Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

interface (802.1X)

Syntax

Hierarchy Level

Description

Настройте IEEE аутентификацию 802.1X для port-based Network Access Control для всех интерфейсов или для определенных интерфейсов.

Options

(все | [ interface-names])

Настройте либо список имен интерфейсов, либо все интерфейсы для аутентификации по 802.1x.

Отключить

Отключите аутентификацию 802.1X на указанном интерфейсе или на всех интерфейсах.

  • По умолчанию: Аутентификация 802.1X отключена на всех интерфейсах.

guest-bridge-domain guest-bridge-domain

(только серия MX) Укажите идентификатор тега домена моста или имя гостевого домена моста, в который перемещается интерфейс, если на интерфейс не подключены ссылки 802.1X. Указанный домен моста уже должен существовать на устройстве.

guest-vlan (vlan-id | vlan-name

(только EX, QFX и серия SRX) Укажите идентификатор метки VLAN или имя гостевой VLAN, в которую перемещается интерфейс, если на интерфейс не подключены ссылки 802.1X. Указанная VLAN должна уже существовать на устройстве. Гостевых VLANs можно настроить на устройствах, использующих аутентификацию 802.1X для предоставления ограниченного доступа (как правило, только к Интернету) для корпоративных гостей. Гостевая VLAN не используется для отправки некорректных учетных данных. Они направляются в VLAN, отклоненную сервером.

ignore-port-bounce

Игнорируйте команду port-bounce, содержаную в запросе Изменение авторизации (CoA). Запросы CoA RADIUS, которые используются для динамического изменения уже сеанса аутентификации пользователя. Запросы coA отправляются с сервера аутентификации, авторизации и учета (AAA) на устройство и обычно используются для изменения VLAN для хоста на основе профилирования устройства. У о конечных устройств, таких как принтеры, нет механизма обнаружения изменений VLAN, поэтому они не обновляют аренду для своих DHCP-адресов в новой VLAN. Команда port-bounce используется для принудительного инициирования конечным устройством повторного согласования DHCP, что приводит к перепущению соединения на аутентированном порту.

  • По умолчанию: Команда port-bounce по умолчанию поддерживается. Если утверждение не было настроено, устройство отвечает на команду port-bounce, перехватив ссылку для повторного инициирования ignore-port-bounce DHCP-согласования для о конце устройства.

maximum-requests number (максимальное число запросов)

Укажите максимальное число раз, которое пакет запроса EAPoL ретранслирован запрашивающей компании до истечевания сеанса аутентификации.

  • Диапазон: От 1 до 10

  • По умолчанию: 2

no-reauthentication | секунда повторной аутентиации

Либо отключите повторной аутентификацию, либо настройте период в секундах до истеления времени сеанса аутентификации 802.1X, и клиент должен переаттемптировать аутентификацию.

Прим.:

Если сервер аутентификации отправляет клиенту время, по источению сеанса аутентификации, это делает приоритет над значением, настроенным локально с помощью reauthentication утверждения. Значение времени сеанса отправляется с сервера клиенту в качестве атрибута RADIUS Access-Accept.

  • Диапазон: от 1 до 65 535 секунд

  • По умолчанию: Повторная аутентификация включена с 3600 секунд до тех пор, пока клиент не сможет повторить аутентификацию.

аутентификация без тегов

Не допускайте маркировку MAC-адрес аутентификации RADIUS аутентификации.

тихая точка в секундах

Укажите время в секундах, в течение которое интерфейс остается в состоянии ожидания после неудачной попытки аутентификации, предпринятойпросканатором перед повторной аутентификацией.

  • Диапазон: От 0 до 65535 секунд

  • По умолчанию: 60 секунд

redirect-url redirect-url-url

Укажите URL- адрес, который перенаправляет неавтентификацию хостов на сервер центральной веб-аутентификации (CWA). Сервер CWA предоставляет веб-портал, на котором пользователь может ввести имя пользователя и пароль. Если эти учетные данные подтверждаются сервером CWA, пользователь аутентификация и ему разрешен доступ в сеть.

URL-адрес перенаправления для проверки подлинности в центре сети можно настроить централизованно на AAA или локально на коммутаторе. Используйте утверждение для локальной настройки URL-адреса перенаправления на redirect-url интерфейсе, соединяющем хост с коммутатором.

URL-адрес перенаправления и динамический фильтр брандмауэра должны присутствовать для запуска процесса аутентификации центрального веб-сайта. Дополнительные сведения о настройке URL-адреса перенаправления и фильтра динамического брандмауэра для аутентификации по центральному вебу см. в "Настройка аутентификации по центральному вебу".

