Flexible Authentifizierungsreihenfolge für Switches der EX-Serie
Junos OS-Switches unterstützen 802.1X, MAC RADIUS und Captive Portal als Authentifizierungsmethoden für Geräte, die eine Verbindung zu einem Netzwerk herstellen müssen. Sie können die Funktion "Flexible Authentifizierungsreihenfolge" verwenden, um die Reihenfolge der Authentifizierungsmethoden anzugeben, die der Switch beim Versuch, einen Client zu authentifizieren, verwendet. Wenn mehrere Authentifizierungsmethoden auf einer einzigen Schnittstelle konfiguriert sind und eine Authentifizierungsmethode fehlschlägt, greift der Switch auf eine andere Methode zurück. Weitere Informationen finden Sie in diesem Thema.
Flexible Authentifizierungsreihenfolge konfigurieren
Sie können die Funktion "Flexible Authentifizierungsreihenfolge" verwenden, um die Reihenfolge der Authentifizierungsmethoden anzugeben, die der Switch beim Versuch, einen Client zu authentifizieren, verwendet. Wenn mehrere Authentifizierungsmethoden auf einer einzigen Schnittstelle konfiguriert sind und eine Authentifizierungsmethode fehlschlägt, greift der Switch auf eine andere Methode zurück.
Standardmäßig versucht der Switch zuerst, einen Client mithilfe der 802.1X-Authentifizierung zu authentifizieren. Wenn die 802.1X-Authentifizierung fehlschlägt, weil keine Antwort vom Client erfolgt, und die MAC RADIUS-Authentifizierung auf der Schnittstelle konfiguriert ist, versucht der Switch, sich mit MAC RADIUS zu authentifizieren. Wenn MAC RADIUS fehlschlägt und das Captive Portal auf der Schnittstelle konfiguriert ist, versucht der Switch, sich über das Captive Portal zu authentifizieren.
Bei einer flexiblen Authentifizierungsreihenfolge kann die Reihenfolge der verwendeten Authentifizierungsmethode basierend auf dem Typ der mit der Schnittstelle verbundenen Clients geändert werden. Sie können die Anweisung konfigurieren, um anzugeben, ob die 802.1X-Authentifizierung oder die MAC RADIUS-Authentifizierung die erste Authentifizierungsmethode sein muss, die versucht wird.authentication-order
Das Captive Portal ist immer die letzte Authentifizierungsmethode, die ausprobiert wird.
Wenn die MAC RADIUS-Authentifizierung als erste Authentifizierungsmethode in der Reihenfolge konfiguriert ist, versucht der Switch beim Empfang von Daten von einem beliebigen Client, den Client mithilfe der MAC RADIUS-Authentifizierung zu authentifizieren. Wenn die MAC RADIUS-Authentifizierung fehlschlägt, verwendet der Switch die 802.1X-Authentifizierung zur Authentifizierung des Clients. Wenn die 802.1X-Authentifizierung fehlschlägt und das Captive Portal auf der Schnittstelle konfiguriert ist, versucht der Switch, sich über das Captive Portal zu authentifizieren.
Wenn die 802.1X-Authentifizierung und die MAC RADIUS-Authentifizierung fehlschlagen und das Captive Portal auf der Schnittstelle nicht konfiguriert ist, wird dem Client der Zugriff auf das LAN verweigert, es sei denn, es ist eine Fallback-Methode für Serverfehler konfiguriert. Weitere Informationen finden Sie unter Konfigurieren des RADIUS-Serverausfall-Fallbacks (CLI-Verfahren).Konfigurieren des RADIUS-Serverausfall-Fallbacks (CLI-Verfahren)
Verschiedene Authentifizierungsmethoden können parallel auf einer Schnittstelle verwendet werden, die im Multiple-Supplicant-Modus konfiguriert ist. Wenn also ein Endgerät auf der Schnittstelle mithilfe des Captive Portals authentifiziert wird, kann ein anderes Endgerät, das mit dieser Schnittstelle verbunden ist, weiterhin mit 802.1X- oder MAC RADIUS-Authentifizierung authentifiziert werden.
Bevor Sie die flexible Authentifizierungsreihenfolge auf einer Schnittstelle konfigurieren, stellen Sie sicher, dass die Authentifizierungsmethoden auf dieser Schnittstelle konfiguriert sind. Der Switch versucht nicht, sich mit einer Methode zu authentifizieren, die nicht auf der Schnittstelle konfiguriert ist, selbst wenn diese Methode in der Authentifizierungsreihenfolge enthalten ist. Der Switch ignoriert diese Methode und versucht die nächste Methode in der Authentifizierungsreihenfolge, die auf dieser Schnittstelle aktiviert ist.
Beachten Sie beim Konfigurieren der Anweisung die folgenden Richtlinien:authentication-order
Der Authentifizierungsauftrag muss mindestens zwei Authentifizierungsmethoden enthalten.
