Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

将 EX 系列交换机配置为使用 Junos Pulse 接入控制服务进行网络接入控制(CLI 过程)

 

您可以将交换机连接到 Junos Pulse 接入控制服务,以设置集中的端到端网络接入控制(NAC)系统,使您可以控制谁有权访问网络以及允许哪些资源获得这些用户。

接入控制服务既可作为一台认证服务器(RADIUS 服务器),也能用作集中式策略管理服务器

开始配置交换机以连接到接入控制服务之前:

  • 配置资源访问策略。

  • 获取接入控制服务的密码。

  • 获取接入控制服务的 IP 地址。

注意

为认证服务器、RADIUS 服务器和 infranet 控制器(NAC 设备)指定相同的 IP 地址。这些组件指的是相同的接入控制服务。

要将交换机配置为与接入控制服务配合使用:

  1. 将交换机配置为使用接入控制服务进行身份验证和授权:
    [edit ethernet-switching-options]

    user@switch# set uac-策略
  2. 配置访问配置文件以指定访问控制服务。访问配置文件包含认证和授权配置,可帮助处理身份验证和授权请求,包括身份验证方法和顺序以及访问控制服务地址:
    1. 配置 radius在尝试对用户进行身份验证时要使用的身份验证方法。对于每次登录尝试,软件都会按顺序尝试身份验证方法,从第一个开始,直到密码匹配:

      [edit access 配置文件]

      user@switch# set profile-name authentication-order radius
    2. 指定认证服务器的 IP 地址:

      注意

      指定与用于 RADIUS 服务器和 NAC 设备相同的 IP 地址。

      [edit access profile]

      user@switch# set profile-name radius 认证-服务器 ip-address
  3. 将 RADIUS 服务器配置为使用您为认证服务器指定的 IP 地址:
    [edit access]

    user@switch# set radius-server ip-address
  4. 配置用于将交换机与 RADIUS 服务器连接的密码: 注意

    此处指定的密码用于交换机和接入控制服务之间 RADIUS 通信。它不需要与通过访问控制服务上的管理接口在访问控制服务上指定的密码匹配。

    [edit access]

    user@switch# set radius-server secret password
  5. 配置接入控制服务 MAG 系列或 IC 系列 NAC 设备的地址:注意

    指定 NAC 设备的主机名和 IP 地址。这是您用于指定认证服务器的 IP 地址。

    [edit services united-access-control infranet-控制器 hostname]

    user@switch# set address ip-address
  6. 为 NAC 设备’配置交换机的管理以太网接口:
    [edit services united-access-control infranet-controller hostname]

    user@switch# set interface me0.0
  7. 配置用于将交换机连接到接入控制服务 NAC 设备的密码:注意

    此密码必须与接入控制服务上指定的密码匹配,但其管理接口。它用于交换机和接入控制服务之间 Junos UAC 实施器协议(JUEP)通信。

    [edit services united-access-control infranet-controller hostname]

    user@switch# set password password
  8. 配置交换机等待从接入控制服务接收响应的时间量:
    [edit services united-access-control]

    user@switch# set timeout seconds
  9. 指定与接入控制服务的交换机’连接的持续检查消息间隔时间:
    [edit services united-access-control]

    user@switch# set interval seconds
  10. 指定交换机和接入控制服务之间的连接发生超时时,要执行交换机的操作:
    [edit services united-access-control]

    user@switch# set timeout-action action
  11. 指定要用于 802.1 X、MAC RADIUS 或认证门户身份验证的访问配置文件的名称:注意

    使用先前配置的相同访问配置文件(步骤2)。

    [edit protocols dot1x]

    user@switch# set 认证器 身份验证-配置文件名称 profile-name
  12. 配置交换机将用于与接入控制服务通信的 802.1 X 接口:
    [edit protocols dot1x]

    user@switch# set authenticator interface interface-name