Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Authentifizierungsmethoden für die Zugriffssteuerung

Sie können den Zugriff auf Ihr Netzwerk über ein Gerät steuern, indem Sie verschiedene Authentifizierungen verwenden. Junos OS-Geräte unterstützen 802.1X, MAC RADIUS und Captive Portal als Authentifizierungsmethoden für Geräte, die eine Verbindung zu einem Netzwerk herstellen müssen. Weitere Informationen finden Sie in diesem Thema.

Übersicht über die Authentifizierung

Sie können den Zugriff auf Ihr Netzwerk über ein Gerät von Juniper Networks mithilfe von Authentifizierungsmethoden wie 802.1X, MAC RADIUS oder Captive Portal steuern. Die Authentifizierung verhindert, dass nicht authentifizierte Geräte und Benutzer Zugriff auf Ihr LAN erhalten. Für die 802.1X- und MAC RADIUS-Authentifizierung müssen Endgeräte authentifiziert werden, bevor sie eine IP-Adresse von einem DHCP-Server (Dynamic Host Configuration Protocol) erhalten. Bei der Captive Portal-Authentifizierung ermöglicht das Gerät den Endgeräten, eine IP-Adresse zu erwerben, um sie zur Authentifizierung auf eine Anmeldeseite umzuleiten.

802.1X-Authentifizierung

802.1X ist ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle (PNAC). Es bietet einen Authentifizierungsmechanismus für Geräte, die auf ein LAN zugreifen möchten. Die 802.1X-Authentifizierungsfunktion basiert auf dem IEEE 802.1X-Standard Port-Based Network Access Control.

Das Kommunikationsprotokoll zwischen dem Endgerät und dem Gerät ist Extensible Authentication Protocol over LAN (EAPoL). EAPoL ist eine Version von EAP, die für die Verwendung mit Ethernet-Netzwerken entwickelt wurde. Das Kommunikationsprotokoll zwischen dem Authentifizierungsserver und dem Gerät ist RADIUS.

Während des Authentifizierungsprozesses führt das Gerät mehrere Nachrichtenaustausche zwischen dem Endgerät und dem Authentifizierungsserver durch. Während der 802.1X-Authentifizierung kann nur 802.1X-Datenverkehr und -Kontrolldatenverkehr das Netzwerk passieren. Anderer Datenverkehr, z. B. DHCP-Datenverkehr und HTTP-Datenverkehr, wird auf der Datenverbindungsschicht blockiert.

HINWEIS:

Sie können sowohl die maximale Häufigkeit, mit der ein EAPoL-Anforderungspaket erneut übertragen wird, als auch die Zeitüberschreitung zwischen den Versuchen konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren).Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren)

Eine 802.1X-Authentifizierungskonfiguration für ein LAN enthält drei grundlegende Komponenten:

Supplicant (also called end device)

Supplicant ist der IEEE-Begriff für ein Endgerät, das den Beitritt zum Netzwerk anfordert. Das Endgerät kann responsiv oder nicht responsiv sein. Ein responsives Endgerät ist 802.1X-fähig und stellt Authentifizierungsdaten über EAP bereit. Welche Anmeldeinformationen erforderlich sind, hängt von der verwendeten EAP-Version ab, insbesondere von einem Benutzernamen und einem Kennwort für EAP MD5 oder einem Benutzernamen und Clientzertifikaten für EAP-TLS (EXTENSIBLE AUTHENTICATION PROTOCOL-Transport Layer Security), EAP-TTLS (EAP-Tunneled Transport Layer Security) und PEAP (Protected EAP).

Sie können ein VLAN konfigurieren, das den Server ablehnt, um eingeschränkten LAN-Zugriff für reaktionsschnelle 802.1X-fähige Endgeräte bereitzustellen, die falsche Anmeldeinformationen gesendet haben. Ein VLAN, das vom Server abgelehnt wird, kann für diese Geräte eine Wiederherstellungsverbindung bereitstellen, in der Regel nur mit dem Internet. Siehe Beispiel: Konfigurieren von Fallback-Optionen auf Switches der EX-Serie für EAP-TTLS-Authentifizierung und Odyssey Access-Clients für weitere Informationen.

