Примере: Настройка 802.1X для однопротофаксных или многопротофаксных конфигураций на коммутаторе серии EX
Аутентификация 802.1x для управления сетевым доступом на основе порта (PNAC) на коммутаторах серии EX обеспечивает три типа аутентификации, чтобы удовлетворить потребности в доступе корпоративной LAN:
Аутентификация первого окантивного устройства (необходимого) на порте аутентификации и разрешение доступа к локальной сети всем другим конечным устройствам.
Одновременно аутентификация происходит только на одном о конечном устройстве на порте аутентификации.
Аутентификация нескольких конечных устройств на порте аутентификации. В конфигурациях VoIP используется несколько режимов ожидания.
В этом примере коммутатор серии EX настраивает на использование IEEE 802.1X для аутентификации конечных устройств, которые используют три различных административных режима.
Требования
В данном примере используются следующие программные и аппаратные компоненты:
Этот пример также применим и к QFX5100 коммутаторам.
Junos OS версии 9.0 или более поздней версии для коммутаторов серии EX
Один коммутатор серии EX, выступая в качестве объекта доступа к аутентификации порта (PAE). Порты на аутентиаторе PAE формируют шлюз управления, который блокирует весь трафик к конечным устройствам и от него до аутентификации.
Один RADIUS аутентификации, который поддерживает 802.1X. Сервер аутентификации действует как сервер серверной базы данных и содержит данные учетных данных для конечных устройств (запросителей), которые имеют право подключаться к сети.
Перед настройкой портов для аутентификации по 802.1X необходимо убедиться в том, что у вас есть:
Начальная настройка коммутатора. См. Подключение и настройка коммутатора серии EX (интерфейс командной строки процедуры).
Выполняется базовая настройка стежков и VLAN на коммутаторе. См. документацию, в которую описывается настройка основного замещения и VLAN для коммутатора. При использовании коммутатора, поддерживаюного тип конфигурации Enhanced Layer 2 (ELS), см. пример: Настройка базового переключения и VLAN для коммутатора серии EX с поддержкой ИЛИ примером ELS: Настройка базового переключения и VLAN на коммутаторах. Для всех остальных коммутаторов см. пример: Настройка базового замещения и VLAN для коммутатора серии EX.
Прим.:Для получения дополнительной информации о ELS см. Использование улучшенного программного обеспечения уровня 2 интерфейс командной строки.
Настроенные пользователи на сервере аутентификации.
Обзор и топология
Как показано в примере, топология содержит EX4200 доступа, подключенный к серверу аутентификации порта Рис. 1 ge-0/0/10. Интерфейсы ge-0/0/8, ge-0/0/9 и ge-0/0/11 будут настроены для трех различных административных режимов.
Этот рисунок также относится к QFX5100 коммутаторам.
Топологии
| Свойство | Параметры |
|---|---|
Оборудование коммутатора |
EX4200, 24 порта Gigabit Ethernet: 8 PoE портов (ge-0/0/0 через ge-0/0/7) и 1 PoE 6 нестандартных портов (ge-0/0/8 через ge-0/0/23) |
подключения к телефонам Avaya со встроенным концентратором для подключения телефона и настольного ПК к одному порту; (требует PoE) |
ge-0/0/8, ge-0/0/9 и ge-0/0/11 |
Настройка административных режимов для поддержки пользователей в разных областях корпоративной сети:
Настройте порт доступа ge-0/0/8 для аутентификации в режиме одиночного доступа.
Настройте порт доступа ge-0/0/9 для аутентификации в одиночном защищенном режимепротопротопроизводиния.
Настройте порт доступа ge-0/0/11 для аутентификации в режиме несколькихпротопротоссных источников.
В одном режиме аутентификации имеется только первое оканчающее устройство, подключающееся к порту аутентификационатора. Всем другим конечным устройствам, которые подключаются к порту аутентиатора после первого успешного подключения (независимо от того, включены они в 802.1X или нет), доступ к порту разрешается без дальнейшей аутентификации. Если выйдите из систему первое аутентифентированное о конечном устройстве, все остальные конечные устройства будут заблокированы до аутентификации о конечном устройстве.
В однобезопасном режиме аутентификации с целью подключения к порту аутентификационатора аутентификация обеспечивается только одним конечным устройством. Никакие другие конечные устройства не могут подключиться к порту аутентификации, пока не завершится выход первого устройства.
В многопротоссном режиме аутентификация нескольких конечных устройств индивидуально на одном порте средства аутентификации. При настройке максимального количества устройств, которые могут быть подключены к порту посредством обеспечения безопасности порта, меньшее число настроенных значений используется для определения максимального количества конечных устройств, разрешенных для каждого порта.
Конфигурация 802.1X для поддержки нескольких режимовпротопроизводи
Процедуры
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить порты с другими режимами аутентификации 802.1X, скопируйте следующие команды и включите их в окно терминала коммутатора:
[edit] set protocols dot1x authenticator interface ge-0/0/8 supplicant single set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple
Пошаговая процедура
Настройте административный режим на интерфейсах:
Настройте режим приложения в качестве одиночного на интерфейсе ge-0/0/8:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single
Настройте режим приложения в качестве одиночного защищенного на интерфейсе ge-0/0/9:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure
Настройте многоканавтный режим в интерфейсе ge-0/0/11:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
Результаты
Проверьте результаты настройки:
[edit]
user@access-switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
)
ge-0/0/9.0 {
supplicant single-secure;
)
ge-0/0/11.0 {
supplicant multiple;
)
}
}
}
}
Проверки
Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:
Проверка конфигурации 802.1X
Цель
Проверьте конфигурацию 802.1X на интерфейсах ge-0/0/8, ge-0/0/9 и ge-0/0/11.
Действий
Проверьте конфигурацию 802.1X с помощью команды operational show dot1x interface mode:
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> user@switch> show dot1x interface ge-0/0/9.0 detail ge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0 user@switch> show dot1x interface ge-0/0/11.0 detail ge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
Смысл
В Supplicant mode поле output отображается настроенный административный режим для каждого интерфейса. Интерфейс ge-0/0/8.0 отображает Single режим приложения. Интерфейс ge-0/0/9.0 отображает Single-Secure режим приложения. Интерфейс ge-0/0/11.0 отображает Multiple режим приложения.