Die 802.1X-Authentifizierung muss eine der Methoden sein, die in der Authentifizierungsreihenfolge enthalten sind.
Wenn das Captive Portal in der Authentifizierungsreihenfolge enthalten ist, muss es die letzte Methode in der Reihenfolge sein.
Wenn auf einer Schnittstelle konfiguriert ist, kann die Authentifizierungsreihenfolge auf dieser Schnittstelle nicht konfiguriert werden.
mac-radius-restrict
Um eine flexible Authentifizierungsreihenfolge zu konfigurieren, verwenden Sie eine der folgenden gültigen Kombinationen:
Die Authentifizierungsreihenfolge kann sowohl global über die Option als auch lokal über den individuellen Schnittstellennamen konfiguriert werden.interface all
Wenn die Authentifizierungsreihenfolge sowohl für eine einzelne Schnittstelle als auch für alle Schnittstellen konfiguriert ist, überschreibt die lokale Konfiguration für diese Schnittstelle die globale Konfiguration.
Nachdem Sie die Authentifizierungsreihenfolge konfiguriert haben, müssen Sie den Befehl verwenden, um Änderungen an der Authentifizierungsreihenfolge vorzunehmen.insert
Durch die Verwendung des Befehls wird die konfigurierte Reihenfolge nicht geändert.set
So ändern Sie die Authentifizierungsreihenfolge nach der Erstkonfiguration:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order authentication-method before authentication-method
So ändern Sie beispielsweise die Reihenfolge von auf :[mac-radius dot1x captive portal]
[dot1x mac-radius captive portal]
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order dot1x before mac-radius
Siehe auch
Konfigurieren des EAPoL-Blocks zur Aufrechterhaltung einer vorhandenen Authentifizierungssitzung
Wenn ein Switch, der als 802.1X-Authentifikator fungiert, eine EAP-Start-Nachricht von einem authentifizierten Client empfängt, versucht der Switch, den Client mithilfe der 802.1X-Methode erneut zu authentifizieren, gibt in der Regel eine EAP-Request-Nachricht zurück und wartet auf eine Antwort. Wenn der Client nicht reagiert, versucht der Switch, den Client mithilfe von MAC RADIUS oder der Captive Portal-Methode erneut zu authentifizieren, sofern diese Methoden konfiguriert wurden. Clients, die mit MAC RADIUS oder Captive Portal-Authentifizierung authentifiziert wurden, reagieren nicht, und Datenverkehr wird auf der Schnittstelle verworfen, wenn der Switch versucht, sich erneut zu authentifizieren.
Wenn Sie die flexible Authentifizierungsreihenfolge auf der Schnittstelle so konfiguriert haben, dass MAC RADIUS die erste Methode zur Authentifizierung eines Clients ist, verwendet der Switch weiterhin 802.1X für die erneute Authentifizierung, wenn der Client eine EAP-Startnachricht sendet, selbst wenn der Client erfolgreich mit MAC RADIUS-Authentifizierung authentifiziert wurde. Sie können einen EAPoL-Block entweder mit einer festen oder einer flexiblen Authentifizierungsreihenfolge konfigurieren. Wenn Sie die Anweisung nicht konfigurieren, wird die Reihenfolge standardmäßig festgelegt.authentication-order
Die Anweisung kann mit oder ohne Konfiguration der Anweisung konfiguriert werden.eapol-block
authentication-order
Sie können einen Switch so konfigurieren, dass EAP-Start-Nachrichten ignoriert werden, die von einem Client gesendet werden, der mit der MAC RADIUS-Authentifizierung oder der Captive Portal-Authentifizierung mit der Anweisung authentifiziert wurde.eapol-block
Wenn ein Block von EAPoL-Nachrichten in Kraft ist und der Switch eine EAP-Start-Nachricht vom Client empfängt, gibt er keine EAP-Request-Nachricht zurück, und die vorhandene Authentifizierungssitzung wird beibehalten.
Wenn der Endpunkt nicht mit der MAC RADIUS-Authentifizierung oder der Captive Portal-Authentifizierung authentifiziert wurde, wird die EAPoL-Sperre nicht wirksam. Der Endpunkt kann sich mithilfe der 802.1X-Authentifizierung authentifizieren.
Wenn mit der Option konfiguriert ist, bleibt der Client nach der Authentifizierung mit MAC RADIUS-Authentifizierung oder CWA (Central Web Authentication) im authentifizierten Zustand, auch wenn er eine EAP-Start-Nachricht sendet.eapol-block
mac-radius
Wenn mit der Option konfiguriert wird, bleibt der Client nach der Authentifizierung beim Captive Portal im authentifizierten Zustand, auch wenn er eine EAP-Start-Nachricht sendet.eapol-block
captive-portal
Diese Funktion wird von EX4300- und EX9200-Switches unterstützt.
So konfigurieren Sie einen Block von EAPoL-Nachrichten für die Aufrechterhaltung einer vorhandenen Authentifizierungssitzung: