在本页
802.1X 身份验证
IEEE 802.1X 标准,适用于基于端口的网络接入控制,保护以太网 LAN 免受未经授权的用户访问。它会在接口上阻止进出请求方(客户端)的所有流量,直到请求方的凭据在身份验证服务器(RADIUS 服务器)上显示并匹配。当请求方通过身份验证后,请求方会停止阻止访问,并打开请求方的界面。有关更多信息,请阅读本主题。
802.1X 交换机概述
802.1X 身份验证的工作原理
802.1X 身份验证的工作原理是使用身份验证器端口访问实体(交换机)在端口阻止来自请求方(终端设备)的入口流量,直到请求方的凭据在身份验证服务器(RADIUS 服务器)上显示并匹配为止。通过身份验证后,交换机将停止阻止流量,并向请求方开放端口。
终端设备在以下模式下 进行身份验证:single supplicantsingle-secure supplicant multiple supplicant
-
单一请求方 — 仅对第一个终端设备进行身份验证。稍后连接到端口的所有其他终端设备都可以完全访问,而无需任何进一步的身份验证。它们有效地 利用 了第一终端设备的身份验证。
-
单一安全请求方 — 仅允许一台终端设备连接到端口。在第一台设备注销之前,不允许其他终端设备连接。
-
多请求方 — 允许多个终端设备连接到端口。每个终端设备都经过单独身份验证。
可以使用 VLAN 和防火墙过滤器进一步定义网络访问,这两者都充当过滤器,将终端设备组与其所需的 LAN 区域分开并匹配。例如,您可以配置 VLAN 以处理不同类别的身份验证故障,具体取决于:
-
终端设备是否支持 802.1X。
-
是否在主机连接的交换机接口上配置 MAC RADIUS 身份验证。
-
RADIUS 身份验证服务器是变得不可用还是发送 RADIUS 访问拒绝消息。请参阅配置 RADIUS 服务器故障回退(CLI 过程)。配置 RADIUS 服务器故障回退(CLI 过程)
802.1X 功能概述
瞻博网络以太网交换机支持以下 802.1X 功能:
-
访客 VLAN — 如果未在主机连接的交换机接口上配置 MAC RADIUS 身份验证,则对于未启用 802.1X 的无响应终端设备,提供对 LAN 的有限访问,通常仅访问互联网。此外,访客 VLAN 还可用于为访客用户提供对 LAN 的有限访问。通常,访客 VLAN 仅提供对互联网和其他访客终端设备的访问。
-
服务器拒绝 VLAN — 为启用了 802.1X 但发送了错误凭据的响应式终端设备提供对 LAN 的有限访问,通常仅访问互联网。如果使用服务器拒绝 VLAN 进行身份验证的终端设备是 IP 电话,则不允许语音流量。
-
服务器故障 VLAN — 在 RADIUS 服务器超时期间,为 802.1X 终端设备提供对 LAN 的有限访问,通常仅访问互联网。
-
动态 VLAN — 使终端设备在身份验证后能够动态成为 VLAN 的成员。
-
专用 VLAN — 允许在属于专用 VLAN (PVLAN) 成员的接口上配置 802.1X 身份验证。
-
对用户会话的动态更改 — 使交换机管理员能够终止已通过身份验证的会话。此功能基于对 RFC 3576 中定义的 RADIUS 断开连接消息的支持。
-
VoIP VLAN — 支持 IP 电话。IP 电话上语音 VLAN 的实施因供应商而异。如果电话启用了 802.1X,则会像任何其他请求方一样对其进行身份验证。如果电话未启用 802.1X,但有另一台兼容 802.1X 的设备连接到其数据端口,则该设备已经过身份验证,然后 VoIP 流量可以流入和流出电话(前提是接口配置为单请求模式,而不是单安全请求模式)。
注:不支持在专用 VLAN (PVLAN) 接口上配置 VoIP VLAN。
-
RADIUS 记帐 - 将记帐信息发送到 RADIUS 记帐服务器。每当订阅者登录或注销以及订阅者激活或停用订阅时,都会将记帐信息发送到服务器。
-
802.1X 的 RADIUS 服务器属性 — 是特定于供应商的属性 (VSA),可以在 RADIUS 服务器上进行配置,以在 802.1X 身份验证过程中进一步定义请求方的访问权限。
Juniper-Switching-Filter通过在身份验证服务器上集中配置属性,无需在请求方可能连接到 LAN 的 LAN 中的每台交换机上以防火墙过滤器的形式配置这些相同的属性。等 效于 RFC4849 属性 92 中引用的 NAS 过滤器规则。Juniper-Switching-Filter -
使用 Mist Access Assurance 通过 GBP 进行微分段和宏分段 — 您可以使用基于组的策略 (GBP),在虚拟可扩展 LAN (VXLAN) 架构中应用微分段和宏分段。GBP 利用底层 VXLAN 技术提供与位置无关的端点访问控制。借助 GBP,您可以跨企业网络域实施一致的安全策略。因此,您可以避免在所有交换机上配置大量防火墙过滤器,并简化网络配置。瞻博网络 Mist 云的网络访问控制 (NAC) 在 RADIUS 事务期间动态分配 GBP 标签。借助 RADIUS 802.1X 身份验证,网络运营商可以自动对用户或设备进行身份验证和授权,并允许他们进入网络。Juniper Mist Access Assurance 使用用户和设备身份来确定网络分配给每个用户的角色和网段。网络使用 VLAN 或 GBP 将用户分组到网段中。然后,瞻博网络 Mist Access Assurance 应用与每个分段关联的网络策略
我们目前在 EX4100、EX4400、EX4650、QFX5120-32C、QFX5120-48Y 和 QFX5120-48Y 虚拟机箱上支持此功能。
有关详细信息,请参阅, Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN
支持以下功能对未启用 802.1X 的设备进行身份验证:
-
静态 MAC 旁路 — 提供旁路机制来验证未启用 802.1X 的设备(如打印机)。静态 MAC 旁路将这些设备连接到支持 802.1X 的端口,绕过 802.1X 身份验证。
-
MAC RADIUS 身份验证 — 提供一种允许未启用 802.1X 的主机访问 LAN 的方法。MAC-RADIUS 使用客户端的 MAC 地址作为用户名和密码,模拟客户端设备的请求方功能。
中继端口上的 802.1X 身份验证
从 Junos OS 18.3R1 版开始,您可以在中继接口上配置 802.1X 身份验证,从而允许网络接入设备 (NAS) 对接入点 (AP) 或其他连接的第 2 层设备进行身份验证。连接到 NAS 的接入点或交换机将支持多个 VLAN,因此必须连接到中继端口。在中继接口上启用 802.1X 身份验证可保护 NAS 免受安全漏洞的影响,在这种漏洞中,攻击者可能会断开 AP 连接笔记本电脑,从而免费访问所有已配置的 VLAN 的网络。
在中继接口上配置 802.1X 身份验证时,请注意以下注意事项。
-
中继接口仅支持单一和单一安全请求方模式。
-
您必须在中继接口上本地配置 802.1X 身份验证。如果使用命令全局 配置 802.1X 身份验证,则配置不会应用于中继接口。
set protocol dot1x interface all -
中继接口不支持动态 VLAN。
-
中继接口不支持访客 VLAN 和服务器拒绝 VLAN。
-
中继接口不支持 VoIP 客户端的服务器故障回退 ()。
server-fail-voip -
不支持使用强制网络门户在中继端口上进行身份验证。
-
聚合接口不支持中继端口上的身份验证。
-
中继端口不支持在属于专用 VLAN (PVLAN) 成员的接口上配置 802.1X 身份验证。
第 3 层接口上的 802.1X 身份验证
从 Junos OS 20.2R1 版开始,您可以在第 3 层接口上配置 802.1X 身份验证。在第 3 层接口上配置 802.1X 身份验证时,请注意以下注意事项:
-
仅支持支持 EAP 的客户端。
-
仅支持单个请求模式。
-
您必须在第 3 层接口上本地配置 802.1X 身份验证。如果使用命令全局 配置 802.1X 身份验证,则该配置不会应用于第 3 层接口。
set protocol dot1x interface all -
对第 3 层接口的支持不包括 IRB 或子接口。
-
不支持访客 VLAN、服务器拒绝 VLAN 和服务器故障 VLAN。
-
不支持 VoIP 客户端的服务器故障回退 ()。
server-fail-voip -
对于在第 3 层接口上进行身份验证的客户端,仅接受来自身份验证服务器的以下属性,作为 RADIUS 访问-接受或 COA 消息的一部分:
-
用户名
-
会话超时
-
呼叫站-ID
-
会话标识
-
网络存储端口 ID
-
端口反弹
-
Junos OS 演化版软件上的 802.1X 支持
从 Junos OS 演化版 22.3R1 开始,您可以在第 2 层接口上配置 802.1X 身份验证。对于第 2 层接口上的 802.1X 身份验证,应遵循以下注意事项。
-
不支持的功能包括:
-
访客 VLAN、服务器拒绝 VLAN 和服务器故障 VLAN
-
VoIP 客户端的服务器故障回退(服务器故障 VoIP)
-
动态 VLAN
-
使用强制门户和中央 Web 身份验证 (CWA) 在第 2 层接口上进行身份验证。
-
-
对于在第 2 层接口上进行身份验证的客户端,RADIUS 访问接受或 COA 消息的身份验证服务器不支持的属性包括:
-
Ip-mac-session-binding
-
Juniper-CWA-重定向
-
瞻博网络交换过滤器
-
过滤器 ID
-
隧道-中型
-
Juniper-VoIP-VLAN
-
出口 VLAN 名称
-
出口 VLAN ID
-
隧道类型
-
隧道专用组 ID
-
-
如果 IRB 位于桥接域中,则启用 802.1x 的端口不会丢弃单安全和多请求模式下的路由流量,即使用户未通过身份验证也是如此。第 2 层接口上启用 802.1x 的端口仅针对单个请求方模式配置丢弃路由流量。
另请参阅
配置 802.1X 接口设置(CLI 过程)
IEEE 802.1X 身份验证提供网络边缘安全性,通过在接口上阻止请求方(客户端)的所有流量,直到请求方的凭据在 (RADIUS 服务器) 上 显示和匹配,保护以太网 LAN 免受未经授权的用户访问。authentication server 请求方通过身份验证后,交换机将停止阻止访问,并打开请求方的接口。
您还可以指定 802.1X 排除列表,以指定可以绕过身份验证并自动连接到 LAN 的请求方。请参阅配置 802.1X 的静态 MAC 旁路和 MAC RADIUS 身份验证(CLI 过程)。配置 802.1X 的静态 MAC 旁路和 MAC RADIUS 身份验证(CLI 过程)
您无法在已启用 Q-in-Q 隧道的接口上配置 802.1X 用户身份验证。
在开始之前,请指定要用作身份验证服务器的一个或多个 RADIUS 服务器。请参阅在交换机上指定 RADIUS 服务器连接 (CLI 过程)。在交换机上指定 RADIUS 服务器连接(CLI 过程)
要在接口上配置 802.1X:
另请参阅
了解 RADIUS 发起的对授权用户会话的更改
使用基于客户端/服务器 RADIUS 模型的身份验证服务时,请求通常由客户端发起并发送到 RADIUS 服务器。在某些情况下,请求可能由服务器发起并发送到客户端,以便动态修改已在进行中的经过身份验证的用户会话。接收和处理消息的客户端是充当网络访问服务器或 NAS 的交换机。服务器可以向交换机发送请求终止会话的断开连接消息,或请求修改会话授权属性的授权更改 (CoA) 消息。
交换机侦听 UPD 端口 3799 上未经请求的 RADIUS 请求,并仅接受来自受信任源的请求。发送断开连接或 CoA 请求的授权基于源地址和相应的共享密钥确定,必须在交换机和 RADIUS 服务器上进行配置。有关在交换机上配置源地址和共享密钥的更多信息,请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
断开消息
RADIUS 服务器向交换机发送断开连接请求消息,以终止用户会话并丢弃所有关联的会话上下文。如果请求成功,交换机将使用断开连接 ACK 消息来响应断开连接请求数据包,也就是说,丢弃所有关联的会话上下文且用户会话不再连接;如果请求失败,即身份验证器无法断开会话并丢弃所有关联的会话上下文,交换机将使用断开连接-NAK 数据包。
在断开连接-请求消息中,RADIUS 属性用于唯一标识交换机 (NAS) 和用户会话。消息中包含的 NAS 标识属性和会话标识属性的组合必须至少与一个会话匹配,请求才能成功;否则,交换机将以断开连接 NAK 消息进行响应。断开连接-请求消息只能包含 NAS 和会话标识属性;如果包含任何其他属性,交换机将通过断开连接 NAK 消息进行响应。
更改授权消息
授权更改 (CoA) 消息包含用于动态修改用户会话的授权属性以更改授权级别的信息。这是两步身份验证过程的一部分,其中首先使用 MAC RADIUS 身份验证对端点进行身份验证,然后根据设备类型进行分析。CoA 消息用于应用适合设备的实施策略,通常是通过更改数据过滤器或 VLAN。
如果授权更改成功,交换机将响应带有 CoA-ACK 消息的 CoA 消息,如果更改不成功,交换机将响应带有 CoA-NAK 消息的 CoA-NAK 消息。如果无法执行 CoA-Request 消息中指定的一个或多个授权更改,交换机将使用 CoA-NAK 消息进行响应。
在 CoA 请求消息中,RADIUS 属性用于唯一标识交换机(充当 NAS)和用户会话。消息中包含的 NAS 标识属性和会话标识属性的组合必须与至少一个会话的标识属性匹配,请求才能成功;否则,交换机将使用 CoA-NAK 消息进行响应。
CoA-Request 数据包还包括会话授权属性,如果请求被接受,这些属性将被修改。下面列出了支持的会话授权属性。CoA 消息可以包含任何或所有这些属性。如果任何属性未包含在 CoA-Request 消息中,NAS 将假定该属性的值保持不变。
过滤器 ID
隧道专用组 ID
瞻博网络交换过滤器
Juniper-VoIP-VLAN
会话超时
CoA 请求端口退回
使用 CoA 消息更改经过身份验证的主机的 VLAN 时,终端设备(如打印机)没有检测 VLAN 更改的机制,因此它们不会在新 VLAN 中续订其 DHCP 地址的租约。从 Junos OS 17.3 版开始,端口退回功能可用于通过在经过身份验证的端口上引起链路抖动来强制终端设备启动 DHCP 重新协商。
退回端口的命令是使用瞻博网络供应商特定属性 (VSA) 从 RADIUS 服务器发送的。如果在来自 RADIUS 服务器的 CoA 消息中收到以下 VSA 属性值对,则端口将被退回:
