Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Примере: Настройка 802.1X для однопротофаксных или многопротофаксных конфигураций на коммутаторе серии EX

Аутентификация 802.1x для управления сетевым доступом на основе порта (PNAC) на коммутаторах серии EX обеспечивает три типа аутентификации, чтобы удовлетворить потребности в доступе корпоративной LAN:

  • Аутентификация первого окантивного устройства (необходимого) на порте аутентификации и разрешение доступа к локальной сети всем другим конечным устройствам.

  • Одновременно аутентификация происходит только на одном о конечном устройстве на порте аутентификации.

  • Аутентификация нескольких конечных устройств на порте аутентификации. В конфигурациях VoIP используется несколько режимов ожидания.

В этом примере коммутатор серии EX настраивает на использование IEEE 802.1X для аутентификации конечных устройств, которые используют три различных административных режима.

Требования

В данном примере используются следующие программные и аппаратные компоненты:

Прим.:

Этот пример также применим и к QFX5100 коммутаторам.

  • Junos OS версии 9.0 или более поздней версии для коммутаторов серии EX

  • Один коммутатор серии EX, выступая в качестве объекта доступа к аутентификации порта (PAE). Порты на аутентиаторе PAE формируют шлюз управления, который блокирует весь трафик к конечным устройствам и от него до аутентификации.

  • Один RADIUS аутентификации, который поддерживает 802.1X. Сервер аутентификации действует как сервер серверной базы данных и содержит данные учетных данных для конечных устройств (запросителей), которые имеют право подключаться к сети.

Перед настройкой портов для аутентификации по 802.1X необходимо убедиться в том, что у вас есть:

Обзор и топология

Как показано в примере, топология содержит EX4200 доступа, подключенный к серверу аутентификации порта Рис. 1 ge-0/0/10. Интерфейсы ge-0/0/8, ge-0/0/9 и ge-0/0/11 будут настроены для трех различных административных режимов.

Прим.:

Этот рисунок также относится к QFX5100 коммутаторам.

Топологии

Рис. 1: Топология для настройки режимовпротопроизводиющихТопология для настройки режимовпротопроизводиющих
Табл. 1: Компоненты топологии конфигурации режимапротованного (Supplicant Mode)
Свойство Параметры

Оборудование коммутатора

EX4200, 24 порта Gigabit Ethernet: 8 PoE портов (ge-0/0/0 через ge-0/0/7) и 1 PoE 6 нестандартных портов (ge-0/0/8 через ge-0/0/23)

подключения к телефонам Avaya со встроенным концентратором для подключения телефона и настольного ПК к одному порту; (требует PoE)

ge-0/0/8, ge-0/0/9 и ge-0/0/11

Настройка административных режимов для поддержки пользователей в разных областях корпоративной сети:

  • Настройте порт доступа ge-0/0/8 для аутентификации в режиме одиночного доступа.

  • Настройте порт доступа ge-0/0/9 для аутентификации в одиночном защищенном режимепротопротопроизводиния.

  • Настройте порт доступа ge-0/0/11 для аутентификации в режиме несколькихпротопротоссных источников.

В одном режиме аутентификации имеется только первое оканчающее устройство, подключающееся к порту аутентификационатора. Всем другим конечным устройствам, которые подключаются к порту аутентиатора после первого успешного подключения (независимо от того, включены они в 802.1X или нет), доступ к порту разрешается без дальнейшей аутентификации. Если выйдите из систему первое аутентифентированное о конечном устройстве, все остальные конечные устройства будут заблокированы до аутентификации о конечном устройстве.

В однобезопасном режиме аутентификации с целью подключения к порту аутентификационатора аутентификация обеспечивается только одним конечным устройством. Никакие другие конечные устройства не могут подключиться к порту аутентификации, пока не завершится выход первого устройства.

В многопротоссном режиме аутентификация нескольких конечных устройств индивидуально на одном порте средства аутентификации. При настройке максимального количества устройств, которые могут быть подключены к порту посредством обеспечения безопасности порта, меньшее число настроенных значений используется для определения максимального количества конечных устройств, разрешенных для каждого порта.

Конфигурация 802.1X для поддержки нескольких режимовпротопроизводи

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить порты с другими режимами аутентификации 802.1X, скопируйте следующие команды и включите их в окно терминала коммутатора:

Пошаговая процедура

Настройте административный режим на интерфейсах:

  1. Настройте режим приложения в качестве одиночного на интерфейсе ge-0/0/8:

  2. Настройте режим приложения в качестве одиночного защищенного на интерфейсе ge-0/0/9:

  3. Настройте многоканавтный режим в интерфейсе ge-0/0/11:

Результаты

Проверьте результаты настройки:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка конфигурации 802.1X

Цель

Проверьте конфигурацию 802.1X на интерфейсах ge-0/0/8, ge-0/0/9 и ge-0/0/11.

Действий

Проверьте конфигурацию 802.1X с помощью команды operational show dot1x interface mode:

Смысл

В Supplicant mode поле output отображается настроенный административный режим для каждого интерфейса. Интерфейс ge-0/0/8.0 отображает Single режим приложения. Интерфейс ge-0/0/9.0 отображает Single-Secure режим приложения. Интерфейс ge-0/0/11.0 отображает Multiple режим приложения.