Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Гибкий порядок аутентификации на коммутаторах серии EX

Junos OS поддерживают 802.1X, MAC-RADIUS и Captive Portal в качестве способов аутентификации устройств, требующих подключения к сети. С помощью функции гибкого порядка аутентификации можно указать порядок методов аутентификации, используемых коммутатором при попытке аутентификации клиента. Если на одном интерфейсе настроено несколько методов аутентификации, при неудаче одного метода коммутатор возвращается к другому методу. Дополнительные сведения можно получить на этом тему.

Настройка гибкого порядка аутентификации

С помощью функции гибкого порядка аутентификации можно указать порядок методов аутентификации, используемых коммутатором при попытке аутентификации клиента. Если на одном интерфейсе настроено несколько методов аутентификации, при неудаче одного метода коммутатор возвращается к другому методу.

По умолчанию коммутатор сначала пытается аутентификацию клиента с помощью аутентификации по стандарту 802.1X. Если аутентификация 802.1X не удалась, потому что клиент не получил ответа, а аутентификация MAC RADIUS настроена на интерфейсе, коммутатор попытается аутентификацию с помощью MAC-RADIUS. Если mac-RADIUS сбой и Captive Portal интерфейсе, коммутатор пытается аутентификацию с помощью Captive Portal.

При гибком порядке аутентификации последовательность используемого метода аутентификации может быть изменена в зависимости от типа клиентов, подключенных к интерфейсу. Можно настроить утверждение, чтобы указать, будет ли аутентификация 802.1X или MAC-RADIUS аутентификацией первым методом authentication-order аутентификации. Captive Portal всегда является последним методом аутентификации.

Если аутентификация MAC RADIUS настроена как первый метод аутентификации по порядку, то при получении данных от любого клиента коммутатор пытается аутентификацию клиента с помощью аутентификации MAC RADIUS аутентификацией. Если аутентификация MAC RADIUS не удались, коммутатор использует аутентификацию 802.1X для аутентификации клиента. Если аутентификация 802.1X не удалась и на Captive Portal интерфейсе настроена аутентификация 802.1X, коммутатор пытается Captive Portal.

Прим.:

Если аутентификация 802.1X и MAC-RADIUS не Captive Portal на интерфейсе не настроены, клиенту отказано в доступе к LAN, если не настроен метод отказоустойкости сервера. Дополнительные сведения см. RADIUS перепада интерфейс командной строки сервера.

Параллельно на интерфейсе, настроенном в многопротопротованном режиме, могут быть использованы различные методы аутентификации. Поэтому, если на интерфейсе аутентификация о конечном устройстве происходит с помощью Captive Portal, то еще одно о конечном устройстве, подключенное к этому интерфейсу, все равно может быть аутентификация с помощью аутентификации 802.1X или MAC RADIUS аутентификацией.

Прежде чем настраивать гибкий порядок аутентификации на интерфейсе, убедитесь, что методы аутентификации на этом интерфейсе настроены. Коммутатор не пытается аутентификацию с помощью метода, который не настроен на интерфейсе, даже если этот метод включен в порядок аутентификации; коммутатор игнорирует этот метод и пытается следующий метод в порядке аутентификации, который включен на этом интерфейсе.

При настройке инструкции используйте следующие authentication-order инструкции:

  • Порядок аутентификации должен включать как минимум два метода аутентификации.

  • Аутентификация 802.1X должна быть одним из методов, включенных в порядок аутентификации.

  • Если Captive Portal включен в порядок аутентификации, это должен быть последний метод в порядке.

  • Если он настроен на интерфейсе, то порядок аутентификации на этом интерфейсе mac-radius-restrict настраиваться не будет.

Чтобы настроить гибкий порядок аутентификации, используйте одну из следующих действительных комбинаций:

Прим.:

Порядок аутентификации можно настраивать глобально с помощью параметра, а также interface all локально с использованием отдельного имени интерфейса. Если порядок аутентификации настроен как для отдельного интерфейса, так и для всех интерфейсов, локализованная конфигурация для этого интерфейса переопределяет глобальную конфигурацию.

  • Чтобы настроить аутентификацию 802.1X в качестве первого метода аутентификации, за которым следует аутентификация MAC-RADIUS, а затем Captive Portal:
  • Для настройки аутентификации 802.1X в качестве первого метода аутентификации следуют Captive Portal:
  • Чтобы настроить аутентификацию 802.1X в качестве первого метода аутентификации, за которым следует аутентификация MAC-RADIUS:
  • Чтобы настроить аутентификацию MAC RADIUS в качестве первого метода аутентификации, за которым следует 802.1X и Captive Portal:

После настройки порядка аутентификации необходимо использовать эту команду для внесения любых изменений insert в порядок аутентификации. Использование команды set не меняет настроенного порядка.

Изменение порядка аутентификации после начальной настройки:

Например, чтобы изменить порядок, [mac-radius dot1x captive portal][dot1x mac-radius captive portal] с:

Настройка блока EAPoL для поддержания существующего сеанса аутентификации

Когда коммутатор, действующий как аутентиатор 802.1X, получает сообщение EAP-Start от аутентификации клиента, коммутатор пытается пере аутентификацию клиента с помощью метода 802.1X и обычно возвращает сообщение EAP-Request и ждет ответа. Если клиент не отвечает, коммутатор пытается пере аутентификацию клиента с помощью MAC-RADIUS или Captive Portal, если эти методы были настроены. Клиенты, аутентификация на RADIUS или Captive Portal MAC-телефонии не реагирует, и трафик отброшен на интерфейсе при попытке повторной аутентификации коммутатора.

Если на интерфейсе настроен гибкий порядок аутентификации таким образом, что MAC-RADIUS используется для аутентификации клиента, коммутатор по-прежнему использует 802.1X для повторной аутентификации, если клиент отправляет сообщение EAP-Start, даже если клиент успешно прошел аутентификацию с помощью аутентификации MAC RADIUS аутентификации. Блок EAPoL можно настроить с помощью фиксированного или гибкого порядка аутентификации. Если утверждение не было authentication-order настроено, по умолчанию порядок установлен. Можно eapol-block настроить утверждение как сконфигурировать, так и не настроить authentication-order его.

Можно настроить коммутатор на игнорирование сообщений EAP-Start, отправленных от клиента, который был аутентификацией MAC RADIUS аутентификацией или аутентификацией Captive Portal с помощью eapol-block утверждения. Если коммутатор получает сообщение EAP-Start от клиента, блок сообщений EAPoL не возвращает сообщение EAP-Request и существующий сеанс аутентификации поддерживается.

Прим.:

Если конечная точка не была аутентификацией MAC RADIUS или Captive Portal аутентификацией, блок EAPoL не действует. Конечная точка может аутентификацию с помощью аутентификации 802.1X.

Если этот параметр настроен, то после аутентификации клиента с помощью аутентификации MAC RADIUS или CWA (аутентификации по центральному вебу), клиент остается в состоянии аутентификации, даже если он отправляет сообщение eapol-blockmac-radius EAP-Start. Если этот параметр настроен, то после аутентификации Captive Portal клиент остается в состоянии аутентификации даже при отправке сообщения eapol-blockcaptive-portal EAP-Start.

Прим.:

Эта функция поддерживается на EX4300 и EX9200 коммутаторах.

Чтобы настроить блок сообщений EAPoL для поддержания существующего сеанса аутентификации:

  • Настройка блока EAPoL для аутентификации клиента с помощью аутентификации MAC RADIUS аутентификации:
  • Настройка блока EAPoL для аутентификации клиента с помощью Captive Portal аутентификации: