Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Аутентификация 802.1X

IEEE стандарта 802.1X для контроля доступа к сети на основе портов и защищает сети Ethernet LANs от несанкционированного доступа пользователя. Он блокирует весь трафик, в который и из него вошел (клиент) на интерфейсе до тех пор, пока учетные данные необходимого приложения не будут представлены и не будут сопопросканны на сервере аутентификации (RADIUS сервер). После аутентификации необходимого пользователя коммутатор прекращает блокирование доступа и открывает интерфейс для него. Дополнительные сведения об этом разделе.

Обзор 802.1X для коммутаторов

Как работает аутентификация 802.1X

Аутентификация 802.1X работает с помощью объекта доступа аутентификации порта (коммутатора) для блокирования впускного трафика от необходимого (оканчающее устройство) порта до тех пор, пока учетные данные необходимого устройства не будут представлены и не будут соответствовать данным сервера аутентификации (сервер RADIUS). После аутентификации коммутатор прекращает блокирование трафика и открывает порт дляпроизводителя.

Аутентификация о конечном устройстве может быть обеспечена в режиме одиночного ипротопротопротезного, однобезопасного и несколькихпротопротованного режима:

  • одинпроцентный (supplicant) — аутентификация только первого о конце устройства. Всем другим конечным устройствам, которые подключаются к порту позже, разрешен полный доступ без дальнейшей аутентификации. Фактически они могут использовать аутентификацию первого конечного устройства.

  • one-secure supplicant — позволяет подключаться к порту только одному конечному устройству. Подключаться к другому о конечному устройству не разрешается до тех пор, пока не завершится выход первого устройства.

  • multiple supplicant — позволяет нескольким конечным устройствам подключаться к порту. Каждое конечное устройство аутентификация идет по отдельности.

Сетевой доступ можно дополнительно определить с помощью сетей VLANs и фильтров межсетевых экранов, которые выступают в качестве фильтров для раздельного и совпадать групп конечных устройств в областях требуемой LAN. Например, можно настроить VLANs для обработки различных категорий сбоев аутентификации в зависимости от:

Обзор возможностей 802.1X

Следующие функции 802.1X поддерживаются на Juniper Networks Ethernet:

  • Гостевая VLAN — предоставляет ограниченный доступ к локальной сети (обычно только к Интернету) для нереактивных конечных устройств, которые не имеют возможности 802.1X, если аутентификация MAC RADIUS не настроена на интерфейсах коммутаторов, к которым подключены хосты. Кроме того, гостевую VLAN можно использовать для предоставления ограниченного доступа к локальной сети для гостевых пользователей. Обычно гостевая VLAN предоставляет доступ только в Интернет и к конечным устройствам других гостей.

  • Server-reject VLAN — предоставляет ограниченный доступ к локальной сети (обычно только к Интернету) для адаптивных конечных устройств с поддержкой 802.1X и отправленных неверных учетных данных. Если конечным устройством, аутентификацией по сети VLAN, отклоняется сервер, является IP-телефон, голосовой трафик запрещен.

  • Server-fail VLAN — предоставляет ограниченный доступ к локальной сети (обычно только к Интернету) для конечных устройств 802.1X в течение RADIUS времени RADIUS серверов.

  • Динамическая VLAN — позволяет конечному устройству после аутентификации быть членом сети VLAN в динамическом виде.

  • Частная VLAN — включает настройку аутентификации 802.1X на интерфейсах, которые являются участниками частных VLAN (PVLAN).

  • Динамические изменения пользовательского сеанса – позволяет администратору коммутатора завершить уже аутентификацию сеанса. Данная функция основана на поддержке сообщения RADIUS Disconnect Message, определенного в RFC 3576.

  • VoIP VLAN — поддерживает IP-телефоны. Реализация голосовой VLAN на IP-телефоне зависит от поставщика. Если телефон включен в 802.1X, он аутентификация как и у любого другого важного устройства. Если телефон не поддерживается 802.1X, но к порту данных подключено другое устройство, совместимое с 802.1X, то это устройство аутентификация, и трафик VoIP может поступать на телефон и с телефона (при условии, что интерфейс настроен в однопротопозитном режиме, а не в однобезопасном режиме опроса).

    Прим.:

    Настройка VLAN VoIP на частных интерфейсах VLAN (PVLAN) не поддерживается.

  • RADIUS учета – отправляет учетные данные на RADIUS учета. Учетные данные отправляются на сервер всякий раз, когда абонент входит в систему или выходит из системы, и всякий раз, когда абонент включает или деактивирует подписку.

  • RADIUS сервера для 802.1X — это атрибут, определяемый поставщиком (VSA), который можно настроить на RADIUS сервере для дальнейшего определения доступа необходимого поставщика во время процесса аутентификации Juniper-Switching-Filter 802.1X. Централизованное конфигурирование атрибутов на сервере аутентификации отключает необходимость в настройке этих же атрибутов в форме фильтров межсетевых экранов на каждом коммутаторе ЛВС, к которому могут подключаться необходимые фильтры. Эта функция основана на RLI 4583, AAA RADIUS BRAS VSA.

Аутентификация устройств с поддержкой 802.1X поддерживается следующими функциями:

  • Обход статического MAC-пути — предоставляет механизм обхода для проверки подлинности устройств, не с поддержкой 802.1X (например, принтеров). Обход статического MAC соединяет эти устройства с портами с поддержкой 802.1X, минуя аутентификацию 802.1X.

  • Аутентификация MAC RADIUS — предоставляет возможность хосту, не с поддержкой 802.1X, получать доступ к локальной сети. Mac-RADIUS -эмулирует функции инспликатора клиентского устройства, используя MAC-адрес клиента в качестве имени пользователя и пароля.

Аутентификация 802.1X на магистральных портах

Начиная с Junos OS 18.3R1, можно настроить аутентификацию 802.1X на магистральных интерфейсах, что позволяет устройству сетевого доступа (NAS) аутентификации точки доступа (ТД) или другого подключенного устройства уровня 2. Коммутатор ТД коммутатором, подключенным к NAS, будет поддерживать несколько VLANs, поэтому необходимо подключиться к магистральным портам. Включение аутентификации 802.1X на магистрали интерфейса защищает сеть NAS от нарушения безопасности, при котором атакующий может отключить ТД и подключить ноутбук, чтобы получить доступ в сеть для всех настроенных сетей VLANs.

Обратите внимание на следующие оговорки при настройке аутентификации 802.1X на магистральных интерфейсах.

  • На магистральных интерфейсах поддерживаются только одно- и одиночно-безопасные режимы поддержки.

  • Необходимо локально настроить аутентификацию 802.1X на магистральный интерфейс. При настройке глобальной аутентификации 802.1X с помощью этой команды конфигурация не применяется set protocol dot1x interface all к магистральным интерфейсам.

  • Динамические VLAN не поддерживаются на магистральных интерфейсах.

  • Гостевая VLAN и сервер-reject VLAN не поддерживаются на магистральных интерфейсах.

  • Перебой сервера для клиентов VoIP не поддерживается на магистральных интерфейсах server-fail-voip ().

  • Аутентификация на магистральском порту не поддерживается Captive Portal.

  • Аутентификация на магистральном порту не поддерживается на агрегированных интерфейсах.

  • Конфигурация аутентификации 802.1X на интерфейсах, которые являются членами частных VLANs (PVLANs), не поддерживается на магистральных портах.

Аутентификация 802.1X на интерфейсах уровня 3

Начиная Junos OS выпуске 20.2R1, можно настроить аутентификацию 802.1X на интерфейсах уровня 3. Обратите внимание на следующие оговорки при настройке аутентификации 802.1X на интерфейсах уровня 3:

  • Поддерживаются только клиенты с поддержкой EAP.

  • Поддерживается только один режим поддержки.

  • Необходимо настроить аутентификацию 802.1X локально на интерфейсах уровня 3. При настройке глобальной аутентификации 802.1X с помощью этой команды конфигурация не применяется к интерфейсам set protocol dot1x interface all уровня 3.

  • Поддержка интерфейсов уровня 3 не включает IRB или подинтерфейс.

  • Гостевая VLAN, сервер-reject VLAN и VLAN с отказом сервера не поддерживаются.

  • Перебой сервера для клиентов VoIP не поддерживается server-fail-voip ( ).

  • С сервера аутентификации принимаются только следующие атрибуты в RADIUS о приеме доступа или COA для клиентов, аутентификация на интерфейсах уровня 3:

    • Имя пользователя

    • Время и времени сеанса

    • ID вызываемой станции

    • Acct-Session-ID

    • NAS-Port-ID

    • Отказ порта

Настройка параметров интерфейса 802.1X (интерфейс командной строки процедуры)

IEEE аутентификация 802.1X обеспечивает безопасность сетевой границы, защищает сети Ethernet от несанкционированного доступа пользователя, блокируя весь трафик в интерфейсе и от него, пока учетные данные приложения не будут представлены и не будут совпаны на сервере аутентификации (RADIUS сервер). После аутентификации необходимого пользователя коммутатор прекращает блокирование доступа и открывает интерфейс для него.

Прим.:

Перед началом укажите RADIUS или серверы, которые будут использоваться в качестве сервера аутентификации. См. RADIUS соединений серверов на коммутаторах (интерфейс командной строки процедуры).

Для настройки 802.1X на интерфейсе:

  1. Настройте режим инспектатора (аутентификация первого инспектатора), (аутентификация только одного нужного) или (аутентификация нескольких singlesingle-securemultiple источников):
    Прим.:

    Режим поддержки нескольких функций поддержки на магистральных интерфейсах не поддерживается.

  2. В включить повторнойauthentication и указать интервал повторнойauthentication:
  3. Настройте значение времени из-за времени, затверяемому запросом:
  4. Настройте время простоя интерфейса перед повторной его аутентификацией на сервер RADIUS:
  5. Настройте время (в секундах) ожидания интерфейса перед повторной ретранслированием исходных PDUs EAPOL к необходимому устройству:
  6. Настройка максимального количества запросов EAPOL пакета повторно перед инициализацией запрашивающей компании до истеления сеанса аутентификации:
  7. Настройте количество попыток коммутатора аутентификации порта после первоначального сбоя. Порт остается в состоянии ожидания в течение тихого периода после попытки аутентификации.
  8. Установите server-fail deny, чтобы сервер не был сбойным.
Прим.:

Этот параметр определяет количество попыток до того, как коммутатор переключит интерфейс в состояние HELD.

Изменения RADIUS авторизованного пользовательского сеанса

При использовании услуги аутентификации, основанной на модели RADIUS клиента/сервера, запросы обычно инициируются клиентом и отправляются RADIUS серверу. Существуют случаи, в которых сервер может инициировать запрос и отослать клиенту, чтобы динамически изменить уже начатый сеанс аутентифицированного пользователя. Клиент, который получает и обрабатывает сообщения, является коммутатором, который сервер сетевого доступа или NAS. Сервер может отправить коммутатору сообщение Disconnect, запрашивающий завершить сеанс, или сообщение Об изменении авторизации (CoA) с запросом на изменение атрибутов авторизации сеанса.

Коммутатор слушает незатвершенные RADIUS на UPD-порте 3799 и принимает запросы только от надежного источника. Авторизация для отправки запроса Disconnect или CoA определяется на основе адреса источника и соответствующего общего секретного секретного адреса, который должен быть настроен как на коммутаторе, так и на RADIUS сервере. Дополнительные сведения о настройке адреса источника и общего секретного секретного адреса коммутатора см. в примере: Подключение сервера RADIUS 802.1X к коммутатору серии EX.

Сообщения отключения

Сервер RADIUS отправляет коммутатору сообщение Disconnect-Request, чтобы завершить сеанс пользователя и отменить все связанные контексты сеанса. Коммутатор отвечает на пакет Disconnect-Request сообщением Disconnect-ACK, если запрос успешен, то есть весь связанный контекст сеанса отбрасывается и пользовательский сеанс больше не подключен, или с пакетом Disconnect-NAK, если запрос не отвечает, то есть, аутентификация не может разорвать сеанс и отменить все связанные контексты сеанса.

В сообщениях Disconnect-Request RADIUS используются для уникальной идентификации коммутатора (NAS) и пользовательского сеанса. Совокупность NAS идентификационных атрибутов и атрибутов идентификации сеансов, включенных в сообщение, должна соответствовать как минимум одному сеансу, чтобы запрос был успешен; в противном случае коммутатор отвечает сообщением Disconnect-NAK. Сообщение Disconnect-Request может содержать только NAS идентификационные атрибуты; при включении любых других атрибутов коммутатор отвечает сообщением Disconnect-NAK.

Изменение сообщений авторизации

Сообщения об изменении авторизации (CoA) содержат информацию о динамическом изменении атрибутов авторизации для пользовательского сеанса, чтобы изменить уровень авторизации. Это происходит в рамках двухшаготного процесса аутентификации, в котором конечная точка сначала аутентификация RADIUS аутентификации MAC, а затем профилируется на основе типа устройства. Сообщение CoA используется для применения политики применения, подходящей для устройства, обычно путем изменения фильтров данных или VLAN.

