Auf dieser Seite
Angeben von RADIUS-Serververbindungen auf Switches (CLI-Verfahren)
Grundlegendes zu sitzungsbasierten Round-Robin-RADIUS-Anforderungen
Konfigurieren von MS-CHAPv2 für die Unterstützung von Kennwortänderungen (CLI-Verfahren)
Konfigurieren von MS-CHAPv2 für die Unterstützung von Kennwortänderungen
Grundlegendes zu Serverausfall-Fallback und Authentifizierung auf Switches
Konfigurieren des RADIUS-Serverausfall-Fallbacks (CLI-Verfahren)
RADIUS-Serverkonfiguration für die Authentifizierung
Ethernet-Switches von Juniper Networks verwenden 802.1X-, MAC RADIUS- oder Captive Portal-Authentifizierung, um den Geräten oder Benutzern die Zugriffskontrolle zu ermöglichen. Wenn 802.1X-, MAC RADIUS- oder Captive Portal-Authentifizierungen auf dem Switch konfiguriert sind, werden Endgeräte bei der ersten Verbindung von einem Authentifizierungsserver (RADIUS) ausgewertet. Um die 802.1X- oder MAC RADIUS-Authentifizierung zu verwenden, müssen Sie die Verbindungen auf dem Switch für jeden RADIUS-Server angeben, mit dem Sie eine Verbindung herstellen möchten. Weitere Informationen finden Sie in diesem Thema.
Angeben von RADIUS-Serververbindungen auf Switches (CLI-Verfahren)
Sowohl IEEE 802.1X als auch die MAC RADIUS-Authentifizierung bieten Netzwerk-Edge-Sicherheit und schützen Ethernet-LANs vor unbefugtem Benutzerzugriff, indem der gesamte Datenverkehr zu und von Geräten an der Schnittstelle blockiert wird, bis die Anmeldeinformationen oder die MAC-Adresse des Supplicants auf dem (einem RADIUS-Server) angezeigt und abgeglichen werden.authentication server Wenn der Supplicant authentifiziert ist, blockiert der Switch den Zugriff nicht mehr und öffnet die Schnittstelle zum Supplicant.
Um die 802.1X- oder MAC RADIUS-Authentifizierung zu verwenden, müssen Sie die Verbindungen auf dem Switch für jeden RADIUS-Server angeben, mit dem Sie eine Verbindung herstellen möchten.
Um mehrere RADIUS-Server zu konfigurieren, schließen Sie mehrere Anweisungen ein.radius-server
Wenn mehrere Server konfiguriert sind, erfolgt der Zugriff auf die Server standardmäßig in der Reihenfolge ihrer Konfiguration. Der erste konfigurierte Server ist der primäre Server. Wenn der primäre Server nicht erreichbar ist, versucht der Router, den zweiten konfigurierten Server zu erreichen, usw. Sie können einen Lastenausgleich für die Anforderungen durchführen, indem Sie die Roundrobin-Methode konfigurieren. Die Server werden der Reihe nach und im Round-Robin-Verfahren getestet, bis eine gültige Antwort von einem der Server eingeht oder bis alle konfigurierten Wiederholungslimits erreicht sind.
Die Round-Robin-Zugriffsmethode wird für die Verwendung mit Switches der EX-Serie nicht empfohlen.
Sie können auch einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) konfigurieren, der in eine oder mehrere IP-Adressen aufgelöst wird. Siehe .Angeben von RADIUS-Serververbindungen auf Switches (CLI-Verfahren)
So konfigurieren Sie einen RADIUS-Server auf dem Switch:
Konfigurieren eines RADIUS-Servers mithilfe eines FQDN
Sie können einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) konfigurieren, der in eine oder mehrere IP-Adressen aufgelöst wird. Konfigurieren Sie einen RADIUS-Server mithilfe eines FQDN auf der Hierarchieebene [].edit access radius-server-name hostname
Wenn ein FQDN in mehrere Adressen aufgelöst wird, erfolgt der Zugriff auf die Server standardmäßig in der Reihenfolge der Konfiguration. Die erste aufgelöste Adresse ist der primäre Server. Wenn der primäre Server nicht erreichbar ist, versucht der Router, den zweiten Server zu erreichen, und so weiter. Sie können einen Lastenausgleich für die Anforderungen durchführen, indem Sie die Roundrobin-Methode konfigurieren. Die Server werden der Reihe nach und im Round-Robin-Verfahren getestet, bis eine gültige Antwort von einem der Server eingeht oder bis alle konfigurierten Wiederholungslimits erreicht sind.
