interface (802.1X)
Syntax
interface (all | [ interface-names ]) { authentication-order (captive-portal | dot1x | mac-radius); disable; eapol-block { captive-portal; mac-radius; server-fail <block-interval>; } guest-bridge-domain guest-bridge-domain; guest-vlan guest-vlan (vlan-id | vlan-name; ignore-port-bounce; mac-radius { authentication-protocol { eap-md5; eap-peap { resume; } pap; } flap-on-disconnect; restrict; } maximum-requests number; multi-domain { max-data-session max-data-session; packet-action (drop-and-log | shutdown); recovery-timeout seconds; } (no-reauthentication | reauthentication seconds ); no-tagged-mac-authentication; quiet-period seconds; redirect-url redirect-url; retries number; server-fail (bridge-domain bridge-domain | deny | permit | use-cache | vlan-name vlan-name); server-fail-voip (deny | permit | use-cache | vlan-name vlan-name); server-reject-bridge-domain | server-reject-vlan identifier { block-interval block-interval; eapol-block; } server-timeout seconds; supplicant (single | single-secure | multiple); supplicant-timeout seconds; transmit-period seconds; }
Hierarchy Level
[edit logical-systems name protocols dot1x authenticator], [edit protocols dot1x authenticator]
Description
Настройте IEEE аутентификацию 802.1X для port-based Network Access Control для всех интерфейсов или для определенных интерфейсов.
Options
(все | [ interface-names]) | Настройте либо список имен интерфейсов, либо все интерфейсы для аутентификации по 802.1x. |
Отключить | Отключите аутентификацию 802.1X на указанном интерфейсе или на всех интерфейсах.
|
guest-bridge-domain guest-bridge-domain | (только серия MX) Укажите идентификатор тега домена моста или имя гостевого домена моста, в который перемещается интерфейс, если на интерфейс не подключены ссылки 802.1X. Указанный домен моста уже должен существовать на устройстве. |
guest-vlan (vlan-id | vlan-name | (только EX, QFX и серия SRX) Укажите идентификатор метки VLAN или имя гостевой VLAN, в которую перемещается интерфейс, если на интерфейс не подключены ссылки 802.1X. Указанная VLAN должна уже существовать на устройстве. Гостевых VLANs можно настроить на устройствах, использующих аутентификацию 802.1X для предоставления ограниченного доступа (как правило, только к Интернету) для корпоративных гостей. Гостевая VLAN не используется для отправки некорректных учетных данных. Они направляются в VLAN, отклоненную сервером. |
ignore-port-bounce | Игнорируйте команду port-bounce, содержаную в запросе Изменение авторизации (CoA). Запросы CoA RADIUS, которые используются для динамического изменения уже сеанса аутентификации пользователя. Запросы coA отправляются с сервера аутентификации, авторизации и учета (AAA) на устройство и обычно используются для изменения VLAN для хоста на основе профилирования устройства. У о конечных устройств, таких как принтеры, нет механизма обнаружения изменений VLAN, поэтому они не обновляют аренду для своих DHCP-адресов в новой VLAN. Команда port-bounce используется для принудительного инициирования конечным устройством повторного согласования DHCP, что приводит к перепущению соединения на аутентированном порту.
|
maximum-requests number (максимальное число запросов) | Укажите максимальное число раз, которое пакет запроса EAPoL ретранслирован запрашивающей компании до истечевания сеанса аутентификации.
|
no-reauthentication | секунда повторной аутентиации | Либо отключите повторной аутентификацию, либо настройте период в секундах до истеления времени сеанса аутентификации 802.1X, и клиент должен переаттемптировать аутентификацию. Прим.:
Если сервер аутентификации отправляет клиенту время, по источению сеанса аутентификации, это делает приоритет над значением, настроенным локально с помощью
|
аутентификация без тегов | Не допускайте маркировку MAC-адрес аутентификации RADIUS аутентификации. |
тихая точка в секундах | Укажите время в секундах, в течение которое интерфейс остается в состоянии ожидания после неудачной попытки аутентификации, предпринятойпросканатором перед повторной аутентификацией.