HINWEIS:

Wenn es sich bei dem Endgerät, das über das Server-Reject-VLAN authentifiziert wird, um ein IP-Telefon handelt, wird der Sprachverkehr verworfen.

Ein nicht reagierendes Endgerät ist ein Gerät, das nicht 802.1X-fähig ist. Es kann über die MAC RADIUS-Authentifizierung authentifiziert werden.

Authenticator port access entity

Der IEEE-Begriff für den Authentifikator. Das Gerät ist der Authentifikator und steuert den Zugriff, indem es den gesamten Datenverkehr von und zu den Endgeräten blockiert, bis diese authentifiziert sind.

Authentication server

Der Authentifizierungsserver enthält die Backend-Datenbank, die Authentifizierungsentscheidungen trifft. Es enthält Anmeldeinformationen für jedes Endgerät, das für die Verbindung mit dem Netzwerk authentifiziert ist. Der Authentifikator leitet die vom Endgerät gelieferten Anmeldeinformationen an den Authentifizierungsserver weiter. Wenn die vom Authentifikator übermittelten Anmeldeinformationen mit den Anmeldeinformationen in der Datenbank des Authentifizierungsservers übereinstimmen, wird der Zugriff gewährt. Wenn die weitergeleiteten Anmeldeinformationen nicht übereinstimmen, wird der Zugriff verweigert.

HINWEIS:

Sie können die 802.1X-Authentifizierung nicht für redundante Trunk-Gruppen (RTGs) konfigurieren. Weitere Informationen zu RTGs finden Sie unter Grundlegendes zu redundanten Trunk-Verbindungen (Legacy-RTG-Konfiguration).https://www.juniper.net/documentation/en_US/junos/topics/topic-map/redundant-trunk-groups.html#id-understanding-redundant-trunk-links-legacy-rtg-configuration

MAC RADIUS-Authentifizierung

Die 802.1X-Authentifizierungsmethode funktioniert nur, wenn das Endgerät 802.1X-fähig ist, aber viele Einzweck-Netzwerkgeräte wie Drucker und IP-Telefone unterstützen das 802.1X-Protokoll nicht. Sie können die MAC RADIUS-Authentifizierung auf Schnittstellen konfigurieren, die mit Netzwerkgeräten verbunden sind, die 802.1X nicht unterstützen und denen Sie den Zugriff auf das LAN erlauben möchten. Wenn ein Endgerät erkannt wird, das nicht 802.1X-fähig ist, übermittelt das Gerät die MAC-Adresse des Geräts an den Authentifizierungsserver. Der Server versucht dann, die MAC-Adresse mit einer Liste von MAC-Adressen in seiner Datenbank abzugleichen. Stimmt die MAC-Adresse mit einer Adresse in der Liste überein, wird das Endgerät authentifiziert.

Sie können sowohl 802.1X- als auch MAC RADIUS-Authentifizierungsmethoden auf der Schnittstelle konfigurieren. In diesem Fall versucht das Gerät zunächst, das Endgerät mithilfe von 802.1X zu authentifizieren, und wenn diese Methode fehlschlägt, versucht es, das Endgerät mithilfe der MAC RADIUS-Authentifizierung zu authentifizieren. Wenn Sie wissen, dass nur nicht reagierende Supplicants eine Verbindung zu dieser Schnittstelle herstellen, können Sie die Verzögerung vermeiden, die auftritt, wenn das Gerät feststellt, dass das Endgerät nicht 802.1X-fähig ist, indem Sie die Option konfigurieren.mac-radius restrict Wenn diese Option konfiguriert ist, versucht das Gerät nicht, das Endgerät über die 802.1X-Authentifizierung zu authentifizieren, sondern sendet sofort eine Anfrage an den RADIUS-Server zur Authentifizierung der MAC-Adresse des Endgeräts. Wenn die MAC-Adresse dieses Endgeräts auf dem RADIUS-Server als gültige MAC-Adresse konfiguriert ist, öffnet das Gerät den LAN-Zugang zum Endgerät auf der Schnittstelle, mit der es verbunden ist.