瞻博网络 AV 对 =“端口退回”
要启用端口退回功能,必须使用瞻博网络 AV 对 VSA 更新 RADIUS 服务器上的 Junos 字典文件 ()。juniper.dct 找到字典文件并将以下文本添加到该文件中:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
有关添加 VSA 的详细信息,请参阅 FreeRADIUS 文档。
您可以通过在 [] 层次结构级别配置语句来禁用该功能。ignore-port-bounceedit protocols dot1x authenticator interface interface-name
错误原因代码
当断开连接或 CoA 操作不成功时,NAS 向服务器发送的响应消息中可以包含错误原因属性(RADIUS 属性 101),以提供有关问题原因的详细信息。如果检测到的错误未映射到受支持的错误原因属性值之一,路由器将发送不带错误原因属性的消息。有关可从 NAS 发送的响应消息中包含的错误原因代码的说明,请参阅 。表 1
编码 |
value |
Description |
|---|---|---|
201 |
删除了剩余会话上下文 |
如果一个或多个用户会话不再处于活动状态,但找到并成功删除了剩余会话上下文,则发送以响应断开连接请求消息。此代码仅在断开连接 ACK 消息中发送。 |
401 |
不支持的属性 |
请求包含不受支持的属性(例如,第三方属性)。 |
402 |
缺少属性 |
请求中缺少关键属性(例如,会话标识属性)。 |
403 |
NAS 标识不匹配 |
请求包含一个或多个与接收请求的 NAS 的身份不匹配的 NAS 标识属性。 |
404 |
无效的请求 |
请求的其他一些方面无效,例如,如果一个或多个属性的格式不正确。 |
405 |
不支持的服务 |
请求中包含的“服务类型”属性包含无效或不受支持的值。 |
406 |
不支持的扩展 |
接收请求的实体(NAS 或 RADIUS 代理)不支持 RADIUS 发起的请求。 |
407 |
属性值无效 |
请求包含具有不受支持的值的属性。 |
501 |
行政上禁止 |
NAS 配置为禁止接受指定会话的断开连接请求或 CoA 请求消息。 |
503 |
找不到会话上下文 |
NAS 上不存在请求中标识的会话上下文。 |
504 |
会话上下文不可删除 |
由请求中的属性标识的订阅者归不受支持的组件所有。此代码仅在断开连接 NAK 消息中发送。 |
506 |
资源不可用 |
由于缺少可用的 NAS 资源(如内存),无法满足请求。 |
507 |
请求已启动 |
CoA 请求消息包括值为“仅授权”的服务类型属性。 |
508 |
不支持多会话选择 |
请求中包含的会话标识属性与多个会话匹配,但 NAS 不支持应用于多个会话的请求。 |
使用 RADIUS 服务器属性过滤 802.1X 请求方
有两种方法可以使用端口防火墙过滤器(第 2 层防火墙过滤器)配置 RADIUS 服务器:
-
在“瞻博网络交换过滤器”属性中包含一个或多个过滤器术语。瞻博网络交换过滤器属性是特定于供应商的属性 (VSA),列在 RADIUS 服务器上瞻博网络词典的属性 ID 号 48 下。使用此 VSA 为 802.1X 经过身份验证的用户配置简单的筛选条件。无需在交换机上配置任何内容;所有配置都在 RADIUS 服务器上。
-
在每台交换机上配置本地防火墙过滤器,并将该防火墙过滤器应用于通过 RADIUS 服务器进行身份验证的用户。将此方法用于更复杂的筛选器。必须在每台交换机上配置防火墙过滤器。
注:如果在用户使用 802.1X 身份验证进行身份验证后修改了防火墙过滤器配置,则必须终止并重新建立已建立的 802.1X 身份验证会话,防火墙过滤器配置更改才能生效。
本主题包含以下任务:
在 RADIUS 服务器上配置防火墙过滤器
从 Junos OS 演化版 22.4R1 开始,您可以在一行中配置多个源和目标端口(或端口范围),而无需再次重复匹配条件。此功能可缩短 VSA 长度,还有助于减小半径响应数据包的大小。
交换过滤器允许配置以太类型、IP、源标签、源端口和目标端口的值列表。
Juniper-Switching-Filter = match dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow
Juniper-Switching-Filter = match dst-port 500 source-tag [ 100, 200 ] action allow
Juniper-Switching-Filter = match src-port 9090 ip-proto [ 25 17] action allow
Juniper-Switching-Filter = match ether-type [ 3000-4000 8000 ] action allow
您可以使用 RADIUS 服务器上瞻博网络词典中的“瞻博网络交换过滤器”属性配置简单过滤条件。每当新用户成功通过身份验证时,这些过滤器都会发送到交换机。过滤器创建并应用于通过该 RADIUS 服务器对用户进行身份验证的所有 EX 系列交换机,而无需在每台交换机上进行任何配置。
此过程介绍如何使用 FreeRADIUS 软件配置瞻博网络交换过滤器 VSA。有关配置服务器的特定信息,请参阅服务器附带的 AAA 文档。
要配置瞻博网络交换过滤器属性,请使用 RADIUS 服务器的 CLI 输入一个或多个过滤器术语。每个筛选项都由具有相应操作的匹配条件组成。使用以下语法输入括在引号 (“ ”) 内的筛选术语:
Juniper-Switching-Filter = “match <destination-mac mac-address> <source-vlan vlan-name> <source-dot1q-tag tag> <destination-ip ip-address> <ip-protocol protocol-id> <source-port port> <destination-port port> action (allow | deny) <forwarding-class class-of-service> <loss-priority (low | medium | high)>”
筛选条件中可以包含多个匹配条件。在过滤器术语中指定多个条件时,必须全部满足这些条件,数据包才能与过滤器术语匹配。例如,以下过滤器术语要求数据包 同时 匹配目标 IP 地址和目标 MAC 地址才能满足术语标准:
Juniper-Switching-Filter = “match destination-ip 10.10.10.8 destination-mac 00:00:00:01:02:03 action allow”
多个过滤器术语应用逗号分隔,例如:
Juniper-Switching-Filter = “match destination-mac 00:00:00:01:02:03 action allow, match destination-port 80 destination-mac 00:aa:bb:cc:dd:ee action allow”
