Exemple : Configuration 802.1X dans les salles de conférence pour fournir un accès Internet aux visiteurs professionnels sur un routeur MX Series
À partir de Junos OS version 14.2, le 802.1X sur les routeurs MX Series fournit un accès LAN aux utilisateurs qui n’ont pas d’informations d’identification dans la base de données RADIUS. Ces utilisateurs, appelés invités, sont authentifiés et disposent généralement d’un accès à Internet.
Cet exemple décrit comment créer un VLAN invité et configurer l’authentification 802.1X pour celui-ci.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 14.2 ou ultérieure pour les routeurs MX240, MX480 ou MX960 exécutés en mode LAN amélioré.
Un routeur faisant office d’entité d’accès au port d’authentification (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Un serveur d’authentification RADIUS compatible 802.1X. Le serveur d’authentification fait office de base de données principale et contient les informations d’identification des hôtes (demandeurs) autorisés à se connecter au réseau.
Avant de connecter le serveur au routeur, assurez-vous d’avoir :
Configurez le mode LAN amélioré sur le routeur - effectué.
Effectuez le pontage de base et la configuration VLAN sur le routeur - effectué.
Utilisateurs configurés sur le serveur d’authentification RADIUS.
Vue d’ensemble et topologie
Le routeur MX Series agit comme une entité d’accès au port (PAE) d’authentification. Il bloque tout le trafic et agit comme une porte de contrôle jusqu’à ce que le demandeur (client) soit authentifié par le serveur. L’accès est refusé à tous les autres utilisateurs et appareils.
Considérons un routeur MX Series qui fonctionne comme un port d’authentification. Il est connecté via l’interface ge-0/0/10 via le réseau IP à un serveur RADIUS. Le routeur est également relié à une salle de conférence à l’aide de l’interface ge-0/0/1, à une imprimante à l’aide de l’interface ge-0/0/20, à un concentrateur à l’aide de l’interface ge-0/0/8 et à deux suppliants ou clients via des interfaces, ge-0/0/2 et ge-0/0/9 respectivement.
| Propriété | Paramètres |
|---|---|
Matériel du routeur |
Routeur MX Series |
Nom du VLAN |
default |
Un serveur RADIUS |
Base de données principale avec l’adresse de 10.0.0.100 connecté au commutateur sur le port ge-0/0/10 |
Dans cet exemple, l’interface ge-0/0/1 d’accès fournit une connectivité LAN dans la salle de conférence. Configurez cette interface d’accès pour fournir une connectivité LAN aux visiteurs de la salle de conférence qui ne sont pas authentifiés par le VLAN d’entreprise.
Configuration d’un VLAN invité incluant l’authentification 802.1X
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement un VLAN invité avec authentification 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans bridge-domain-name vlan-id 300 set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Procédure étape par étape
Pour configurer un VLAN invité qui inclut l’authentification 802.1X sur les routeurs MX Series :
Configurez l’ID de VLAN pour le VLAN invité :
[edit] user@switch# set bridge-domains bridge-domain-name vlan-id 300
Configurez le VLAN invité sous les protocoles dot1x :
[edit] user@switch# set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Résultats
Vérifiez les résultats de la configuration :
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-bridge-domain {
bridge-domain-name;
}
}
}
}
}
}
}
bridge-domains {
bridge-domain-name {
vlan-id 300;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la configuration du VLAN invité
But
Vérifiez que le VLAN invité est créé et qu’une interface a échoué à l’authentification et a été déplacée vers le VLAN invité.
Action
Utilisez les commandes du mode opérationnel :
user@switch> show bridge-domain
Instance Bridging Domain Type
Primary Table Active
vs1 dynamic bridge
bridge.0 2
vs1 guest bridge
bridge.0 0
vs1 guest-vlan bridge
bridge.0 0
vs1 vlan_dyn bridge
bridge.0 0
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Sens
La sortie de la show bridge domain commande indique bridge-domain-name comme nom du VLAN et l’ID de VLAN comme 300.
La sortie de la show dot1x interface ge-0/0/1.0 detail commande affiche le nom de domaine du pont , indiquant qu’un demandeur à cette interface a échoué à l’authentification 802.1X et a été transmis au nom de domaine du pont.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.