Die Option ist nützlich, wenn keine anderen 802.1X-Authentifizierungsmethoden, wie z. B. Gast-VLAN, auf der Schnittstelle benötigt werden.mac-radius-restrict Wenn Sie eine Konfiguration auf einer Schnittstelle vornehmen , verwirft das Gerät alle 802.1X-Pakete.mac-radius-restrict

Die für die MAC RADIUS-Authentifizierung unterstützten Authentifizierungsprotokolle sind EAP-MD5, das Standardprotokoll, Protected EAP (EAP-PEAP) und Password Authentication Protocol (PAP). Sie können das Authentifizierungsprotokoll angeben, das für die MAC RADIUS-Authentifizierung verwendet werden soll, indem Sie die Anweisung verwenden.authentication-protocol

Captive Portal-Authentifizierung

Die Captive Portal-Authentifizierung (im Folgenden als Captive Portal bezeichnet) ermöglicht Ihnen die Authentifizierung von Benutzern, indem Sie Webbrowser-Anforderungen an eine Anmeldeseite umleiten, auf der Benutzer einen gültigen Benutzernamen und ein gültiges Kennwort eingeben müssen, bevor sie auf das Netzwerk zugreifen können. Das Captive Portal steuert den Netzwerkzugriff, indem Benutzer aufgefordert werden, Informationen anzugeben, die mithilfe von EAP-MD5 anhand einer RADIUS-Serverdatenbank authentifiziert werden. Sie können das Captive Portal auch verwenden, um Benutzern eine Richtlinie zur akzeptablen Nutzung anzuzeigen, bevor sie auf Ihr Netzwerk zugreifen.

Junos OS bietet eine Vorlage, mit der Sie auf einfache Weise das Aussehen der Anmeldeseite für das Captive Portal entwerfen und ändern können. Sie aktivieren bestimmte Schnittstellen für das Captive Portal. Wenn ein Endgerät, das mit einer Captive Portal-Schnittstelle verbunden ist, zum ersten Mal versucht, auf eine Webseite zuzugreifen, zeigt das Gerät die Captive Portal-Anmeldeseite an. Nachdem das Gerät erfolgreich authentifiziert wurde, erhält es Zugriff auf das Netzwerk und kann mit der ursprünglich angeforderten Seite fortfahren.

HINWEIS:

Wenn HTTPS aktiviert ist, werden HTTP-Anforderungen für den Authentifizierungsprozess des Captive Portals an eine HTTPS-Verbindung umgeleitet. Nach der Authentifizierung kehrt das Endgerät zur HTTP-Verbindung zurück.

Wenn es nicht HTTP-fähige Endgeräte gibt, die mit der Captive Portal-Schnittstelle verbunden sind, können Sie ihnen erlauben, die Captive Portal-Authentifizierung zu umgehen, indem Sie ihre MAC-Adressen zu einer Authentifizierungs-Whitelist hinzufügen.

Wenn ein Benutzer vom RADIUS-Server authentifiziert wird, werden alle benutzerspezifischen Richtlinien (Attribute), die diesem Benutzer zugeordnet sind, ebenfalls an das Gerät gesendet.

Für das Captive Portal gelten die folgenden Einschränkungen:

    • Das Captive Portal unterstützt keine dynamische Zuweisung von VLANs, die vom RADIUS-Server heruntergeladen wurden.

    • Wenn der Benutzer länger als etwa 5 Minuten inaktiv ist und kein Datenverkehr weitergeleitet wird, muss sich der Benutzer erneut beim Captive Portal anmelden.

Statische MAC-Umgehung der Authentifizierung

Sie können Endgeräten den Zugriff auf das LAN ohne Authentifizierung auf einem RADIUS-Server erlauben, indem Sie ihre MAC-Adressen in die statische MAC-Bypass-Liste (auch Ausschlussliste genannt) aufnehmen.

Sie können ein Gerät in die Bypass-Liste aufnehmen, um:

  • Erlauben Sie nicht 802.1X-fähigen Geräten den Zugriff auf das LAN.

  • Beseitigen Sie die Verzögerung, die auftritt, wenn das Gerät erkennt, dass es sich bei einem verbundenen Gerät um einen nicht 802.1X-fähigen Host handelt.