Siehe auch
Grundlegendes zu sitzungsbasierten Round-Robin-RADIUS-Anforderungen
Ab Junos OS Version 22.4R1 sind Authentifizierungsdienste (authd) sitzungsbewusst, wenn der Roundrobin-Algorithmus so konfiguriert ist, dass die entsprechende Zugriffsanforderung als Antwort auf eine Zugriffsaufforderung vom RADIUS-Server an denselben RADIUS-Server gesendet wird, was zu einer erfolgreichen Authentifizierung führt.
Gemäß dem bisherigen Verhalten wird beim Empfang der Zugriffsaufforderung und des Statusattributs von einem der RADIUS-Server die entsprechende Zugriffsanforderung mithilfe des Round-Robin-Algorithmus an den nächsten RADIUS-Server gesendet. Da der nächste RADIUS-Server nicht über einen Datensatz dieser Sitzung verfügt, lehnt er die Zugriffsanforderung ab, was zu einem Authentifizierungsfehler führt. Mit der neuen Funktion wird der entsprechende Algorithmus so konfiguriert, dass die jeweilige Zugriffsanforderung als Antwort auf die Zugriffsaufforderung vom RADIUS-Server an denselben RADIUS-Server gesendet wird, was zu einer erfolgreichen Authentifizierung führt. Wenn der RADIUS-Server nicht mit einer Zugriffsaufforderung antwortet, akzeptiert er die Anforderung oder lehnt sie ab. Für die nächste Authentifizierungsanforderung werden Anforderungen gemäß der Round-Robin-Methode an den nächsten RADIUS-Server gesendet. Als Antwort auf jede Zugriffsanforderung kann eine beliebige Anzahl von Zugriffsherausforderungen vom RADIUS-Server gesendet werden, und authd antwortet auf denselben RADIUS-Server, bis die Anforderung vom RADIUS-Server akzeptiert oder abgelehnt wird.
Beachten Sie, dass diese Funktion nur für authd-lite-Clients (dot1x usw.) und nicht für Breitband-Clients unterstützt wird, die das Point-to-Point-Protokoll (PPP) verwenden, da dies auf Breitband-Clients nicht unterstützt wird. Außerdem werden Zugriffsaufforderungsnachrichten zwischen RADIUS-Client und RADIUS-Server nur im Falle der Authentifizierung und nicht zur Abrechnung ausgetauscht.
Konfigurieren von MS-CHAPv2 für die Unterstützung von Kennwortänderungen (CLI-Verfahren)
Mit Junos OS für Switches der EX-Serie können Sie die Microsoft Corporation-Implementierung des Challenge Handshake Authentication Protocol Version 2 (MS-CHAPv2) auf dem Switch konfigurieren, um Unterstützung für Kennwortänderungen bereitzustellen. Durch die Konfiguration von MS-CHAPv2 auf dem Switch haben Benutzer, die auf einen Switch zugreifen, die Möglichkeit, das Kennwort zu ändern, wenn das Kennwort abläuft, zurückgesetzt wird oder so konfiguriert ist, dass es bei der nächsten Anmeldung geändert wird.
Weitere Informationen zu MS-CHAP finden Sie unter RFC 2433, Microsoft PPP CHAP Extensions.
Bevor Sie MS-CHAPv2 für die Unterstützung von Kennwortänderungen konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Konfigurierte RADIUS-Serverauthentifizierung. Konfigurieren Sie Benutzer auf dem Authentifizierungsserver, und legen Sie die Option "Erster Versuch" in der Authentifizierungsreihenfolge auf "Radius" fest. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
Geben Sie zum Konfigurieren von MS-CHAPv2 Folgendes an:
[edit system radius-options] user@switch# set password-protocol mschap-v2
Sie müssen über die erforderliche Zugriffsberechtigung auf dem Switch verfügen, um Ihr Kennwort ändern zu können.
Siehe auch
Konfigurieren von MS-CHAPv2 für die Unterstützung von Kennwortänderungen
Bevor Sie MS-CHAPv2 für die Unterstützung von Kennwortänderungen konfigurieren, stellen Sie sicher, dass Sie die folgenden Schritte ausgeführt haben:
Konfigurierte RADIUS-Server-Authentifizierungsparameter.
Legen Sie die erste versuchte Option in der Authentifizierungsreihenfolge auf RADIUS-Server fest.