Коммутатор отвечает на сообщение CoA сообщением CoA-ACK, если изменение авторизации успешно, или сообщением CoA-NAK, если изменение неуспешно. Если одно или несколько изменений авторизации, указанные в сообщении CoA-Request, не могут быть выполнены, коммутатор отвечает сообщением CoA-NAK.

В сообщениях CoA-Request RADIUS атрибуты используются для уникальной идентификации коммутатора (действующего как NAS) и пользовательского сеанса. Совокупность NAS идентификационных атрибутов и атрибутов идентификации сеансов, включенных в сообщение, должна соответствовать идентификационным атрибутам по крайней мере одного сеанса для успешного запроса; в противном случае коммутатор отвечает сообщением CoA-NAK.

Пакеты CoA-Request также включают атрибуты авторизации сеанса, которые будут изменены при приеме запроса. Поддерживаемые атрибуты авторизации сеанса перечислены ниже. Сообщение CoA может содержать любой или все из этих атрибутов. Если какой-либо атрибут не включен в сообщение о CoA-Request, NAS предполагает, что значение этого атрибута остается неизменным.

  • ID фильтра

  • Tunnel-Private-Group-ID (Туннельно-частная группа-ID)

  • Juniper-фильтр коммутаторов

  • Juniper VoIP-VLAN

  • Время и времени сеанса

Отказ порта запроса CoA

Когда сообщение CoA используется для изменения VLAN для аутентификации хоста, конечные устройства, такие как принтеры, не имеют механизма обнаружения изменения VLAN, поэтому они не продлевают аренду своего DHCP-адреса в новой VLAN. Начиная с Junos OS 17.3, можно использовать функцию отказов порта, чтобы заставить о конечном устройстве инициировать повторное согласование DHCP, что приводит к перепущению соединения на аутентификацию порта.

Команда "bounce" для порта отправляется с RADIUS с помощью Juniper Networks поставщика (VSA). Порт отражается, если следующая пара значений атрибута VSA получена в сообщении CoA от RADIUS:

  • Juniper-AV-Pair = "Port-Bounce"

Чтобы включить функцию отказов порта, необходимо обновить файл словаря Junos () на RADIUS сервере с помощью juniper.dct Juniper-AV-Pair VSA. Найдите файл словаря и добавьте в файл следующий текст:

Дополнительные сведения об добавлении VSA можно получить в документации FreeRADIUS.

Эту функцию можно отключить, настроив утверждение ignore-port-bounce на уровне edit protocols dot1x authenticator interface interface-name [] иеерахи.

Коды причин ошибки

Если операция отключения или coA неуспешна, атрибут Error-Cause (RADIUS атрибут 101) может быть включен в ответное сообщение, отосланное NAS серверу для предоставления подробных данных о причине проблемы. Если обнаруженная ошибка не относится к одному из поддерживаемых значений атрибутов Error-Cause, маршрутизатор отправляет сообщение без атрибута error-cause. Описание кодов причин ошибок, которые можно включить в ответные сообщения, отправленные с Табл. 1 NAS.

Табл. 1: Коды причины ошибки (RADIUS атрибут 101)

Код

Значение

Описание

201

Контекст остаточного сеанса удален

Отправлено в ответ на сообщение Disconnect-Request, если один или несколько пользовательских сеансов больше не активны, но контекст остаточного сеанса найден и успешно удален. Этот код отправляется только в сообщении Disconnect-ACK.

401

Неподтверченный атрибут

Запрос содержит не поддерживаемый атрибут (например, сторонний атрибут).

402

Отсутствующий атрибут

Критический атрибут (например, атрибут идентификации сеанса) отсутствует в запросе.

403

NAS неохваченной идентификации

Запрос содержит один или несколько NAS идентификационных атрибутов, не совпадающих с идентификационными характеристиками NAS, принимающих запрос.

404

Недопустимый запрос

Некоторые другие аспекты запроса недопустимы, например, если один или несколько атрибутов отформатированы неверно.

405

Неподтверченная служба

Атрибут service-Type, включенный в запрос, содержит недопустимое или неподтвердительное значение.

406

Неподтверченный расширение

Объект, получающие запрос (либо NAS, либо RADIUS-прокси), не поддерживает RADIUS инициацировали запросы.

407

Недопустимое значение атрибута

Запрос содержит атрибут с неподписаным значением.

501

Административно запрещено

Конфигурация NAS запретить использование сообщений Disconnect-Request или CoA-Request для указанного сеанса.

503

Контекст сеанса не найден

Контекст сеанса, идентифицированный в запросе, не существует на NAS.

504

Контекст сеанса не может быть удаляемым

Абонент, идентифицированный атрибутами в запросе, принадлежит компоненту, который не поддерживается. Этот код отправляется только в сообщении Disconnect-NAK.

506

Ресурсы недоступны

Запрос не может быть почтен из-за нехватки доступных NAS ресурсов (например, памяти).

507

Инициированный запрос

Сообщение CoA-Request содержит атрибут типа обслуживания (Service-Type) со значением Authorize Only (Авторизировать).

508

Выбор нескольких сеансов неподтверчен

Атрибуты идентификации сеанса, включенные в запрос, совпадают с несколькими сеансами, но NAS не поддерживает запросы, применимые к нескольким сеансам.

Фильтрация атрибутов сервера 802.1X с помощью RADIUS серверов

Существует два способа настройки сервера RADIUS с фильтрами межсетевых экранов портов (фильтры межсетевых экранов уровня 2):

  • Включив один или несколько терминов фильтра в Juniper-коммутатор-фильтр. Атрибут Juniper-switching-Filter является атрибутом, специфическим для поставщика (VSA), перечисленным под номером атрибута ID 48 в словаре Juniper сервера RADIUS. Используйте эту VSA для настройки простых условий фильтрации для пользователей, аутентификацию 802.1X. Коммутатор не требует настройки; все конфигурации на сервере RADIUS сервере.

  • Настройте фильтр локального брандмауэра на каждом коммутаторе и примените этот фильтр к пользователям, аутентификация которых RADIUS серверу. Этот метод используется для более сложных фильтров. Фильтр межсетевых экранов должен быть настроен на каждом коммутаторе.

    Прим.:

    Если конфигурация фильтра брандмауэра изменяется после аутентификации пользователей с помощью аутентификации 802.1X, то установленный сеанс аутентификации 802.1X должен быть прерван и повторно установлен, чтобы изменения конфигурации фильтра межсетевых экранов вступили в силу.

