
Ethernet-LANs sind dank der 802.1X-Authentifizierung vor unbefugtem Benutzerzugriff geschützt. Ein als VoIP bekanntes Protokoll wird verwendet, um Sprache über paketvermittelte Netzwerke zu übertragen. Eine Netzwerkverbindung wird im Gegensatz zu einer analogen Telefonleitung von VoIP verwendet, um Sprachanrufe zu übertragen. Wenn VoIP mit 802.1X verwendet wird, überprüft der RADIUS-Server die Identität des Telefons, während LLDP-MED (Link Layer Discovery Protocol-Media Endpoint Discovery) dem Telefon die CoS-Parameter (Class-of-Service) zugibt.
Juniper-CWA-Weiterleitung:
Mit der Juniper-CWA-Redirect VSA, die im Juniper RADIUS-Wörterbuch die Attributnummer 50 ist, kann die Umleitungs-URL zentral auf dem AAA-Server konfiguriert werden. Sowohl der dynamische Firewallfilter als auch die URL werden vom AAA-Server in derselben RADIUS-Access-Accept-Nachricht an den Switch übermittelt. Als Backup-Authentifizierungsmechanismus leitet die zentrale Webauthentifizierung (CWA) den Webbrowser des Hosts an einen zentralen Webauthentifizierungsserver um. Der Benutzer kann einen Benutzernamen und ein Passwort auf der Weboberfläche des CWA-Servers eingeben. Der Benutzer wird authentifiziert und erhält Zugriff auf das Netzwerk, wenn der CWA-Server seine Anmeldeinformationen akzeptiert.
Nachdem ein Host die MAC RADIUS-Authentifizierung nicht bestanden hat, wird die zentrale Webauthentifizierung verwendet. Der Switch, der als Authentifikator fungiert, empfängt eine RADIUS Access-Accept-Nachricht vom AAA-Server, die einen dynamischen Firewall-Filter und eine Umleitungs-URL für die zentrale Webauthentifizierung enthält.
Damit die zentrale Web-Authentifizierung aktiviert werden kann, müssen sowohl die Weiterleitungs-URL als auch der dynamische Firewall-Filter vorhanden sein. Um den Juniper-Switching-Filter VSA für die zentrale Webauthentifizierung zu verwenden, müssen Sie die Filterbegriffe direkt auf dem AAA-Server konfigurieren. Der Filter muss einen Begriff enthalten, der mit der Ziel-IP-Adresse des CWA-Servers mit der Aktion allow übereinstimmt.
Hier einige Zahlen zum Generationswechsel:
001122334455 Auth-Type := EAP, Cleartext-Password :="001122334455" Session-Timeout = "300", Juniper-CWA-Redirect-URL = "https://10.10.10.10", Juniper-Switching-Filter = "Match Destination-ip 10.10.10.10 Action allow, Match ip-protocol 17 Action allow, Match Destination-mac 00:01:02:33:44:55 Action deny"
Für die Umleitungs-URL löst der Switch keine DNS-Abfragen auf. Um die Ziel-IP-Adresse des CWA-Servers zu aktivieren, müssen Sie die Eigenschaft Juniper-Switching-Filter konfigurieren.
Juniper-AV-Paar:
Das Juniper-AV-Pair-Attribut ist ein anbieterspezifisches Attribut (VSA) von Juniper Networks. Um zahlreiche wichtige Funktionen bereitzustellen, die für die Abonnentenverwaltung und den Servicesupport erforderlich sind, wird es verwendet, um die Fähigkeiten des RADIUS-Servers über die von den öffentlichen Standardattributen angebotenen Funktionen hinaus zu erweitern.
i) Port-Bounce:
Mit dem Befehl CoA bounce host port wird eine Sitzung beendet und der Port wird zurückgewiesen (initiiert ein Link-Down-Ereignis, gefolgt von einem Link-Up-Event). Die Anfrage wird vom Radius-Server in einer typischen CoA-Request-Nachricht mit der unten aufgeführten VSA gesendet:
Juniper-AV-Pair = "Port-Bounce".
Dieser Befehl erfordert eines oder mehrere der Sitzungsidentifikationsattribute, die im Abschnitt "Sitzungsidentifikation" aufgeführt sind, da er sitzungsorientiert ist. Das Gerät sendet eine CoA-NAK-Nachricht mit dem Fehlercode-Attribut "Session Context Not Found", wenn die Sitzung nicht gefunden werden kann.
Das Gerät schließt den Hosting-Port für 4 Sekunden, aktiviert ihn wieder (Port Bounce) und gibt dann ein CoA-ACK zurück, wenn die Sitzung gefunden wurde.
ii) Ip-Mac-Session-Bindung:
Dies wird verwendet, um zu verhindern, dass die Authentifizierungssitzung für dieses Gerät beendet wird, wenn die MAC-Adresse eines Geräts veraltet ist und neu gelernt werden muss. Wir erhalten diesen Attributwert von einem VSA Juniper AV-Paar in einer Access-Accept- oder COA-Anforderungsnachricht.