Sie können die Microsoft-Implementierung des Challenge Handshake Authentication Protocol Version 2 (MS-CHAPv2) auf dem Router oder Switch so konfigurieren, dass das Ändern von Kennwörtern unterstützt wird. Diese Funktion bietet Benutzern, die auf einen Router oder Switch zugreifen, die Möglichkeit, das Kennwort zu ändern, wenn das Kennwort abläuft, zurückgesetzt wird oder so konfiguriert ist, dass es bei der nächsten Anmeldung geändert wird.
Fügen Sie zum Konfigurieren von MS-CHAP-v2 die folgenden Anweisungen auf Hierarchieebene ein:[edit system radius-options]
[edit system radius-options] password-protocol mschap-v2;
Das folgende Beispiel zeigt Anweisungen zum Konfigurieren des MS-CHAPv2-Kennwortprotokolls, der Kennwortauthentifizierungsreihenfolge und der Benutzerkonten:
[edit] system { authentication-order [ radius password ]; radius-server { 192.168.69.149 secret "$9$G-j.5Qz6tpBk.1hrlXxUjiq5Qn/C"; ## SECRET-DATA } radius-options { password-protocol mschap-v2; } login { user bob { class operator; } } }
Grundlegendes zu Serverausfall-Fallback und Authentifizierung auf Switches
Ethernet-Switches von Juniper Networks verwenden Authentifizierung, um die Zugriffssteuerung in einem Unternehmensnetzwerk zu implementieren. Wenn die 802.1X-, MAC RADIUS- oder Captive Portal-Authentifizierung auf dem Switch konfiguriert ist, werden die Endgeräte bei der ersten Verbindung von einem Authentifizierungsserver (RADIUS) ausgewertet. Wenn das Endgerät auf dem Authentifizierungsserver konfiguriert ist, erhält das Gerät Zugriff auf das LAN und der Switch der EX-Serie öffnet die Schnittstelle, um den Zugriff zu ermöglichen.
Mit dem Serverausfall-Fallback können Sie festlegen, wie mit dem Switch verbundene Endgeräte unterstützt werden, wenn der RADIUS-Authentifizierungsserver nicht mehr verfügbar ist. Das Fallback für Serverfehler wird am häufigsten während der erneuten Authentifizierung ausgelöst, wenn auf den bereits konfigurierten und verwendeten RADIUS-Server nicht mehr zugegriffen werden kann. Ein Serverausfall-Fallback kann aber auch durch den ersten Authentifizierungsversuch eines Endgeräts über den RADIUS-Server ausgelöst werden.
Mit dem Fallback für Serverfehler können Sie eine von vier Aktionen angeben, die für Endgeräte ausgeführt werden sollen, die auf die Authentifizierung warten, wenn für den Server eine Zeitüberschreitung auftritt. Der Switch kann den Zugriff auf Supplicants annehmen oder verweigern oder den Zugriff beibehalten, der Supplicants bereits vor dem Auftreten des RADIUS-Timeouts gewährt wurde. Sie können den Switch auch so konfigurieren, dass die Supplicants in ein bestimmtes VLAN verschoben werden. Das VLAN muss bereits auf dem Switch konfiguriert sein. Der konfigurierte VLAN-Name überschreibt alle vom Server gesendeten Attribute.
Permit Authentifizierung, sodass der Datenverkehr vom Endgerät über die Schnittstelle fließen kann, als ob das Endgerät erfolgreich vom RADIUS-Server authentifiziert worden wäre.
Deny Authentifizierung, die verhindert, dass der Datenverkehr vom Endgerät über die Schnittstelle fließt. Dies ist die Standardeinstellung.
Move das Endgerät in ein bestimmtes VLAN, wenn der Switch eine RADIUS-Zugriffsverweigerungsnachricht empfängt. Der konfigurierte VLAN-Name überschreibt alle vom Server gesendeten Attribute. (Das VLAN muss bereits auf dem Switch vorhanden sein.)
authentifizierte Endgeräte, die bereits über einen LAN-Zugang verfügen, und nicht authentifizierte Endgeräte.Sustaindeny Wenn die RADIUS-Server bei der erneuten Authentifizierung eine Zeitüberschreitung aufweisen, werden zuvor authentifizierte Endgeräte erneut authentifiziert und neuen Benutzern der LAN-Zugriff verweigert.
Siehe auch
Konfigurieren des RADIUS-Serverausfall-Fallbacks (CLI-Verfahren)
Sie können Authentifizierungs-Fallback-Optionen konfigurieren, um festzulegen, wie mit einem Switch verbundene Endgeräte unterstützt werden, wenn der RADIUS-Authentifizierungsserver nicht mehr verfügbar ist.
Wenn Sie die 802.1X- oder MAC RADIUS-Authentifizierung auf dem Switch einrichten, geben Sie einen primären Authentifizierungsserver und einen oder mehrere Backup-Authentifizierungsserver an. Wenn der primäre Authentifizierungsserver vom Switch nicht erreicht werden kann und die sekundären Authentifizierungsserver ebenfalls nicht erreichbar sind, tritt eine Zeitüberschreitung beim RADIUS-Server auf. Da in diesem Fall der Authentifizierungsserver den Zugriff auf die auf die Authentifizierung wartenden Endgeräte gewährt oder verweigert, erhält der Switch keine Zugriffsanweisungen für Endgeräte, die versuchen, auf das LAN zuzugreifen, und die normale Authentifizierung kann nicht abgeschlossen werden.
Sie können die Fallback-Funktion für Serverfehler so konfigurieren, dass eine Aktion angegeben wird, die der Switch auf Endgeräte anwendet, wenn die Authentifizierungsserver nicht verfügbar sind. Der Switch kann den Zugriff auf Supplicants annehmen oder verweigern oder den Zugriff beibehalten, der Supplicants bereits vor dem Auftreten des RADIUS-Timeouts gewährt wurde. Sie können den Switch auch so konfigurieren, dass die Supplicants in ein bestimmtes VLAN verschoben werden.
Sie können die Fallback-Funktion zum Ablehnen des Servers auch für Endgeräte konfigurieren, die eine RADIUS-Zugriffsablehnungsnachricht vom Authentifizierungsserver erhalten. Die Fallback-Funktion zum Ablehnen von Servern bietet eingeschränkten Zugriff auf ein LAN, in der Regel nur auf das Internet, für reaktionsfähige Endgeräte, die 802.1X-fähig sind, aber die falschen Anmeldeinformationen gesendet haben.
Serverausfallfallback wird für Sprachdatenverkehr ab Version 14.1X53-D40 und Version 15.1R4 unterstützt. Verwenden Sie die Anweisung, um Serverfehler-Fallbackaktionen für VoIP-Clients zu konfigurieren, die Sprachdatenverkehr senden.server-fail-voip
Verwenden Sie für den gesamten Datenverkehr die Anweisung.server-fail
Der Switch bestimmt die zu verwendende Fallbackmethode basierend auf dem Typ des vom Client gesendeten Datenverkehrs. Nicht getaggte Datenrahmen unterliegen der mit konfigurierten Aktion, auch wenn sie von einem VoIP-Client gesendet werden.server-fail
Markierte VoIP-VLAN-Frames unterliegen der Aktion, die mit konfiguriert ist .server-fail-voip
Wenn diese Option nicht konfiguriert ist, wird der Sprachverkehr verworfen.server-fail-voip
Server-Ablehnungs-Fallback wird für VoIP-VLAN-getaggten Datenverkehr nicht unterstützt. Wenn ein VoIP-Client die Authentifizierung startet, indem er ungetaggten Datenverkehr an ein VLAN sendet, während der Server-Reject-Fallback aktiv ist, darf der VoIP-Client auf das Fallback-VLAN zugreifen. Wenn derselbe Client anschließend getaggten Sprachdatenverkehr sendet, wird der Sprachdatenverkehr verworfen.
Wenn ein VoIP-Client die Authentifizierung startet, indem er getaggten Sprachdatenverkehr sendet, während das Fallback der Serverablehnung aktiv ist, wird dem VoIP-Client der Zugriff auf das Fallback-VLAN verweigert.
Sie können das folgende Verfahren verwenden, um Serverfehleraktionen für Datenclients zu konfigurieren. Um den Serverausfallfallback für VoIP-Clients zu konfigurieren, die Sprachdatenverkehr senden, verwenden Sie die Anweisung anstelle der Anweisung.server-fail-voip
server-fail
So konfigurieren Sie Fallback-Aktionen für Serverfehler:
Sie können eine Schnittstelle, die eine RADIUS-Zugriffsverweigerungsnachricht vom Authentifizierungsserver empfängt, so konfigurieren, dass Endgeräte, die versuchen, auf der Schnittstelle auf LAN zuzugreifen, in ein VLAN mit Serverablehnung verschoben werden, ein angegebenes VLAN, das bereits auf dem Switch konfiguriert ist.
So konfigurieren Sie ein Fallback-VLAN zum Ablehnen des Servers:
[edit protocols dot1x authenticator] user@switch# set interface interface-name server-reject-vlan vlan-sf
Siehe auch
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.