Данная тема включает в себя следующие задачи:

Настройка фильтров брандмауэра на RADIUS-сервере

Можно настроить простые условия фильтрации с помощью Juniper-переключения-фильтра в словаре Juniper на RADIUS-сервере. Эти фильтры отправляются на коммутатор при успешной аутентификации нового пользователя. Фильтры создаются и применяются на всех коммутаторах серии EX, которые проходят аутентификацию пользователей через RADIUS сервера без необходимости настраивать что-либо на каждом отдельном коммутаторе.

Прим.:

Эта процедура описывает использование программного обеспечения FreeRADIUS для настройки Juniper-Juniper-фильтра VSA. Для получения более подробной информации о настройке сервера обратитесь к документации AAA сервера.

Чтобы настроить атрибут Juniper-коммутатор-фильтр, введите один или несколько терминов фильтра, используя интерфейс командной строки для RADIUS-сервера. Каждый термин фильтра состоит из условий совпадения с соответствующим действием. Введите термины фильтра, заключенные в кавычках (" ") с помощью следующего синтаксиса:

В термин фильтра может быть включено более одного условия совпадения. Если в термине фильтра задано несколько условий, они все должны быть выполнены, чтобы пакет совпадал с термином фильтра. Например, для следующего срока фильтрации пакет должен соответствовать как IP-адресу MAC-адрес, так и адресату.

Запятые должны разделяться несколькими терминами фильтра, например:

Определения условий и действий при совпадении см. в Juniper-коммутатор-фильтр VSA Условий и действий.

Прим.:

На EX9200 и в коммутаторах, Junos Fusion Enterprise в качестве агрегированного EX9200, динамический фильтр межсетевых экранов жестко применяется ко всем IP-пакетам. Если фильтр настроен так, чтобы он разрешил только определенный IP-адрес назначения, пакеты с другими IP-адресами в качестве IP-адреса назначения будут отброшены по правилам фильтрации. Это относится к любым пакетам ПРОТОКОЛА IP, таким как пакеты DHCP, IGMP и ARP.

Для настройки условий совпадения на RADIUS сервере:

  1. Проверьте, Juniper словарь загружен на сервер RADIUS и содержит атрибут фильтрации Juniper-Switching-Filter (атрибут ID 48):
  2. Введите условия и действия при совпадении. Например:
    • Чтобы запретить аутентификацию на основе тега 802.1Q (здесь метка 802.1Q: 10 :

      Для каждого соответствующего пользователя добавьте Juniper-Switching-Filter атрибут:

    • Запретить доступ на основании IP-адреса назначения:

      Для каждого соответствующего пользователя добавьте Juniper-Switching-Filter атрибут:

    • Чтобы установить приоритет потери пакетов (PLP) на основе MAC-адрес назначения high и протокола IP:

      Для каждого соответствующего пользователя добавьте Juniper-Switching-Filter атрибут:

      Прим.:

      Чтобы этот параметр можно было применить, класс переадности должен быть настроен на коммутаторе и указан forwarding-class приоритет потери пакетов. Если он не настроен на коммутаторе, этот параметр игнорируется. Необходимо указать как класс переадности, так и приоритет потери пакетов.

  3. Остановите и перезапустите RADIUS, чтобы активировать конфигурацию.

Применение локально настроенного фильтра межсетевых экранов с RADIUS server

Фильтр брандмауэра порта (фильтр межсетевых экранов уровня 2) можно применить к политикам пользователя централизованно с RADIUS сервера. Затем RADIUS сервер может указать фильтры межсетевых экранов, которые будут применяться к каждому пользователю, запрашивая аутентификацию, что снижает необходимость в настройке одного и того же фильтра брандмауэра на нескольких коммутаторах. Используйте этот метод, если фильтр межсетевых экранов содержит большое количество условий или необходимо использовать разные условия для одного и того же фильтра на разных коммутаторах. Фильтры межсетевых экранов должны быть настроены на каждом коммутаторе.

Дополнительные сведения о фильтрах межсетевых экранов см. в обзоре "Фильтры межсетевых экранов для коммутаторов серии EX".

Для централизованного применения фильтра брандмауэра порта с RADIUS сервера:

Прим.:

Если фильтры межсетевых экранов порта также настроены локально для интерфейса, фильтры межсетевых экранов, настроенные с помощью VSAS, имеют преимущество, если они конфликтуют с локально настроенными фильтрами межсетевых экранов портов. Если конфликтов нет, они объединяются.

  1. Создайте фильтр межсетевых экранов на локальном коммутаторе. Дополнительные сведения о настройке фильтра межсетевых экранов см. в интерфейс командной строки (процедура настройки межсетевых экранов).
  2. На сервере RADIUS файл, чтобы отобразить локальные профили пользователей конечных устройств, к которым users необходимо применить фильтр:

  3. Примените фильтр к каждому профилю пользователя, добавив атрибут Filter-ID с именем фильтра в качестве значения атрибута:

    Например, профиль пользователя, который приведен ниже, содержит атрибут supplicant1 Filter-ID с именем filter1 фильтра:

    Прим.:

    Несколько фильтров не поддерживаются на одном интерфейсе. Однако можно поддерживать несколько фильтров для нескольких пользователей, подключенных к коммутатору на одном интерфейсе, с помощью настройки одного фильтра с политиками для каждого из этих пользователей.

  4. Остановите и перезапустите RADIUS, чтобы активировать конфигурацию.

Примере: Подключение сервера RADIUS 802.1X к коммутатору серии EX

802.1X — стандартный IEEE для контроля доступа к сети на основе порта (PNAC). Для управления доступом к сети используется 802.1X. Доступ в сеть разрешен только пользователям и устройствам, предоставляющим учетные данные, проверенные по базе данных пользователей. Можно использовать сервер RADIUS в качестве базы данных пользователя для аутентификации 802.1X, а также для аутентификации MAC RADIUS аутентификации.

В данном примере описывается, как подключить сервер RADIUS к коммутатору серии EX и настроить его на 802.1X:

Требования

В данном примере используются следующие программные и аппаратные компоненты:

  • Junos OS версии 9.0 или более поздней версии для коммутаторов серии EX

  • Один коммутатор серии EX, выступая в качестве объекта доступа к аутентификации порта (PAE). Порты на аутентиаторе PAE формируют контрольный шлюз, который блокирует весь трафик к и отпродатантам до аутентификации.

  • Один RADIUS аутентификации, который поддерживает 802.1X. Сервер аутентификации действует как сервер серверной базы данных и содержит учетные данные для хостов (запросителей), которые имеют разрешение на подключение к сети.

Перед подключением сервера к коммутатору необходимо убедиться в том, что у вас есть:

Обзор и топология

Коммутатор серии EX действует как аутентификациоатор PAE. Он блокирует весь трафик и действует в качестве контрольного шлюза до тех пор, пока сервер не аутентификацию упроскананта (клиента). Всем другим пользователям и устройствам будет отказано в доступе.