Bei der Konfiguration von statischen MACs wird zunächst die MAC-Adresse des Endgeräts in einer lokalen Datenbank (einer vom Benutzer konfigurierten Liste von MAC-Adressen) geprüft. Wird eine Übereinstimmung gefunden, wird das Endgerät erfolgreich authentifiziert und die Schnittstelle dafür geöffnet. Für dieses Endgerät findet keine weitere Authentifizierung statt. Wenn keine Übereinstimmung gefunden wird und die 802.1X-Authentifizierung auf dem Gerät aktiviert ist, versucht das Gerät, das Endgerät über den RADIUS-Server zu authentifizieren.

Für jede MAC-Adresse können Sie auch das VLAN konfigurieren, in das das Endgerät verschoben wird oder die Schnittstellen, mit denen sich der Host verbindet.

HINWEIS:

Wenn Sie die gelernten MAC-Adressen mit dem Befehl von einer Schnittstelle löschen, werden alle MAC-Adressen gelöscht, einschließlich derjenigen in der statischen MAC-Bypass-Liste.clear dot1x interface

Fallback von Authentifizierungsmethoden

Sie können die 802.1X-, MAC RADIUS- und Captive Portal-Authentifizierung auf einer einzigen Schnittstelle konfigurieren, um einen Fallback auf eine andere Methode zu ermöglichen, wenn die Authentifizierung mit einer Methode fehlschlägt. Die Authentifizierungsmethoden können in beliebiger Kombination konfiguriert werden, mit der Ausnahme, dass Sie nicht sowohl MAC RADIUS als auch Captive Portal auf einer Schnittstelle konfigurieren können, ohne auch 802.1X zu konfigurieren. Standardmäßig verwenden die meisten Geräte die folgende Reihenfolge der Authentifizierungsmethoden:

  1. 802.1X-Authentifizierung: Wenn 802.1X auf der Schnittstelle konfiguriert ist, sendet das Gerät EAPoL-Anfragen an das Endgerät und versucht, das Endgerät über die 802.1X-Authentifizierung zu authentifizieren. Reagiert das Endgerät nicht auf die EAP-Anfragen, prüft das Gerät, ob auf der Schnittstelle MAC RADIUS-Authentifizierung konfiguriert ist.

  2. MAC RADIUS-Authentifizierung: Wenn die MAC RADIUS-Authentifizierung auf der Schnittstelle konfiguriert ist, sendet das Gerät die MAC RADIUS-Adresse des Endgeräts an den Authentifizierungsserver. Wenn die MAC RADIUS-Authentifizierung nicht konfiguriert ist, prüft das Gerät, ob das Captive Portal auf der Schnittstelle konfiguriert ist.

  3. Captive Portal-Authentifizierung: Wenn das Captive Portal auf der Schnittstelle konfiguriert ist, versucht das Gerät, das Endgerät mit dieser Methode zu authentifizieren, nachdem die anderen auf der Schnittstelle konfigurierten Authentifizierungsmethoden fehlgeschlagen sind.

Eine Veranschaulichung des Standardprozessablaufs bei der Konfiguration mehrerer Authentifizierungsmethoden auf einer Schnittstelle finden Sie unter Grundlegendes zur Zugriffssteuerung auf Switches.https://www.juniper.net/documentation/en_US/junos/topics/topic-map/access-control-authentication-for-switching-device.html#id-understanding-access-control-on-switches

Sie können die Standardreihenfolge für das Fallback von Authentifizierungsmethoden außer Kraft setzen, indem Sie die authentication-order-Anweisung so konfigurieren, dass das Gerät zuerst entweder die 802.1X-Authentifizierung oder die MAC RADIUS-Authentifizierung verwendet. Das Captive Portal muss in der Reihenfolge der Authentifizierungsmethoden immer an letzter Stelle stehen. Weitere Informationen finden Sie unter Konfigurieren der flexiblen Authentifizierungsreihenfolge.https://www.juniper.net/documentation/en_US/junos/topics/topic-map/flexible-authentication-order.html#id-configuring-flexible-authentication-order

HINWEIS:

Wenn eine Schnittstelle im Multiple-Supplicant-Modus konfiguriert ist, können Endgeräte, die sich über die Schnittstelle verbinden, parallel mit verschiedenen Methoden authentifiziert werden. Wenn also ein Endgerät auf der Schnittstelle nach dem Fallback auf das Captive Portal authentifiziert wurde, können weitere Endgeräte weiterhin mit 802.1X- oder MAC RADIUS-Authentifizierung authentifiziert werden.