Konfigurieren Sie den RADIUS-Server mit den beiden folgenden Attribut-Wert-Paaren, um die Authentifizierungssitzung basierend auf IP-MAC-Adressbindungen aufrechtzuerhalten.
Juniper-AV-Pair = "IP-Mac-Session-Binding Juniper-AV-Pair = "No-Mac-Binding-Reauth"
iii) No-Mac-Binding-Reauth:
Dies wird verwendet, um die erneute Clientauthentifizierung zu blockieren und zu verhindern, dass die Authentifizierungssitzung beendet wird, wenn die MAC-Adresse eines Geräts veraltet ist. Dieser Eigenschaftswert wird von einem VSA Juniper AV-Paar in einer Access-Accept- oder COA-Anforderungsnachricht an uns gesendet.
Juniper-AV-Pair = "No-Mac-Binding-Reauth" Detailed information is provided in the document: Retain the Authentication Session Using IP-MAC Bindings
iv) Supplicant-Mode-Single:
The device switches from the current set mode to single in response to receiving this attribute-value from a VSA Juniper-AV-Pair on an access-accept or COA request message.Juniper-AV-Pair = "Supplicant-Mode-Single"
v) Supplicant-Mode-Single-Secure:
Das Gerät wechselt von seinem aktuellen Set-Modus in Single-Secure, wenn es diesen Attributwert von einem VSA Juniper-AV-Paar auf eine Zugriffs-Annahme- oder COA-Anforderungsnachricht empfängt.
Juniper-AV-Pair = "Supplicant-Mode-Single-Secure"
vi) Retain-Mac-Aged-Session:
If this attribute-value is received from a VSA Juniper-AV-Pair on an access-accept message for an 802.11X client, the client stays active even if the mac has aged out, and the mac is re-learned.Juniper-AV-Pair = "Retain-Mac-Aged-Session"
MS-MPPE-Send-Key & MS-MPPE-Recv-Key:
These are the MACSEC CAK generation keys together with the EAP key name that are utilised in dynamic CAK scenarios.Cisco-AVPair:
Cisco Systems, IANA private enterprise number 9, uses a single VSA, Cisco-AVPair (26-1). Based on the values it has, this VSA transmits various pieces of information. In some subscriber access networks with a BNG connected to a RADIUS server and a Cisco BroadHop application that serves as the Policy Control and Charging Rules Function (PCRF) server for provisioning services using RADIUS change of authorization (CoA) messages, you can use this VSA in RADIUS messages to activate and deactivate services.Wenn die BNG RADIUS-Nachrichten übermittelt, können Sie keine der Eigenschaften in den Buchhaltungs-, CoA- oder Authentifizierungsantworten ändern.
i) Cisco-AVPair = "subscriber:command=bounce-host-port"
Eine Sitzung wird beendet und der Port wird über den Befehl CoA bounce host port (initiiert ein Link-Down-Ereignis, gefolgt von einem Link-Up-Event) zurückgesendet. Die Anfrage wird vom AAA-Server in einer typischen CoA-Request-Nachricht mit der unten aufgeführten VSA gesendet.
Cisco:Avpair=“subscriber:command=bounce-host-port”
Dieser Befehl erfordert eines oder mehrere der Sitzungsidentifikationsattribute, die im Abschnitt "Sitzungsidentifikation" aufgeführt sind, da er sitzungsorientiert ist. Das Gerät sendet eine CoA-NAK-Nachricht mit dem Fehlercode-Attribut "Session Context Not Found", wenn die Sitzung nicht gefunden werden kann. Das Gerät schließt den Hosting-Port für 4 Sekunden, aktiviert ihn wieder (Port Bounce) und gibt dann ein CoA-ACK zurück, wenn die Sitzung gefunden wurde.
ii) Cisco-AVPair-Befehl zur erneuten Authentifizierung
Um die Sitzungsauthentifizierung zu initiieren, sendet der AAA-Server eine Standard-CoA-Request-Nachricht, die die folgenden VSAs enthält:
Cisco:Avpair=“subscriber:command=reauthenticate” Cisco:Avpair=“subscriber:reauthenticate-type=<last | rerun>”
reauthenticate-type
definiert, ob die CoA-Reauthentifizierungsanforderung die Authentifizierungsmethode verwendet, die zuletzt in der Sitzung erfolgreich war, oder ob der Authentifizierungsprozess vollständig erneut ausgeführt wird.
"subscriber:command=reauthenticate"
muss vorhanden sein, um eine erneute Authentifizierung zu veranlassen. Die Standardaktion besteht darin, die vorherige erfolgreiche Authentifizierungsmethode zu wiederholen, die für die Sitzung verwendet wurde, wenn "subscriber:reauthenticate-type" nicht angegeben ist. Wenn die Methode erfolgreich erneut authentifiziert wird, werden alle vorherigen Autorisierungsdaten durch die neu authentifizierten Autorisierungsdaten ersetzt.
Nur wenn "subscriber:command=reauthenticate" ebenfalls vorhanden ist, ist "subscriber:reauthenticate-type" gültig. Die VSA wird nicht berücksichtigt, wenn sie in einem anderen CoA-Befehl enthalten ist.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.