Прим.:

Когда фильтр динамического межсетевых экрана настраивается с использованием специального атрибута Filter-ID JNPR_RSVD_FILTER_CWA, URL-адрес перенаправления CWA должен включать IP-адрес сервера AAA, https://10.10.10.10 например. .

  • Синтаксис: URL-адрес перенаправления должен использовать протокол HTTP или HTTPS и включать IP-адрес или имя веб-сайта. Ниже приводится пример допустимого формата URL-адреса перенаправления:

    • http://www.example.com

    • https://www.example.com

    • http://10.10.10.10

    • https://10.10.10.10

    • http://www.example.com/login.html

    • https://www.example.com/login.html

    • http://10.10.10.10/login.html

    • https://10.10.10.10/login.html

  • По умолчанию: Отключен. URL-адрес перенаправления по умолчанию не включен для центральной веб-аутентификации.

request-retry-count number (число пересылаемой пересылаемой пересылаем

Настройте сервер аутентификации для повторного отправки запроса EAP запрашивающей компании. Это может помочь предотвратить период времени сеанса аутентификации из-за неотвечающей справки. Количество повторного числа исходя из настроенного значения.

  • Диапазон: От 1 до 10

  • По умолчанию: 2 повторного

число повторного досье

Укажите, сколько раз устройство пыталось аутентификацию порта после первоначального сбоя. Когда предел превышен, порт ждет повторной проверки подлинности в течение количества секунд, заданного параметром, настроенным на том же quiet-period уровне иерархии.

  • Диапазон: От 1 до 10

  • По умолчанию: 3 повторного прогона

server-fail (bridge-domain bridge-domain | deny | permit | use-cache | vlan-name vlan-name)

Укажите, как поддерживаются конечные устройства, подключенные к устройству, если RADIUS сервер аутентификации становится недоступен. Механизм перенастройки при сбойе сервера чаще всего активируется во время повторнойauthentication, когда сервер, уже настроенный и RADIUS- сервер становится недоступен. Тем не менее, перепад сбой сервера также может быть инициирован первоначальной попыткой аутентификации RADIUS сервером.

Необходимо указать действие, которое устройство применяет к конечным устройствам, если серверы аутентификации недоступны. Устройство может принять или запретить доступ кпроцентантам или поддерживать доступ, уже предоставленныйпросканаторам, до RADIUS иллюминаторов. Можно также настроить коммутатор для перемещения запроцентов в определенную VLAN или домен моста. Домен VLAN или моста уже должен быть настроен на устройстве.

Прим.:

Это server-fail утверждение специально для трафика данных. Для трафика с тегами VoIP используйте server-fail-voip утверждение. На одном интерфейсе могут быть server-fail настроены VLAN и server-fail-voip VLAN.

  • Значения: bridge-domain(только серия MX) Переместите необходимое имя на интерфейсе в домен моста, указанный этим именем или численическим идентификатором. Данное действие допустимо только в том случае, если к интерфейсу подключается первый разрешитель. Если авторизированный необходимое имя уже подключен, он не перемещается в домен моста и не аутентификация не аутентификация. Домен моста уже должен быть настроен на устройстве.

    deny- Принудительное отбой аутентификации, подавляющей авторификацию. Трафик через интерфейс не будет проходить.

    permit— для успешной аутентификации необходимо принудительно упротить аутентификацию. Трафик будет проходить через интерфейс так, как если бы он был успешно аутентификацией RADIUS сервером.

    use-cache— необходимо успешно упротить аутентификацию, только если аутентификация ранее была успешно аутентификацией. Это действие гарантирует, что уже аутентификация авторизацированных авторов не затронута.

    vlan-name(только EX, QFX или серия SRX) Переместите вопросификатор на интерфейсе в VLAN, указанную этим именем или численическим идентификатором. Данное действие допустимо только в том случае, если к интерфейсу подключается первый разрешитель. Если аутентификация уже подключена, то он не перемещается в VLAN и не аутентификация не аутентификация. VLAN уже должна быть настроена на устройстве.

  • По умолчанию: Если сервер RADIUS аутентификации становится недоступным, о конечному устройству не аутентификация и ему отказано в доступе к сети.

server-fail-voip (deny | permit | use-cache | vlan-name vlan-name)

(Только ex, серия QFX) Укажите, как поддерживаются voIP-клиенты, отправляя голосовой трафик, RADIUS сервер аутентификации становится недоступен. Механизм перенастройки при сбойе сервера чаще всего активируется во время повторнойauthentication, когда сервер, уже настроенный и RADIUS- сервер становится недоступен. Однако перепад сбой сервера также может быть инициирован первоначальной попыткой клиента VoIP аутентификации через RADIUS сервер.