有关匹配条件和操作的定义,请参阅 瞻博网络交换过滤器 VSA 匹配条件和操作 。瞻博网络交换过滤器 VSA 指南、匹配条件和操作
在 EX9200 交换机上,以及在以 EX9200 作为聚合设备的 Junos Fusion Enterprise 中,动态防火墙过滤器会严格应用于所有 IP 数据包。如果过滤器配置为仅允许特定目标 IP 地址,则根据过滤器规则,将丢弃以其他 IP 地址作为目标 IP 的数据包。这包括任何 IP 协议数据包,例如 DHCP、IGMP 和 ARP 数据包。
要在 RADIUS 服务器上配置匹配条件:
从 RADIUS 服务器应用本地配置的防火墙过滤器
您可以从 RADIUS 服务器集中将端口防火墙过滤器(第 2 层防火墙过滤器)应用于用户策略。然后,RADIUS 服务器可以指定要应用于请求身份验证的每个用户的防火墙过滤器,从而减少在多个交换机上配置相同防火墙过滤器的需要。如果防火墙过滤器包含大量条件,或者您希望对不同交换机上的同一过滤器使用不同的条件,请使用此方法。必须在每台交换机上配置防火墙过滤器。
有关防火墙过滤器的详细信息,请参阅 EX 系列交换机的防火墙过滤器概述。Firewall Filters for EX Series Switches Overview
要从 RADIUS 服务器集中应用端口防火墙过滤器,请执行以下操作:
如果还为接口在本地配置了端口防火墙过滤器,则当使用 VSA 配置的防火墙过滤器与本地配置的端口防火墙过滤器冲突时,这些过滤器优先。如果没有冲突,它们将被合并。
示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机
802.1X 是基于端口的网络访问控制 (PNAC) 的 IEEE 标准。您可以使用 802.1X 控制网络访问。仅允许提供已根据用户数据库验证的凭据的用户和设备访问网络。您可以将 RADIUS 服务器用作 802.1X 身份验证以及 MAC RADIUS 身份验证的用户数据库。
此示例介绍如何将 RADIUS 服务器连接到 EX 系列交换机,并将其配置为 802.1X:
要求
此示例使用以下软件和硬件组件:
适用于 EX 系列交换机的 Junos OS 9.0 或更高版本
一台 EX 系列交换机充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的端口形成一个控制门,用于阻止进出请求方的所有流量,直到它们通过身份验证。
一个支持 802.1X 的 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。
在将服务器连接到交换机之前,请确保您已:
已在交换机上执行基本桥接和VLAN配置。请参阅描述为交换机设置基本桥接和 VLAN 的文档。如果您使用的交换机支持增强型第 2 层软件 (ELS) 配置样式,请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN。对于所有其他交换机,请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
注:有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLI。
RADIUS 身份验证服务器上配置的用户。
概述和拓扑
EX 系列交换机充当身份验证器 PAE。它阻止所有流量并充当控制门,直到请求方(客户端)通过服务器身份验证。所有其他用户和设备都将被拒绝访问。
显示了连接到 中 所列设备的一台 EX4200 交换机。图 1表 2
| 属性 | 设置 |
|---|---|
交换机硬件 |
EX4200 接入交换机,24 个千兆以太网端口:8 个 PoE 端口(ge-0/0/0 到 ge-0/0/7)和 16 个非 PoE 端口(ge-0/0/8 到 ge-0/0/23) |
VLAN 名称 |
默认 |
一台 RADIUS 服务器 |
地址连接到交换机端口 的后端数据库 10.0.0.100ge-0/0/10 |
此示例将 RADIUS 服务器连接到 EX4200 交换机上的访问端口 ge-0/0/10。交换机充当验证方,并将请求方的凭据转发到 RADIUS 服务器上的用户数据库。您必须通过指定服务器的地址并配置秘密密码来配置 EX4200 与 RADIUS 服务器之间的连接。此信息在交换机上的接入配置文件中配置。
配置
程序
CLI 快速配置
要将 RADIUS 服务器快速连接到交换机,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
分步过程
要将 RADIUS 服务器连接到交换机:
定义服务器的地址,并配置机密密码。交换机上的密钥密码必须与服务器上的密钥密码匹配:
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
配置身份验证顺序,进行 第一种身份验证方法:radius
[edit] user@switch# set access profile profile1 authentication-order radius
配置要按顺序尝试的服务器 IP 地址列表,以验证请求方:
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
成果
显示配置结果:
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$ABC123"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证交换机和 RADIUS 服务器是否正确连接
目的
验证 RADIUS 服务器是否已连接到指定端口上的交换机。
操作
Ping RADIUS 服务器以验证交换机与服务器之间的连接:
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms意义
ICMP 回显请求数据包从交换机发送到目标服务器 10.0.0.100,以测试服务器是否可通过 IP 网络访问。从服务器返回 ICMP 回显响应,验证交换机和服务器是否已连接。
了解基于 RADIUS 属性的动态过滤器
您可以使用 RADIUS 服务器属性在 RADIUS 身份验证服务器上实施端口防火墙过滤器。这些筛选器可以动态应用于通过该服务器请求身份验证的请求方。RADIUS 服务器属性是在成功通过身份验证时从身份验证服务器发送到交换机的 Access-Accept 消息中的明文字段。交换机作为身份验证方,使用 RADIUS 属性中的信息将相关过滤器应用于请求方。动态过滤器可以应用于同一交换机上的多个端口,也可以应用于使用同一身份验证服务器的多个交换机,从而为网络提供集中访问控制。
您可以使用瞻博网络交换过滤器属性直接在 RADIUS 服务器上定义防火墙过滤器,该属性是瞻博网络特有的 RADIUS 属性,也称为供应商特定属性 (VSA)。RFC 2138, 远程身份验证拨入用户服务 (RADIUS) 中介绍了 VSA。瞻博网络交换过滤器 VSA 列在 RADIUS 服务器上瞻博网络词典的属性 ID 号 48 下,供应商 ID 设置为瞻博网络 ID 号 2636。使用此属性,您可以在身份验证服务器上定义过滤器,这些过滤器将应用于通过该服务器对请求方进行身份验证的所有交换机。此方法无需在多个交换机上配置相同的过滤器。