Рис. 1 показывает один EX4200, который подключен к устройствам, перечисленным в Табл. 2 списке.

Рис. 1: Топология конфигурацииТопология конфигурации
Табл. 2: Компоненты топологии
Свойство Параметры

Оборудование коммутатора

EX4200 доступа, 24 порта Gigabit Ethernet: 8 PoE портов (ge-0/0/0 через ge-0/0/7) и 1 PoE 6 нестандартных портов (ge-0/0/8 через ge-0/0/23)

Имя сети VLAN

По умолчанию

Один RADIUS сервер

Базовая база данных с 10.0.0.100 адресом, подключенным к коммутатору через порт ge-0/0/10

В этом примере подключите сервер RADIUS к порту ge-0/0/10 на EX4200 коммутаторе. Коммутатор выступает в качестве аутентификационатора и переадранит учетные данные отпродающего пользователя в базу данных пользователей на RADIUS сервере. Необходимо настроить соединение между EX4200 и RADIUS сервером, указав адрес сервера и настройв секретный пароль. Эта информация настраивается в профиле доступа на коммутаторе.

Прим.:

Дополнительные сведения об услугах аутентификации, авторизации и учета (AAA) см. в руководстве по Junos OS основам системы.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Для быстрого подключения RADIUS сервера к коммутатору, скопируйте следующие команды и вкопировать их в окно терминала коммутатора:

Пошаговая процедура

Для подключения RADIUS сервера к коммутатору:

  1. Определите адрес серверов и настройте секретный пароль. Секретный пароль коммутатора должен совпадать с секретным паролем на сервере:

  2. Настройте порядок аутентификации, чтобы radius сделать первый метод аутентификации:

  3. Настройте список IP-адресов сервера, которые будут рассматриваться последовательно для аутентификации необходимого.

Результаты

Отобразить результаты настройки:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверьте правильность подключения RADIUS и сервера

Цель

Убедитесь, RADIUS сервер подключен к коммутатору указанного порта.

Действий

Проверьте соединение RADIUS между коммутатором и сервером, проверив соединение с сервером:

Смысл

Пакеты эхо-запроса ICMP отправляются с коммутатора на целевой сервер с адресом 10.0.0.100, чтобы проверить, является ли сервер досяжимым через IP-сеть. Эхо-ответы ICMP возвращаются с сервера, проверяя, что коммутатор и сервер подключены.

Понимание динамических фильтров на RADIUS атрибутов

Атрибуты сервера RADIUS использовать для реализации фильтров брандмауэра порта на RADIUS аутентификации. Эти фильтры могут динамически применяться к запрашивающий запрос аутентификации через этот сервер. RADIUS сервера – это поля с четким текстом, инкапсулированные в сообщения Access-Accept, отправленные с сервера аутентификации на коммутатор при успешной аутентификации запроса, подключенного к коммутатору. Коммутатор, выступая в качестве аутентификационатора, использует информацию, RADIUS атрибуты, чтобы применить соответствующие фильтры к фильтру-фильтру. Динамические фильтры могут применяться к нескольким портам на одном коммутаторе или к нескольким коммутаторам, которые используют один сервер аутентификации, обеспечивая централизованное управление доступом в сети.

Фильтры межсетевых экранов можно определить непосредственно на сервере RADIUS с помощью атрибута Juniper Switching-Filter, который является RADIUS атрибутом, специфическим для Juniper Networks, также известного как атрибут, определяющий поставщика (VSA). VsAs описаны в RFC 2138, Remote Authentication Dial In User Service (RADIUS). VSA Juniper-фильтра коммутатора указана в списке "ID атрибута 48" в словаре Juniper сервера RADIUS, а ID поставщика установлен на Juniper Networks ID 2636. С помощью этого атрибута определяются фильтры на сервере аутентификации, которые применяются на всех коммутаторах, которые проходят аутентификацию фильтров через этот сервер. Этот метод устраняет необходимость в настройке одинаковых фильтров на нескольких коммутаторах.

Кроме того, можно применить фильтр межсетевых экранов порта к нескольким портам на одном коммутаторе с помощью атрибута Filter-ID, который RADIUS атрибутом номер 11. Для использования атрибута Filter-ID необходимо сначала настроить фильтр на коммутаторе, а затем добавить имя фильтра к политикам пользователя на RADIUS-сервере в качестве значения атрибута Filter-ID. Когда сервер RADIUS аутентификацию фильтра, определенного в одной из этих политик, фильтр применяется к порту коммутатора, аутентификация для него. Используйте этот метод, если фильтр межсетевых экранов имеет сложные условия или если необходимо использовать разные условия для одного и того же фильтра на разных коммутаторах. Фильтр, именуемый атрибутом Filter-ID, должен быть локально настроен на коммутаторе на уровне edit firewall family ethernet-switching filter [] иерархии.

VSAs поддерживаются только для конфигураций 802.1X с одними ипротопротоскатными конфигурациями и несколькими конфигурациямипротоскатов.

Понимание динамического назначения VLAN с RADIUS атрибутами

VLANs могут быть динамически назначены сервером RADIUS запрашивающих аутентификацию 802.1X через этот сервер. VLAN на сервере RADIUS настраивается с помощью RADIUS сервера, которые являются полями с четким текстом, инкапсулируемыми в сообщениях, отправленных с сервера аутентификации на коммутатор, когда запрашивающий устройство подключен к запросу аутентификации коммутатора. Коммутатор, выступая в качестве аутентификационора, использует информацию из RADIUS атрибутов, чтобы назначить VLAN необходимому. На основании результатов аутентификации необходимо, чтобы в одной сети VLAN был назначен вопроситель, начинающий аутентификацию.

Для успешной аутентификации требуется настройка имени VLAN ID или VLAN на коммутаторе, действующем как аутентификация 802.1X, и что оно соответствует VLAN ID или имени VLAN, отосланного сервером RADIUS во время аутентификации. Если ни одно из них не существует, то о конечном устройстве аутентификация не будет. Если гостевая VLAN установлена, то неавентированное конечное устройство автоматически перемещается в гостевую VLAN.

Атрибуты RADIUS, используемые для динамического назначения VLAN, описанные в RFC 2868, RADIUS атрибуты для поддержки туннельного протокола.

  • Tunnel-Type — определяется как RADIUS атрибут типа 64. Значение должно быть установлено в VLAN значение .

  • Tunnel-Medium-Type — определяется как RADIUS атрибут типа 65. Значение должно быть установлено в IEEE-802 значение .

  • Tunnel-Private-Group-ID определяется как RADIUS атрибут типа 81. Значение должно быть установлено в ID VLAN или имени VLAN.