Необходимо указать действие, которое коммутатор применяет к клиентам VoIP, когда серверы аутентификации недоступны. Коммутатор может принимать или отключать доступ к клиентам VoIP или поддерживать доступ, уже предоставленный клиентам, до RADIUS и по иными словами. Можно также настроить коммутатор для перемещения VoIP-клиентов в определенную VLAN. VLAN уже должна быть настроена на коммутаторе.

Этот server-fail-voip утверждение характерен для трафика, помеченного VoIP, отосланного клиентами. Клиенты VoIP все еще требуют, чтобы утверждение было настроено для генерируемого ими трафика без server-fail тегов. Таким образом, при настройке утверждения server-fail-voip необходимо также настроить server-fail его.

Прим.:

Для успешной server-fail deny фиксации должен быть настроен не server-fail-voip только параметр.

  • Значения: deny— Принудить неудачу аутентификации клиента VoIP. Трафик через интерфейс не будет проходить.

    permit— Для успешного применения аутентификации клиента VoIP необходимо принудительно. Трафик будет проходить через интерфейс так, как если бы он был успешно аутентификацией RADIUS сервером.

    use-cache- Принудительное успешное аутентификацию клиента VoIP, только если она была успешно аутентификация ранее успешно аутентификацией. Это действие гарантирует, что уже аутентификация клиентов не затронута.

    vlan-name— переместите клиент VoIP на интерфейс в VLAN, определяемую этим именем или численическим идентификатором. Данное действие допустимо, только если это первый клиент VoIP, подключающийся к интерфейсу. Если аутентификация клиента VoIP уже подключена, то клиент VoIP не перемещается в VLAN и не аутентификация не аутентификации. VLAN уже должна быть настроена на коммутаторе.

  • По умолчанию: Если сервер RADIUS аутентификации становится недоступен, клиент VoIP, который начинает аутентификацию с отправки голосового трафика, не аутентификация не аутентификации и голосовой трафик отброшен.

серверное время в секундах времени.

Укажите время ожидания портом ответа при ретрансляции ответа от запроса на сервер аутентификации перед тайм-аутентификацией и запросом действия по сбою сервера.

  • Диапазон: От 1 до 60 секунд

  • По умолчанию: 30 секунд

supplicant (один |-безопасный | много)

Укажите метод на основе MAC-данных, используемый для аутентификации клиентов.

  • Значения: Укажите один из следующих ок.

    • single — аутентификация только для первого клиента, который подключается к порту аутентификации. Всем другим клиентам, подключенным к порту аутентиатора после первого, разрешается свободный доступ к порту без дальнейшей аутентификации. При выходе первого аутентифицированного клиента все остальные запроверчики блокированы до повторной аутентификации клиента.

    • single-secure — аутентификация только одного клиента для подключения к порту аутентификации. Хост должен быть напрямую подключен к коммутатору.

    • multiple — аутентификация нескольких клиентов отдельно на одном порте аутентификации. Количество клиентов на порт можно настроить. Если также настроить максимальное количество устройств, которые могут быть подключены к порту с помощью параметров безопасности порта, то для определения максимального количества клиентов, разрешенных для каждого порта, используется меньшее значение настроенных значений.

  • По умолчанию: Одного

ипроинсцентное время в секундах времени.

Укажите время в секундах, которое порт ждет ответа при ретрансляции запроса с сервера аутентификации запрашивающей компании перед повторной отправкой запроса.

  • Диапазон: От 1 до 60 секунд

  • По умолчанию: 30 секунд

время передачи в секундах

Укажите время ожидания портом перед повторной ретрансляциями исходных PDUs EAPoL к необходимому источнику.

  • Диапазон: от 1 до 65 535 секунд

  • По умолчанию: 30 секунд

Остальные утверждения объяснены отдельно. Найдите утверждение в интерфейс командной строки Explorer или щелкните ссылку в разделе Синтаксис для получения подробных сведений.

Required Privilege Level

routing — для просмотра этого утверждения в конфигурации.routing-control — добавление этого утверждения в конфигурацию.

Release Information

Утверждение, представленная Junos OS версии 9.0.

server-reject-vlan представлен в Junos OS версии 9.3 для коммутаторов серии EX.

eapol-block представлен в Junos OS версии 11.2.

authentication-order и redirect-url представлен в Junos OS версии 15.1R3.

server-fail-voip введен в Junos OS выпусках 14.1X53-D40 и 15.1R4 для EX и серия QFX коммутаторов.

ignore-port-bounce в Junos OS версии 17.3R1.

multi-domain представлен в Junos OS версии 18.3R1.