或者,您可以使用 Filter-ID 属性(即 RADIUS 属性 ID 编号 11)将端口防火墙过滤器应用于同一交换机上的多个端口。要使用过滤器 ID 属性,必须先在交换机上配置过滤器,然后将过滤器名称作为过滤器 ID 属性的值添加到 RADIUS 服务器上的用户策略中。当其中一个策略中定义的请求方由 RADIUS 服务器进行身份验证时,过滤器将应用于已为请求方进行身份验证的交换机端口。如果防火墙过滤器具有复杂条件,或者您希望对不同交换机上的同一过滤器使用不同的条件,请使用此方法。Filter-ID 属性中命名的过滤器必须在交换机的 [] 层次结构级别进行本地配置。edit firewall family ethernet-switching filter
VSA 仅支持 802.1X 单请求方配置和多请求方配置。
另请参阅
了解使用 RADIUS 属性的动态 VLAN 分配
VLAN 可由 RADIUS 服务器动态分配给通过该服务器请求 802.1X 身份验证的请求方。您可以使用 RADIUS 服务器属性在 RADIUS 服务器上配置 VLAN,当连接到交换机的请求方请求身份验证时,这些属性是封装在从身份验证服务器发送到交换机的消息中的明文字段。交换机作为身份验证方,使用 RADIUS 属性中的信息将 VLAN 分配给请求方。根据身份验证结果,在一个 VLAN 中开始身份验证的请求方可能会被分配到另一个 VLAN。
成功的身份验证要求在充当 802.1X 身份验证器的交换机上配置 VLAN ID 或 VLAN 名称,并且与身份验证期间 RADIUS 服务器发送的 VLAN ID 或 VLAN 名称匹配。如果两者都不存在,则不会对终端设备进行身份验证。如果建立了访客 VLAN,则未经身份验证的终端设备将自动移动到访客 VLAN。
RFC 2868, 隧道协议支持的 RADIUS 属性中描述的用于动态 VLAN 分配的 RADIUS 服务器属性。
隧道类型 - 定义为 RADIUS 属性类型 64。该值应设置为 。
VLAN隧道介质类型 - 定义为 RADIUS 属性类型 65。该值应设置为 。
IEEE-802隧道专用组 ID - 定义为 RADIUS 属性类型 81。该值应设置为 VLAN ID 或 VLAN 名称。
有关在 RADIUS 服务器上配置动态 VLAN 的详细信息,请参阅 RADIUS 服务器的文档。
另请参阅
在 EX 系列交换机上配置 VLAN 组
使用 VLAN 组功能,您可以在 VLAN 之间分配客户端。启用此功能后,您可以将单个无线 LAN (WLAN) 与单个 VLAN 或多个 VLAN 对齐。配置 VLAN 组时,客户端将分配给其中一个已配置的 VLAN。此功能支持 VLAN 组中跨 VLAN 动态均衡用户负载。此功能遵循轮询算法将用户分配到 VLAN 组中的下一个可用 VLAN。
对于动态 VLAN 负载平衡,您可以在属性中添加 VLAN 组名称,而不是常规 VLAN ID 或 VLAN 名称 (在 RFC 2868 中定义为 RADIUS 属性类型 81)。Tunnel-Private-Group-ID 随后,当请求方通过 RADIUS 服务器请求 802.1X 身份验证时,您将在 RADIUS 响应中发送此信息。当交换机收到 VLAN 组名称时,交换机会使用轮询算法将端点分配给该组中的一个 VLAN。VLAN 组允许从预配置列表中分配 VLAN,从而减少了管理员对网络负载平衡的需求。
配置 VLAN 组时,请注意:
-
您最多可以配置 4096 个 VLAN 组。
-
您必须先创建 VLAN,然后才能将其分配给客户端。分配期间将忽略交换机上不存在的任何 VLAN。
-
VLAN 名称不能与 VLAN 组名称相同。
-
VoIP VLAN 不应是 VLAN 组的一部分。VoIP VLAN(如果存在)将被忽略。
-
删除 VLAN 时,与该 VLAN 关联的所有经过 802.1X 身份验证的会话都将终止。
-
您可以删除 VLAN 组,而不会对已分配给该 VLAN 组中 VLAN 的客户端造成任何中断。
-
您可以从 VLAN 组中删除 VLAN,而不会对已分配给该 VLAN 的客户端造成任何中断。但是,在以下情况下,客户端可能会面临中断:
-
客户端会话过期。
-
使用授权更改 (CoA) 请求执行重新身份验证或角色更改。
-
要在 EX 系列交换机上配置 VLAN 组:
另请参阅
了解交换机上 802.1X 的访客 VLAN
可以在使用 802.1X 身份验证的交换机上配置访客 VLAN,以便为企业访客提供有限访问(通常仅访问互联网)。在以下情况下,访客 VLAN 用作回退:
请求方未启用 802.1X,并且不响应 EAP 消息。
尚未在请求方连接的交换机接口上配置 MAC RADIUS 身份验证。
尚未在请求方连接的交换机接口上配置强制网络门户。
访客 VLAN 不用于发送错误凭据的请求方。这些请求方将被定向到服务器拒绝的 VLAN。
对于未启用 802.1X 的终端设备,访客 VLAN 可以允许对服务器的有限访问,未启用 802.1X 的终端设备可以从该服务器下载请求方软件并再次尝试身份验证。
另请参阅
示例:当 RADIUS 服务器对 EX 系列交换机不可用时,配置 802.1X 身份验证选项
通过服务器故障回退,您可以指定在 RADIUS 身份验证服务器不可用时如何支持连接到交换机的 802.1X 请求方。
您可以使用 802.1X 控制网络访问。仅允许提供已根据用户数据库验证的凭据的用户和设备(请求方)访问网络。使用 RADIUS 服务器作为用户数据库。
此示例介绍如何配置接口以在 RADIUS 服务器超时时将请求方移动到 VLAN:
要求
此示例使用以下软件和硬件组件:
此示例也适用于QFX5100交换机。
适用于 EX 系列交换机的 Junos OS 9.3 或更高版本
一台 EX 系列交换机充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的端口形成一个控制门,用于阻止进出请求方的所有流量,直到它们通过身份验证。
一个支持 802.1X 的 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。
在将服务器连接到交换机之前,请确保您已:
已在交换机上执行基本桥接和VLAN配置。请参阅描述为交换机设置基本桥接和 VLAN 的文档。如果您使用的交换机支持增强型第 2 层软件 (ELS) 配置样式,请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN 或 示例:在交换机上设置基本桥接和 VLAN。对于所有其他交换机,请参阅示例:为 EX 系列交换机设置基本桥接和 VLAN。
注:有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLI。
在交换机和 RADIUS 服务器之间建立连接。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
在身份验证服务器上配置的用户。
概述和拓扑
如果在请求方登录并尝试访问 LAN 时无法访问身份验证 RADIUS 服务器,则会发生 RADIUS 服务器超时。使用服务器故障回退,可以为尝试 LAN 访问的请求方配置替代选项。您可以将交换机配置为接受或拒绝请求方的访问,或者在 RADIUS 服务器超时之前保持已授予请求方的访问权限。此外,您可以将交换机配置为在发生 RADIUS 超时时将请求方移动到特定 VLAN。
图 2 显示了用于此示例的拓扑。RADIUS 服务器连接到接入端口 上的 EX4200 交换机。ge-0/0/10 交换机充当验证方端口访问实体 (PAE),并将请求方的凭据转发到 RADIUS 服务器上的用户数据库。交换机会阻止所有流量并充当控制门,直到请求方通过身份验证服务器的身份验证。请求方通过接口 ge-0/0/1 连接到交换机。
此数字也适用于QFX5100交换机。
表 3 描述了此拓扑中的组件。
| 属性 | 设置 |
|---|---|
交换机硬件 |
EX4200 接入交换机,24 个千兆以太网端口:16 个非 PoE 端口和 8 个 PoE 端口。 |
VLAN 名称 |
default Vlan vlan-sf Vlan |
请求者 |
请求方尝试访问接口 ge-0/0/1 |
一台 RADIUS 服务器 |
地址为“已连接到交换机”端口 的后端数据库 10.0.0.100ge-0/0/10 |
在此示例中,将接口 ge-0/0/1 配置为在 RADIUS 超时期间尝试访问 LAN 的请求方移动到另一个 VLAN。RADIUS 超时会阻止正常交换将信息从 RADIUS 服务器传输到交换机并允许对请求方进行身份验证的 EAP 消息。默认 VLAN 在接口 ge-0/0/1 上配置。发生 RADIUS 超时时,接口上的请求方将从默认 VLAN 移动到名为 vlan-sf 的 VLAN。
拓扑
配置
程序
CLI 快速配置
要在交换机上快速配置服务器故障回退,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit protocols dot1x authenticator] set interface ge-0/0/1 server-fail vlan-name vlan-sf
分步过程
要将接口配置为在发生 RADIUS 超时时将请求方转移到特定 VLAN(此处为 VLAN ):vlan-sf
定义请求方转移到的 VLAN:
[edit protocols dot1x authenticator] user@switch# set interface ge-0/0/1 server-fail vlan-name vlan-sf
成果
显示配置结果:
user@switch> show configuration
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members default;
}
}
}
}
protocols {
dot1x {
authenticator {
interface {
ge-0/0/1.0 {
server-fail vlan-name vlan-sf;
}
}
}
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证请求方是否已在 RADIUS 超时期间移动到备用 VLAN
目的
验证接口是否在 RADIUS 超时期间将请求方移动到备用 VLAN。
在运行支持 ELS 的 EX 系列版 Junos OS 的交换机上,命令输出 将包含其他信息。show vlans 如果您的交换机运行的软件支持 ELS,请参阅 显示 vlan。show vlans有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLILayer 2 Networking
操作
显示在交换机上配置的 VLAN;接口 是 VLAN 的成员 :ge-0/0/1.0default
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/0.0, ge-0/0/1.0*, ge-0/0/5.0*, ge-0/0/10.0,
ge-0/0/12.0*, ge-0/0/14.0*, ge-0/0/15.0, ge-0/0/20.0
v2 77
None
vlan—sf 50
None
mgmt
me0.0*
在交换机上显示 802.1X 协议信息,以查看在接口 上进行身份验证的请求方:ge-0/0/1.0
user@switch> show dot1x interface brief 802.1X Information: Interface Role State MAC address User ge-0/0/1.0 Authenticator Authenticated 00:00:00:00:00:01 abc ge-0/0/10.0 Authenticator Initialize ge-0/0/14.0 Authenticator Connecting ge-0/0/15.0 Authenticator Initialize ge-0/0/20.0 Authenticator Initialize
发生 RADIUS 服务器超时。显示以太网交换表,以显示具有先前通过 VLAN 访问 LAN 的 MAC 地址的请求方现在正在名为 的 VLAN 上获知:00:00:00:00:00:01defaultvlan-sf
user@switch> show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned VLAN MAC address Type Age Interfaces v1 * Flood - All-members vlan—sf 00:00:00:00:00:01 Learn 1:07 ge-0/0/1.0 default * Flood - All-members
显示 802.1X 协议信息,以显示接口 正在连接并将向请求方开放 LAN 访问:ge-0/0/1.0
user@switch> show dot1x interface brief
802.1X Information:
Interface Role State MAC address User
ge-0/0/1.0 Authenticator Connecting
ge-0/0/10.0 Authenticator Initialize
ge-0/0/14.0 Authenticator Connecting
ge-0/0/15.0 Authenticator Initialize
ge-0/0/20.0 Authenticator Initialize
意义
该命令将 接口 显示为 VLAN 的成员 。show vlansge-0/0/1.0default 该 命令显示请求方 () 已在接口 上进行身份验证并具有 MAC 地址 。show dot1x interface briefabcge-0/0/1.000:00:00:00:00:01 发生 RADIUS 服务器超时,交换机无法访问身份验证服务器。该 命令显示 MAC 地址 是在 VLAN 上获知的。show-ethernet-switching table00:00:00:00:00:01vlan-sf 请求方已从 VLAN 移动到 VLAN。defaultvlan-sf 然后,请求方通过名为 的 VLAN 连接到 LAN。vlan-sf
示例:在 EX 系列交换机上配置 EAP-TTLS 身份验证和 Odyssey 接入客户端的回退选项