Дополнительные сведения о настройке динамических VLANs на RADIUS см. в документации по вашему RADIUS серверу.

Понимание гостевых VLANs для 802.1X на коммутаторах

Гостевых VLANs можно настроить на коммутаторах, использующих аутентификацию 802.1X для предоставления ограниченного доступа (как правило, только к Интернету) для корпоративных гостей. Гостевая VLAN используется в качестве перепада при:

  • Запроситель не включен 802.1X и не отвечает на сообщения EAP.

  • Аутентификация MAC RADIUS не была настроена на интерфейсах коммутатора, к которым подключено устройство, к которому подключается необходимое устройство.

  • Портал Captive не настроен на интерфейсах коммутаторов, к которым подключено устройство, к которому подключается запротоволокатор.

Гостевая VLAN не используется для отправки некорректных учетных данных. Они направляются в VLAN, отклоненную сервером.

Для конечных устройств, не включенных в 802.1X, гостевая VLAN может разрешить ограниченный доступ к серверу, с которого граничное устройство с поддержкой 802.1X может загрузить приложение-источник доступа и повторить аутентификацию.

Примере: Настройка параметров аутентификации 802.1X, когда сервер RADIUS недоступен коммутатору серии EX

Если RADIUS сервер аутентификации недоступен, можно указать, как поддерживаются подключаемые к коммутаторупроценты 802.1X.

Для управления доступом к сети используется 802.1X. Доступ в сеть разрешен только пользователям и устройствам (прос), предоставляющим учетные данные, проверенные по базе данных пользователей. Сервер используется RADIUS в качестве базы данных пользователя.

В данном примере описывается, как настроить интерфейс для перемещения необходимого пользователя в VLAN в случае иго RADIUS сервера:

Требования

В данном примере используются следующие программные и аппаратные компоненты:

Прим.:

Этот пример также применим и к QFX5100 коммутаторам.

  • Junos OS версии 9.3 или более поздней версии для коммутаторов серии EX

  • Один коммутатор серии EX, выступая в качестве объекта доступа к аутентификации порта (PAE). Порты на аутентиаторе PAE формируют контрольный шлюз, который блокирует весь трафик к и отпродатантам до аутентификации.

  • Один RADIUS аутентификации, который поддерживает 802.1X. Сервер аутентификации действует как сервер серверной базы данных и содержит учетные данные для хостов (запросителей), которые имеют разрешение на подключение к сети.

Перед подключением сервера к коммутатору необходимо убедиться в том, что у вас есть:

Обзор и топология

Период RADIUS сервера возникает, если аутентификация RADIUS серверов недосягаема при входе в систему и попытке доступа к ЛОКАЛЬНОй сети для серверов, которые имеют доступ к регистратору. Используя функцию перезапуска сервера, настраиваются альтернативные параметры для пытающихся получить доступ к ЛОКАЛЬНОй сети отпроизводителей. Коммутатор можно настроить так, чтобы он принял или отключил доступ кпроцентантам или поддерживал доступ, уже предоставленныйпросюляющим, до RADIUS времени RADIUS сервером. Кроме того, можно настроить коммутатор на перемещение запротопросов в определенную VLAN, если RADIUS и RADIUS время.

Рис. 2 показывает топологию, используемую для этого примера. Сервер RADIUS подключен к коммутатору EX4200 ge-0/0/10 доступа. Коммутатор действует в качестве объекта доступа аутентификационатора к порту (PAE) и перенаносит учетные данные отпродающего пользователя в базу данных пользователей на RADIUS сервере. Коммутатор блокирует весь трафик и действует в качестве контрольного шлюза до тех пор, пока сервер аутентификации не аутентификацию упротоления. Источник связи подключается к коммутатору через интерфейс ge-0/0/1.

Прим.:

Этот рисунок также относится к QFX5100 коммутаторам.

Рис. 2: Топология для настройки параметров 802.1XТопология для настройки параметров 802.1X

Табл. 3 описывает компоненты этой топологии.

Табл. 3: Компоненты топологии
Свойство Параметры

Оборудование коммутатора

EX4200 доступа, 24 порта Gigabit Ethernet: 16 нестандартных PoE и 8 PoE портов.

Имена VLAN

default Vlan

vlan-sf Vlan

Запротопрос

Попытка доступа к интерфейсу отпроизводи мне ge-0/0/1

Один RADIUS сервер

Базовая база данных с адресом 10.0.0.100 подключенного к коммутатору порта ge-0/0/10

В этом примере настройте интерфейс ge-0/0/1 для перемещения необходимого пользователя, пытающийся получить доступ к LAN, в течение RADIUS времени до другой VLAN. Период RADIUS предотвращает обычный обмен сообщениями EAP, который передает информацию от RADIUS сервера коммутатору и разрешает аутентификацию необходимого. VLAN по умолчанию настроена на интерфейсе ge-0/0/1. При и RADIUS времявыполнения все приложения, которые могут возникнуть на интерфейсе, перемещаются из сети VLAN по умолчанию в VLAN с именем vlan-sf.

Топологии

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить переключение при сбойе сервера на коммутаторе, скопируйте следующие команды и включите их в окно терминала коммутатора:

Пошаговая процедура

Для настройки интерфейса для переадресовки необходимого приложения в определенную VLAN, когда RADIUS время RADIUS (здесь, vlan-sf VLAN:

  1. Определите VLAN, к которой будут перенаправленыпросанты:

Результаты

Отобразить результаты настройки:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка перенабрания проверяющих в альтернативную VLAN в течение RADIUS времени.

Цель

Убедитесь, что во время RADIUS интерфейса проверяются дополнительные источники.

Прим.:

На коммутаторах Junos OS для серии EX с поддержкой ELS выходные данные этой команды show vlans будут содержать дополнительную информацию. Если на коммутаторе работает ПРОГРАММНОЕ обеспечение, поддерживаюное ELS, см. show vlans. Дополнительные сведения о ELS см. в использование программного обеспечения enhanced layer 2 интерфейс командной строки

Действий

Отобразить сети VLANs, настроенные на коммутаторе; является ge-0/0/1.0 членом default VLAN:

Отображение сведений протокола 802.1X на коммутаторе, чтобы просмотреть приложения, аутентификацию на ge-0/0/1.0 интерфейсе:

Имеет место RADIUS сервер. Отобразить таблицу коммутаторов Ethernet, чтобы показать, что источник, который ранее MAC-адрес доступом к LAN через VLAN, теперь выясняется в сети VLAN под 00:00:00:00:00:01 именем: defaultvlan-sf

Отобразить сведения протокола 802.1X, чтобы показать, что интерфейс подключается и открывает доступ к ЛВС для ge-0/0/1.0 подключающихся устройств:

Смысл

Команда show vlans отображает интерфейс ge-0/0/1.0 как член default VLAN. Эта команда показывает, что на интерфейсе аутентификация и у него есть show dot1x interface briefabcge-0/0/1.000:00:00:00:00:01 MAC-адрес. Имеет место RADIUS сервер, и коммутатор не может получить доступ к серверу аутентификации. Эта show-ethernet-switching table команда показывает, MAC-адрес 00:00:00:00:00:01 данные MAC-адрес для vlan-sf VLAN. Необходимое решение перемещено из default VLAN в vlan-sf VLAN. Затем он подключается к локальной сети через именоваемую vlan-sf VLAN.

