Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Flexible Authentifizierungsreihenfolge für Switches der EX-Serie

Junos OS-Switches unterstützen 802.1X, MAC RADIUS und Captive Portal als Authentifizierungsmethoden für Geräte, die eine Verbindung zu einem Netzwerk herstellen müssen. Sie können die Funktion "Flexible Authentifizierungsreihenfolge" verwenden, um die Reihenfolge der Authentifizierungsmethoden anzugeben, die der Switch beim Versuch, einen Client zu authentifizieren, verwendet. Wenn mehrere Authentifizierungsmethoden auf einer einzigen Schnittstelle konfiguriert sind und eine Authentifizierungsmethode fehlschlägt, greift der Switch auf eine andere Methode zurück. Weitere Informationen finden Sie in diesem Thema.

Flexible Authentifizierungsreihenfolge konfigurieren

Sie können die Funktion "Flexible Authentifizierungsreihenfolge" verwenden, um die Reihenfolge der Authentifizierungsmethoden anzugeben, die der Switch beim Versuch, einen Client zu authentifizieren, verwendet. Wenn mehrere Authentifizierungsmethoden auf einer einzigen Schnittstelle konfiguriert sind und eine Authentifizierungsmethode fehlschlägt, greift der Switch auf eine andere Methode zurück.

Standardmäßig versucht der Switch zuerst, einen Client mithilfe der 802.1X-Authentifizierung zu authentifizieren. Wenn die 802.1X-Authentifizierung fehlschlägt, weil keine Antwort vom Client erfolgt, und die MAC RADIUS-Authentifizierung auf der Schnittstelle konfiguriert ist, versucht der Switch, sich mit MAC RADIUS zu authentifizieren. Wenn MAC RADIUS fehlschlägt und das Captive Portal auf der Schnittstelle konfiguriert ist, versucht der Switch, sich über das Captive Portal zu authentifizieren.

Bei einer flexiblen Authentifizierungsreihenfolge kann die Reihenfolge der verwendeten Authentifizierungsmethode basierend auf dem Typ der mit der Schnittstelle verbundenen Clients geändert werden. Sie können die authentication-order Anweisung konfigurieren, um anzugeben, ob die 802.1X-Authentifizierung oder die MAC RADIUS-Authentifizierung die erste Authentifizierungsmethode sein muss, die versucht wird. Das Captive Portal ist immer die letzte Authentifizierungsmethode, die ausprobiert wird.

Wenn die MAC RADIUS-Authentifizierung als erste Authentifizierungsmethode in der Reihenfolge konfiguriert ist, versucht der Switch beim Empfang von Daten von einem beliebigen Client, den Client mithilfe der MAC RADIUS-Authentifizierung zu authentifizieren. Wenn die MAC RADIUS-Authentifizierung fehlschlägt, verwendet der Switch die 802.1X-Authentifizierung zur Authentifizierung des Clients. Wenn die 802.1X-Authentifizierung fehlschlägt und das Captive Portal auf der Schnittstelle konfiguriert ist, versucht der Switch, sich über das Captive Portal zu authentifizieren.

HINWEIS:

Wenn die 802.1X-Authentifizierung und die MAC RADIUS-Authentifizierung fehlschlagen und das Captive Portal auf der Schnittstelle nicht konfiguriert ist, wird dem Client der Zugriff auf das LAN verweigert, es sei denn, es ist eine Fallback-Methode für Serverfehler konfiguriert. Weitere Informationen finden Sie unter Konfigurieren des RADIUS-Serverausfall-Fallbacks (CLI-Verfahren).

Verschiedene Authentifizierungsmethoden können parallel auf einer Schnittstelle verwendet werden, die im Multiple-Supplicant-Modus konfiguriert ist. Wenn also ein Endgerät auf der Schnittstelle mithilfe des Captive Portals authentifiziert wird, kann ein anderes Endgerät, das mit dieser Schnittstelle verbunden ist, weiterhin mit 802.1X- oder MAC RADIUS-Authentifizierung authentifiziert werden.

Bevor Sie die flexible Authentifizierungsreihenfolge auf einer Schnittstelle konfigurieren, stellen Sie sicher, dass die Authentifizierungsmethoden auf dieser Schnittstelle konfiguriert sind. Der Switch versucht nicht, sich mit einer Methode zu authentifizieren, die nicht auf der Schnittstelle konfiguriert ist, selbst wenn diese Methode in der Authentifizierungsreihenfolge enthalten ist. Der Switch ignoriert diese Methode und versucht die nächste Methode in der Authentifizierungsreihenfolge, die auf dieser Schnittstelle aktiviert ist.

Beachten Sie beim Konfigurieren der authentication-order Anweisung die folgenden Richtlinien:

  • Der Authentifizierungsauftrag muss mindestens zwei Authentifizierungsmethoden enthalten.

  • Die 802.1X-Authentifizierung muss eine der Methoden sein, die in der Authentifizierungsreihenfolge enthalten sind.

  • Wenn das Captive Portal in der Authentifizierungsreihenfolge enthalten ist, muss es die letzte Methode in der Reihenfolge sein.

  • Wenn mac-radius-restrict auf einer Schnittstelle konfiguriert ist, kann die Authentifizierungsreihenfolge auf dieser Schnittstelle nicht konfiguriert werden.