对于 802.1X 用户身份验证,EX 系列交换机支持使用可扩展身份验证协议隧道 TLS (EAP-TTLS) 对 Odyssey Access Client (OAC) 请求方进行身份验证的 RADIUS 身份验证服务器。OAC 网络软件在端点计算机(台式机、笔记本电脑或记事本计算机以及支持的无线设备)上运行,并提供对有线和无线网络的安全访问。
此示例介绍如何在交换机上配置启用 802.1X 的接口,以便为输入错误登录凭据的 OAC 用户提供回退支持:
要求
此示例使用以下软件和硬件组件:
此示例也适用于QFX5100交换机。
适用于 EX 系列交换机的 Junos OS 11.2 或更高版本
一台 EX 系列交换机充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的端口形成一个控制门,用于阻止进出请求方的所有流量,直到它们通过身份验证。
一个支持 802.1X 的 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。
一个 OAC 终端设备充当请求方。
在开始配置回退选项之前,请确保您已:
在交换机和 RADIUS 服务器之间建立连接。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
已在服务器上配置 EAP-TTLS。请参阅 RADIUS 服务器文档。
在 RADIUS 服务器上配置的用户。请参阅 RADIUS 服务器文档。
概述和拓扑
OAC 是在端点计算机(台式机、笔记本电脑或记事本)和支持的无线设备上运行的网络软件。OAC 为 EAP 提供全面支持,这是安全无线 LAN 访问所必需的。
在此拓扑中,OAC 部署了支持 802.1X 的交换机和 RADIUS 服务器。交换机用作网络安全架构中的实施点。此拓扑:
确保只有授权用户才能连接。
维护登录凭据的隐私。
通过无线链路维护数据隐私。
此示例包括在交换机上配置服务器拒绝 VLAN,该 VLAN 可用于防止输入错误登录凭据的用户意外锁定。可以向这些用户授予有限的 LAN 访问权限。
但是,由于 OAC 请求方和 RADIUS 服务器使用的是 EAP-TTLS,因此此回退配置变得复杂。EAP-TTLS 在服务器和终端设备之间创建安全加密隧道以完成身份验证过程。当用户输入不正确的登录凭据时,RADIUS 服务器会通过此隧道将 EAP 失败消息直接发送到客户端。EAP 失败消息会导致客户端重新启动身份验证过程,以便交换机的 802.1X 身份验证过程会断开与使用服务器拒绝 VLAN 的交换机建立的会话。您可以通过配置以下内容来启用补救连接以继续:
eapol-block— 在配置为属于服务器拒绝 VLAN 的 802.1X 接口上启用 EAPoL 块计时器。块计时器会导致身份验证端口访问实体忽略来自客户端的 EAP 启动消息,尝试重新启动身份验证过程。
注:EAPoL 块计时器仅在 802.1X 接口上配置的允许重试次数(使用 选项)用尽后才会触发。retries 您可以配置为 指定交换机在初始故障后尝试对端口进行身份验证的次数。retries 默认值为三次重试。
block-interval— 配置您希望 EAPoL 块计时器继续忽略 EAP 启动消息的时间量。如果未配置块间隔,则 EAPoL 块计时器默认为 120 秒。
当 802.1X 接口忽略来自客户端的 EAP 启动消息时,交换机将允许通过服务器拒绝 VLAN 建立的现有补救会话保持打开状态。
这些配置选项适用于单个、单个安全和多个请求方身份验证模式。在此示例中,802.1X 接口配置为单请求模式。
图 3 显示了将 OAC 终端设备连接到 RADIUS 服务器的 EX 系列交换机,并指示用于连接网络实体的协议。
此数字也适用于QFX5100交换机。
拓扑
表 4 描述了此 OAC 部署中的组件:
| 属性 | 设置 |
|---|---|
交换机硬件 |
EX 系列交换机 |
VLAN |
default server-reject-vlan:VLAN 名称 为,VLAN ID 为 remedial700 |
802.1X 接口 |
ge-0/0/8 |
OAC 请求方 |
EAP-TTLS |
一台 RADIUS 身份验证服务器 |
EAP-TTLS |
配置
程序
CLI 快速配置
要快速配置 EAP-TTLS 和 OAC 请求方的回退选项,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set vlans remedial vlan-id 700 set protocols dot1x authenticator interface ge-0/0/8 retries 4 set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan remedial set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan eapol-block set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan block-interval 130
分步过程
要为 EAP-TTLS 和 OAC 请求方配置回退选项,请执行以下操作:
在此示例中,交换机只有一个服务器拒绝 VLAN。因此,配置将指定 并紧跟在 之后。eapol-blockblock-intervalserver-reject-vlan 但是,如果在交换机上配置了多个 VLAN,则必须紧跟在后面 添加 VLAN 名称或 VLAN ID,以指示正在修改的 VLAN。server-reject-vlan
配置将用作服务器拒绝 VLAN 的 VLAN,以便为输入错误登录凭据的用户提供有限的 LAN 访问:
[edit] user@switch# set vlans remedial vlan-id 700
配置在将不正确的登录定向到服务器拒绝 VLAN 之前提示客户端输入用户名和密码的次数:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set retries 4
将 802.1X 身份验证器接口配置为使用服务器拒绝 VLAN 作为错误登录的回退:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan remedial
在配置为属于服务器拒绝 VLAN 的 802.1X 接口上启用 EAPoL 块计时器。
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan eapol-block
配置 EAPoL 块保持有效的时间长度:
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan block-interval 130
成果
检查配置结果:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
retries 4;
server-reject-vlan remedial block-interval 130 eapol-block;
}
验证