Примере: Настройка параметров перехода к выключению на коммутаторах серии EX для аутентификации EAP-TTLS и Odyssey доступа

Для аутентификации пользователя 802.1X коммутаторы серии EX поддерживают RADIUS, которые используют протокол аутентификации с возможностью extensible— туннельный TLS (EAP-TTLS) для аутентификации Odyssey Access Client (OAC)протекторов. Программное обеспечение OAC работает на оконечных компьютерах (настольные, портативные компьютеры или блокноты и поддерживаемые беспроводные устройства) и обеспечивает безопасный доступ к проводным и беспроводным сетям.

В данном примере описана настройка интерфейса с поддержкой 802.1X на коммутаторе для обеспечения поддержки при переходе в fallback пользователей OAC, в которых введены неправильные учетные данные для входа:

Требования

В данном примере используются следующие программные и аппаратные компоненты:

Прим.:

Этот пример также применим и к QFX5100 коммутаторам.

  • Junos OS версии 11.2 или более поздней для коммутаторов серии EX

  • Один коммутатор серии EX, выступая в качестве объекта доступа к аутентификации порта (PAE). Порты на аутентиаторе PAE формируют контрольный шлюз, который блокирует весь трафик к и отпродатантам до аутентификации.

  • Один RADIUS аутентификации, который поддерживает 802.1X. Сервер аутентификации действует как сервер серверной базы данных и содержит учетные данные для хостов (запросителей), которые имеют разрешение на подключение к сети.

  • Одно оканчающее устройство OAC, выступая в качестве запротоканатора.

Перед началом настройки параметра перепада убедитесь, что есть:

Обзор и топология

OAC — это программное обеспечение для сетей, которое работает на оконечных компьютерах (настольных компьютерах, ноутбуках или блокнотах) и поддерживаемых беспроводных устройствах. OAC предоставляет полную поддержку для EAP, что необходимо для безопасного беспроводная локальная сеть доступа.

В этой топологии сервер OAC развертывается с коммутатором с поддержкой 802.1X и RADIUS сервером. Коммутатор функционирует в качестве точки управления архитектурой сетевой безопасности. Эта топология:

  • Обеспечивает подключение только авторизованных пользователей.

  • Поддерживает конфиденциальность учетных данных при входе в систему.

  • Поддерживает конфиденциальность данных по беспроводному соединению.

В данном примере содержится настройка VLAN, отклоненной сервером на коммутаторе, которая может быть использована для предотвращения случайной блокировки пользователей, в которых введены неправильные учетные данные для входа. Этим пользователям может быть предоставлен ограниченный доступ к локальной сети.

Однако эта конфигурация при откате осложняется тем фактом, что сервер OAC и RADIUS используют EAP-TTLS. EAP-TTLS создает защищенный зашифрованный туннель между сервером и конечным устройством для завершения процесса аутентификации. Когда пользователь вводит неправильные учетные данные для входа, сервер RADIUS EAP отправляет сообщения об ошибках EAP непосредственно клиенту через этот туннель. Сообщение об ошибке EAP приводит к перезапуску процедуры аутентификации, поэтому процесс аутентификации 802.1X разрывает сеанс, установленный с коммутатором с использованием VLAN, отклоненной сервером. Для продолжения настройки можно включить подключение к ремедиализации:

  • eapol-block-В настройте блок-заглушку EAPoL на интерфейсе 802.1X, который конфигурирован как принадлежащий сети VLAN, отклоненной сервером. Из-за блокировки объект доступа к аутентификации порта игнорирует сообщения начала EAP от клиента, пытаясь перезапустить процедуру аутентификации.

    Прим.:

    Блок-timer EAPoL запускается только после того, как настроено число разрешенных повторнотемптов (с использованием параметра) на интерфейсе retries 802.1X. Можно задать количество попыток коммутатора аутентификации порта retries после первоначального сбоя. Значение по умолчанию — три повторного.

  • block-interval- Настройте период времени, в которое необходимо, чтобы блок-timer EAPoL продолжает игнорировать сообщения о начале EAP. Если не настроить интервал блока, время блокировки EAPoL по умолчанию будет равным 120 секундам.

Когда интерфейс 802.1X игнорирует сообщения о начале EAP от клиента, коммутатор разрешает существующему сеансу устранения, созданному через VLAN, отклоненную сервером, оставаться открытым.

Эти параметры конфигурации применимы к одному, одиночному и множеству режимов аутентификации с помощью различных функций. В этом примере интерфейс 802.1X настроен в режиме одиночногопроизводительного режима.

Рис. 3 показывает коммутатор серии EX, соединяющий конечный устройство OAC с RADIUS сервером, и показывает протоколы, используемые для подключения сетевых устройств.

Прим.:

Этот рисунок также относится к QFX5100 коммутаторам.

Рис. 3: Коммутатор серии EX, соединяющий OAC RADIUS сервером с помощью аутентификации EAP-TTLSКоммутатор серии EX, соединяющий OAC RADIUS сервером с помощью аутентификации EAP-TTLS

Топологии

Табл. 4 описывает компоненты развертывания OAC:.

Табл. 4: Компоненты развертывания OAC
Свойство Параметры

Оборудование коммутатора

Коммутатор серии EX

Vlans

default

server-reject-vlan: Имя VLAN и remedial ID VLAN 700

Интерфейс 802.1X

ge-0/0/8

Запросканатор OAC

EAP-TTLS

Один RADIUS аутентификации

EAP-TTLS

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить параметры перехода к источнику после переключения для EAP-TTLS и задаваемых в EAP-TTLS и OAC, скопируйте следующие команды и включайте их в окно терминала коммутатора:

Пошаговая процедура

Чтобы настроить параметры перепада для EAP-TTLS и задаваемых параметров OAC:

Совет:

В данном примере коммутатор имеет только одну отклоненную сервером VLAN. Таким образом, конфигурация определяется eapol-block и block-interval сразу server-reject-vlan после. Однако если на коммутаторе настроено несколько VLAN, необходимо сразу после этого указать, какая VLAN была server-reject-vlan изменена.