Um eine flexible Authentifizierungsreihenfolge zu konfigurieren, verwenden Sie eine der folgenden gültigen Kombinationen:

HINWEIS:

Die Authentifizierungsreihenfolge kann sowohl global über die interface all Option als auch lokal über den individuellen Schnittstellennamen konfiguriert werden. Wenn die Authentifizierungsreihenfolge sowohl für eine einzelne Schnittstelle als auch für alle Schnittstellen konfiguriert ist, überschreibt die lokale Konfiguration für diese Schnittstelle die globale Konfiguration.

  • So konfigurieren Sie die 802.1X-Authentifizierung als erste Authentifizierungsmethode, gefolgt von der MAC RADIUS-Authentifizierung und dann dem Captive Portal:
  • So konfigurieren Sie die 802.1X-Authentifizierung als erste Authentifizierungsmethode, gefolgt vom Captive Portal:
  • So konfigurieren Sie die 802.1X-Authentifizierung als erste Authentifizierungsmethode, gefolgt von der MAC RADIUS-Authentifizierung:
  • So konfigurieren Sie die MAC RADIUS-Authentifizierung als erste Authentifizierungsmethode, gefolgt von 802.1X, gefolgt vom Captive Portal:

Nachdem Sie die Authentifizierungsreihenfolge konfiguriert haben, müssen Sie den insert Befehl verwenden, um Änderungen an der Authentifizierungsreihenfolge vorzunehmen. Durch die Verwendung des set Befehls wird die konfigurierte Reihenfolge nicht geändert.

So ändern Sie die Authentifizierungsreihenfolge nach der Erstkonfiguration:

So ändern Sie beispielsweise die Reihenfolge von [mac-radius dot1x captive portal] auf : [dot1x mac-radius captive portal]

Siehe auch

Konfigurieren des EAPoL-Blocks zur Aufrechterhaltung einer vorhandenen Authentifizierungssitzung

Wenn ein Switch, der als 802.1X-Authentifikator fungiert, eine EAP-Start-Nachricht von einem authentifizierten Client empfängt, versucht der Switch, den Client mithilfe der 802.1X-Methode erneut zu authentifizieren, gibt in der Regel eine EAP-Request-Nachricht zurück und wartet auf eine Antwort. Wenn der Client nicht reagiert, versucht der Switch, den Client mithilfe von MAC RADIUS oder der Captive Portal-Methode erneut zu authentifizieren, sofern diese Methoden konfiguriert wurden. Clients, die mit MAC RADIUS oder Captive Portal-Authentifizierung authentifiziert wurden, reagieren nicht, und Datenverkehr wird auf der Schnittstelle verworfen, wenn der Switch versucht, sich erneut zu authentifizieren.

Wenn Sie die flexible Authentifizierungsreihenfolge auf der Schnittstelle so konfiguriert haben, dass MAC RADIUS die erste Methode zur Authentifizierung eines Clients ist, verwendet der Switch weiterhin 802.1X für die erneute Authentifizierung, wenn der Client eine EAP-Startnachricht sendet, selbst wenn der Client erfolgreich mit MAC RADIUS-Authentifizierung authentifiziert wurde. Sie können einen EAPoL-Block entweder mit einer festen oder einer flexiblen Authentifizierungsreihenfolge konfigurieren. Wenn Sie die authentication-order Anweisung nicht konfigurieren, wird die Reihenfolge standardmäßig festgelegt. Die eapol-block Anweisung kann mit oder ohne Konfiguration der authentication-order Anweisung konfiguriert werden.

Sie können einen Switch so konfigurieren, dass EAP-Start-Nachrichten ignoriert werden, die von einem Client gesendet werden, der mit der MAC RADIUS-Authentifizierung oder der Captive Portal-Authentifizierung mit der eapol-block Anweisung authentifiziert wurde. Wenn ein Block von EAPoL-Nachrichten in Kraft ist und der Switch eine EAP-Start-Nachricht vom Client empfängt, gibt er keine EAP-Request-Nachricht zurück, und die vorhandene Authentifizierungssitzung wird beibehalten.

HINWEIS:

Wenn der Endpunkt nicht mit der MAC RADIUS-Authentifizierung oder der Captive Portal-Authentifizierung authentifiziert wurde, wird die EAPoL-Sperre nicht wirksam. Der Endpunkt kann sich mithilfe der 802.1X-Authentifizierung authentifizieren.

Wenn eapol-block mit der mac-radius Option konfiguriert ist, bleibt der Client nach der Authentifizierung mit MAC RADIUS-Authentifizierung oder CWA (Central Web Authentication) im authentifizierten Zustand, auch wenn er eine EAP-Start-Nachricht sendet. Wenn eapol-block mit der captive-portal Option konfiguriert wird, bleibt der Client nach der Authentifizierung beim Captive Portal im authentifizierten Zustand, auch wenn er eine EAP-Start-Nachricht sendet.

HINWEIS:

Diese Funktion wird von EX4300- und EX9200-Switches unterstützt.

So konfigurieren Sie einen Block von EAPoL-Nachrichten für die Aufrechterhaltung einer vorhandenen Authentifizierungssitzung:

  • So konfigurieren Sie den EAPoL-Block für einen Client, der mit MAC RADIUS-Authentifizierung authentifiziert wurde:
  • So konfigurieren Sie den EAPoL-Block für einen Client, der mit der Captive Portal-Authentifizierung authentifiziert wurde:

Siehe auch

Verwandte Themen