|
redirect-url redirect-url-url | Укажите URL- адрес, который перенаправляет неавтентификацию хостов на сервер центральной веб-аутентификации (CWA). Сервер CWA предоставляет веб-портал, на котором пользователь может ввести имя пользователя и пароль. Если эти учетные данные подтверждаются сервером CWA, пользователь аутентификация и ему разрешен доступ в сеть. URL-адрес перенаправления для проверки подлинности в центре сети можно настроить централизованно на AAA или локально на коммутаторе. Используйте утверждение для локальной настройки URL-адреса перенаправления на URL-адрес перенаправления и динамический фильтр брандмауэра должны присутствовать для запуска процесса аутентификации центрального веб-сайта. Дополнительные сведения о настройке URL-адреса перенаправления и фильтра динамического брандмауэра для аутентификации по центральному вебу см. в "Настройка аутентификации по центральному вебу". Прим.:
Когда фильтр динамического межсетевых экрана настраивается с использованием специального атрибута Filter-ID JNPR_RSVD_FILTER_CWA, URL-адрес перенаправления CWA должен включать IP-адрес сервера AAA, https://10.10.10.10 например. .
|
request-retry-count number (число пересылаемой пересылаемой пересылаем |
Настройте сервер аутентификации для повторного отправки запроса EAP запрашивающей компании. Это может помочь предотвратить период времени сеанса аутентификации из-за неотвечающей справки. Количество повторного числа исходя из настроенного значения.
|
число повторного досье | Укажите, сколько раз устройство пыталось аутентификацию порта после первоначального сбоя. Когда предел превышен, порт ждет повторной проверки подлинности в течение количества секунд, заданного параметром, настроенным на том же
|
server-fail (bridge-domain bridge-domain | deny | permit | use-cache | vlan-name vlan-name) | Укажите, как поддерживаются конечные устройства, подключенные к устройству, если RADIUS сервер аутентификации становится недоступен. Механизм перенастройки при сбойе сервера чаще всего активируется во время повторнойauthentication, когда сервер, уже настроенный и RADIUS- сервер становится недоступен. Тем не менее, перепад сбой сервера также может быть инициирован первоначальной попыткой аутентификации RADIUS сервером. Необходимо указать действие, которое устройство применяет к конечным устройствам, если серверы аутентификации недоступны. Устройство может принять или запретить доступ кпроцентантам или поддерживать доступ, уже предоставленныйпросканаторам, до RADIUS иллюминаторов. Можно также настроить коммутатор для перемещения запроцентов в определенную VLAN или домен моста. Домен VLAN или моста уже должен быть настроен на устройстве. Прим.:
Это
|
server-fail-voip (deny | permit | use-cache | vlan-name vlan-name) | (Только ex, серия QFX) Укажите, как поддерживаются voIP-клиенты, отправляя голосовой трафик, RADIUS сервер аутентификации становится недоступен. Механизм перенастройки при сбойе сервера чаще всего активируется во время повторнойauthentication, когда сервер, уже настроенный и RADIUS- сервер становится недоступен. Однако перепад сбой сервера также может быть инициирован первоначальной попыткой клиента VoIP аутентификации через RADIUS сервер. Необходимо указать действие, которое коммутатор применяет к клиентам VoIP, когда серверы аутентификации недоступны. Коммутатор может принимать или отключать доступ к клиентам VoIP или поддерживать доступ, уже предоставленный клиентам, до RADIUS и по иными словами. Можно также настроить коммутатор для перемещения VoIP-клиентов в определенную VLAN. VLAN уже должна быть настроена на коммутаторе. Этот Прим.:
Для успешной
|
серверное время в секундах времени. | Укажите время ожидания портом ответа при ретрансляции ответа от запроса на сервер аутентификации перед тайм-аутентификацией и запросом действия по сбою сервера.
|
supplicant (один |-безопасный | много) | Укажите метод на основе MAC-данных, используемый для аутентификации клиентов.
|
ипроинсцентное время в секундах времени. | Укажите время в секундах, которое порт ждет ответа при ретрансляции запроса с сервера аутентификации запрашивающей компании перед повторной отправкой запроса.
|
время передачи в секундах | Укажите время ожидания портом перед повторной ретрансляциями исходных PDUs EAPoL к необходимому источнику.
|
Остальные утверждения объяснены отдельно. Найдите утверждение в интерфейс командной строки Explorer или щелкните ссылку в разделе Синтаксис для получения подробных сведений.
Required Privilege Level
routing — для просмотра этого утверждения в конфигурации.routing-control — добавление этого утверждения в конфигурацию.
Release Information
Утверждение, представленная Junos OS версии 9.0.
server-reject-vlan
представлен в Junos OS версии 9.3 для коммутаторов серии EX.
eapol-block
представлен в Junos OS версии 11.2.
authentication-order
и redirect-url
представлен в Junos OS версии 15.1R3.
server-fail-voip
введен в Junos OS выпусках 14.1X53-D40 и 15.1R4 для EX и серия QFX коммутаторов.
ignore-port-bounce
в Junos OS версии 17.3R1.
multi-domain
представлен в Junos OS версии 18.3R1.