Примере: Установка 802.1X в конференц-зале для обеспечения доступа в Интернет корпоративным посетителям на серия MX маршрутизаторе
Начиная с Junos OS 14.2, 802.1X на серия MX маршрутизаторах предоставляет доступ к локальной сети пользователям, у которых нет учетных данных в RADIUS базы данных. Аутентификация пользователей, которые называются гостями, обычно предоставляется доступ в Интернет.
В данном примере описывается, как создать гостевую VLAN и настроить для нее аутентификацию 802.1X.
Требования
В данном примере используются следующие аппаратные и программные компоненты:
Junos OS версии 14.2 или более поздних для MX240, MX480 или MX960, работающих в улучшенном режиме LAN.
Один маршрутизатор, выступая в качестве объекта доступа аутентификации для порта (PAE). Порты на аутентиаторе PAE формируют контрольный шлюз, который блокирует весь трафик к и отпродатантам до аутентификации.
Один RADIUS аутентификации, который поддерживает 802.1X. Сервер аутентификации действует как сервер серверной базы данных и содержит учетные данные для хостов (запросителей), которые имеют разрешение на подключение к сети.
Перед подключением сервера к маршрутизатору необходимо убедиться в том, что у вас есть:
Настройка улучшенного режима LAN на маршрутизаторе.
Выполняется базовая настройка маршрутов и VLAN на маршрутизаторе.
Настроенные пользователи на сервере RADIUS аутентификации.
Обзор и топология
Маршрутизатор серия MX действует как объект доступа к портам аутентификации (PAE). Он блокирует весь трафик и действует в качестве контрольного шлюза до тех пор, пока сервер не аутентификацию упроскананта (клиента). Всем другим пользователям и устройствам будет отказано в доступе.
Рассмотрим маршрутизатор серия MX, который функционирует в качестве порта аутентификации. Он подключается через IP-сеть к другому RADIUS ge-0/0/10. Маршрутизатор также подключен к конференц-зале, используя интерфейс, ge-0/0/1, к принтеру, использующему интерфейс, ge-0/0/20, к концентратору с использованием интерфейса, ge-0/0/8, и к двум запроизводители или клиентам через интерфейсы, ge-0/0/2 и ge-0/0/9 соответственно.
| Свойство | Параметры |
|---|---|
Оборудование маршрутизатора |
серия MX маршрутизатор |
Имя сети VLAN |
default |
Один RADIUS сервер |
Базовая база данных с адресом 10.0.0.100 подключенного к коммутатору порта ge-0/0/10 |
В данном примере интерфейс доступа ge-0/0/1 обеспечивает lan-подключение в конференц-зале. Настройте этот интерфейс доступа для обеспечения подключения локальной сети к посетителям в конференц-зале, которые не аутентификации корпоративной VLAN.
Конфигурация гостевой VLAN с аутентификацией 802.1X
Процедуры
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить гостевую VLAN с аутентификацией 802.1X, скопируйте следующие команды и вкопировать их в окно терминала коммутатора:
[edit] set vlans bridge-domain-name vlan-id 300 set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Пошаговая процедура
Чтобы настроить гостевую VLAN с аутентификацией 802.1X на серия MX маршрутизаторах:
Настройте VLAN ID для гостевой VLAN:
[edit] user@switch# set bridge-domains bridge-domain-name vlan-id 300
Настройте гостевую VLAN в протоколах dot1x:
[edit] user@switch# set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
Результаты
Проверьте результаты настройки:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-bridge-domain {
bridge-domain-name;
}
}
}
}
}
}
}
bridge-domains {
bridge-domain-name {
vlan-id 300;
}
}
Проверки
Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:
Проверка настройки гостевой VLAN
Цель
Убедитесь, что гостевая VLAN была создана, а интерфейс не был аутентификацией и перемещен в гостевую VLAN.
Действий
Используйте команды режима эксплуатации:
user@switch> show bridge-domain
Instance Bridging Domain Type
Primary Table Active
vs1 dynamic bridge
bridge.0 2
vs1 guest bridge
bridge.0 0
vs1 guest-vlan bridge
bridge.0 0
vs1 vlan_dyn bridge
bridge.0 0
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Смысл
Выходные данные команды show bridge domain показывают bridge-domain-name как имя VLAN и VLAN ID как 300 .
В выходных данных команды отображается имя домена моста, указывающее на то, что у него не удалась аутентификация 802.1X, и он был передан имени домена show dot1x interface ge-0/0/1.0 detail моста.