  1. Настройте VLAN, которая будет функционировать как отклоненная сервером VLAN, чтобы предоставить ограниченный доступ к LAN пользователям, у которых введены неправильные учетные данные для входа:

  2. Настройте количество раз, когда клиенту будет предложено вводить имя пользователя и пароль до того, как неверный вход в систему будет направлен в VLAN, отклоненную сервером:

  3. Настройте интерфейс аутентификации 802.1X для использования отклоненной сервером VLAN как отказа от сети VLAN для неверных логинов:

  4. В настройте блок-заглушку EAPoL на интерфейсе 802.1X, который настроен как принадлежащий сети VLAN, отклоненной сервером.

  5. Настройте время, в течение времени, в течение времени, в течение который блок EAPoL остается в силе:

Результаты

Проверьте результаты настройки:

Проверки

Чтобы подтвердить правильность работы конфигурации и вариантов перепада, выполните эту задачу:

Проверка конфигурации интерфейса 802.1X

Цель

Убедитесь, что интерфейс 802.1X настроен с нужными настройками.

Действий
Смысл

Выходные данные команды показывают, что интерфейс находится в show dot1x ge-0/0/8 detail состоянии и что он использует ge-0/0/8Authenticatedremedial VLAN.

Мониторинг аутентификации 802.1X

Цель

Прим.:

Эта тема относится только к пакету приложений J-Web.

Пакет приложений J-Web выпуска 14.1X53-A2 не поддерживает аутентификацию 802.1X на EX4600 коммутаторах.

Функция мониторинга позволяет отобразить данные аутентификаций пользователей и пользователей, которые не сдают аутентификацию.

Действий

Чтобы отобразить данные аутентификации в интерфейсе J-Web, выберите > MonitoringSecurity802.1X >.

Чтобы отобразить данные аутентификации в интерфейс командной строки, введите следующие команды:

  • show dot1x interface detail | display xml

  • show dot1x interface detail <interface> | display xml

  • show dot1x auth-failed-users

Смысл

Отображаемая информация:

  • Список аутентификаций пользователей.

  • Число подключенных пользователей.

  • Список пользователей, которые не сдают аутентификацию.

Можно также указать интерфейс, для которого необходимо отобразить данные.

Проверка аутентификации 802.1X

Цель

Убедитесь, что на интерфейсе коммутатора аутентификация проверяемых устройств настроена на аутентификацию 802.1X, и отобразить метод аутентификации.

Действий

Отображение подробных сведений об интерфейсе, настроенного для 802.1X (здесь он имеет интерфейс ge-0/0/16):

Смысл

Пример выходных данных show dot1x interface detail команды показывает, что Number of connected supplicants имеется 1. Вопроситель, который был аутентификацией и подключен к LAN, известен как на RADIUS сервере и имеет user500:30:48:8C:66:BD MAC-адрес. Аутентификация задающей стороны была аутентификацией с помощью метода аутентификации 802.1X, который RADIUS аутентификацией, как указано Radius в выходных данных. Если RADIUS аутентификация используется, на сервере RADIUS настраивается RADIUS, сервер RADIUS передает это коммутатору, и коммутатор открывает доступ к ЛОКАЛЬНОй сети на интерфейсе, к которому подключено необходимое устройство. В примере выходных данных также показано, что необходимое подключение к v200 VLAN.

Другие методы аутентификации 802.1X, которые поддерживаются на коммутаторах серии EX, в дополнение к RADIUS аутентификации:

  • Гостевая VLAN — нереактивному хосту предоставляется гостевой доступ к сети VLAN.

  • MAC Radius — аутентификация нереактивного хоста происходит на MAC-адрес. Сервер MAC-адрес настроен в разрешенном RADIUS, сервер RADIUS извещая коммутатор о том, что MAC-адрес является разрешенным адресом, и коммутатор предоставляет доступ к сети LAN нереактивным хостам на интерфейсе, к которому он подключен.

  • Server-fail deny . Если серверы RADIUS не могут выйти из строя, всем входным приложениям будет отказано в доступе к LAN, что не позволит устройству-необходимому трафику проходить через интерфейс. Это значение по умолчанию.

  • Server-fail permit — если RADIUS сервер недоступен, необходимому средству связи по-прежнему разрешается доступ к LAN, как если бы сервер RADIUS успешно прошел аутентификацию RADIUS.

  • Server-fail use-cache— если серверы RADIUS не могут выйти из строя во время повторной аутентификации, ранее аутентификацию авторизации предоставляется доступ к локальной сети, но новымпротоскатантам будет отказано в доступе к ЛОКАЛЬНОй сети.

  • Сервер-fail VLAN — необходимо перенаправить в указанную VLAN устройство, подаваемое на сервер с RADIUS, чтобы повторно проавентировать необходимое устройство. (VLAN должна существовать на коммутаторе.

Устранение неполадок аутентификации конечных устройств на коммутаторах серии EX

Проблема

Описание

Конечные устройства, настроенные с использованием статических MAC-адресов, теряют соединение с коммутатором после запуска команды clear dot1x interface для очистки всех заученных MAC-адресов.

Перед очисткой MAC-адресов:

Очистка MAC-адресов:

После очистки MAC-адресов:

Обратите внимание, что в списке обхода аутентификации нет конечных устройств.

Вызвать

Статические MAC-адреса обрабатываются так же, как и другие заученные MAC-адреса интерфейса. При запуске команды clear dot1x interface она очищает все известные MAC-адреса интерфейса, включая статический список обхода MAC (также известного как список исключения).

Решение

При запуске команды clear dot1x interfaces для интерфейса с статическими MAC-адресами, настроенными для обхода аутентификации, добавьте статические MAC-адреса в статический список обхода MAC.

Таблица истории выпусков
Версия
Описание
20.2R1
Начиная Junos OS выпуске 20.2R1, можно настроить аутентификацию 802.1X на интерфейсах уровня 3
18.4R1
Начиная с Junos OS 18.3R1, можно настроить аутентификацию 802.1X на магистральных интерфейсах, что позволяет устройству сетевого доступа (NAS) аутентификации точки доступа (ТД) или другого подключенного устройства уровня 2.
17.3R1
Начиная с Junos OS 17.3, можно использовать функцию отказов порта, чтобы заставить о конечном устройстве инициировать повторное согласование DHCP, что приводит к перепущению соединения на аутентификацию порта.
14.1X53-A2
Пакет приложений J-Web выпуска 14.1X53-A2 не поддерживает аутентификацию 802.1X на EX4600 коммутаторах.