要确认配置和回退选项是否正常工作,请执行以下任务:
验证 802.1X 接口的配置
目的
验证 802.1X 接口是否配置了所需的选项。
操作
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 4
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 120 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPoL requests: 2
Guest VLAN member: guest
Number of connected supplicants: 1
Supplicant: tem, 2A:92:E6:F2:00:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Radius
Authenticated VLAN: remedial
Session Reauth interval: 120 seconds
Reauthentication due in 68 seconds
意义
命令输出显示接口处于 VLAN 状态且正在使用 VLAN。show dot1x ge-0/0/8 detailge-0/0/8Authenticatedremedial
监控 802.1X 身份验证
目的
本主题仅适用于 J-Web 应用程序包。
使用监视功能可显示经过身份验证的用户和身份验证失败的用户的详细信息。
操作
要在 J-Web 界面中显示身份验证详细信息,请选择 > > 。MonitoringSecurity802.1X
要在 CLI 中显示身份验证详细信息,请输入以下命令:
show dot1x interface detail | display xmlshow dot1x interface detail <interface> | display xmlshow dot1x auth-failed-users
意义
显示的详细信息包括:
经过身份验证的用户的列表。
连接的用户数。
身份验证失败的用户的列表。
您还可以指定必须显示其详细信息的接口。
另请参阅
验证 802.1X 身份验证
目的
验证请求方是否在配置为 802.1X 身份验证的交换机上的接口上进行身份验证,并显示正在使用的身份验证方法。
操作
显示有关为 802.1X 配置的接口的详细信息(此处的接口为 ge-0/0/16):
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: v200
Reauthentication due in 17 seconds意义
命令 的示例输出显示 是 1。经过身份验证现在连接到 LAN 的请求方称为 在 RADIUS 服务器上,并具有 MAC 地址 。show dot1x interface detailNumber of connected supplicantsuser500:30:48:8C:66:BD 请求方通过称为 RADIUS 身份验证的 802.1X 身份验证方法进行身份验证,如输出中所示 。Radius 使用 RADIUS 身份验证时,请求方在 RADIUS 服务器上配置,RADIUS 服务器将此传送给交换机,交换机在请求方连接的接口上打开 LAN 访问。示例输出还显示请求方已连接到 VLAN 。v200
除 RADIUS 身份验证外,EX 系列交换机上支持的其他 802.1X 身份验证方法包括:
访客 VLAN — 向无响应主机授予访客 VLAN 访问权限。
MAC 半径 — 根据其 MAC 地址对无响应的主机进行身份验证。MAC 地址在 RADIUS 服务器上配置为允许的,RADIUS 服务器通知交换机该 MAC 地址是允许的地址,交换机将授予对其所连接接口上的无响应主机的 LAN 访问权限。
服务器故障拒绝 — 如果 RADIUS 服务器超时,将拒绝所有请求方访问 LAN,从而阻止请求方的流量遍历接口。这是默认设置。
服务器故障许可 — 当 RADIUS 服务器不可用时,仍允许请求方访问 LAN,就像请求方已通过 RADIUS 服务器成功进行身份验证一样。
服务器故障使用缓存 — 如果 RADIUS 服务器在重新身份验证期间超时,则先前经过身份验证的请求方将被授予 LAN 访问权限,但新请求方将被拒绝 LAN 访问。
服务器故障 VLAN — 如果 RADIUS 服务器无法对请求方重新进行身份验证,则请求方配置为移动到指定的 VLAN。(VLAN 必须已存在于交换机上。)
另请参阅
EX 系列交换机上终端设备的身份验证故障排除
问题
Description
运行清除 dot1x 接口命令以清除所有获知的 MAC 地址后,使用静态 MAC 地址配置的终端设备将失去与交换机的连接。
在清除 MAC 地址之前:
user@switch# run show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members default 00:a0:d4:00:03:00 Learn 0 ge-3/0/16.0 user@switch> show dot1x authentication-bypassed-users MAC address Interface VLAN 00:a0:d4:00:03:00 ge-3/0/16.0 configured/default
要清除 MAC 地址:
user@switch> clear dot1x interface
清除 MAC 地址后:
user@switch> show ethernet-switching table Ethernet-switching table: 2 entries, 0 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members user@switch> show dot1x authentication-bypassed-users
请注意,身份验证绕过列表中没有终端设备。
原因
静态 MAC 地址的处理方式与接口上其他获知的 MAC 地址相同。运行 clear dot1x 接口命令时,它会从接口中清除所有获知的 MAC 地址,包括静态 MAC 旁路列表(也称为排除列表)。
解决方案
如果对配置了用于身份验证旁路的静态 MAC 地址的接口运行清除 dot1x 接口命令,请将静态 MAC 地址重新添加到静态 MAC 绕过列表中。
另请参阅
802.1X 支持的 RADIUS 属性和瞻博网络供应商特定属性 (VSA)
身份验证器(网络访问服务器)、请求方(客户端)和身份验证服务器都参与 802.1X 身份验证(RADIUS 服务器)。RADIUS 协议用作 NAS 与 Radius 服务器之间通信的请求/响应机制。请求和请求中都有零个或多个类型长度值 (TLV/属性)。
通过使用 802.1X 启用的一组标准已定义功能和特定于供应商的属性,可以限制每个申请人的访问。(客户端)。某些属性可以多次使用以支持更长的值,因为 Radius 类属性的最大大小为 253 字节。
使用 RADIUS 标准属性和 VSA 的优势
要与外部 RADIUS 服务器连接以进行订阅者身份验证、授权和记帐,需要 RADIUS 标准属性。
VSA 支持实现订阅者管理和服务支持所需的许多有价值的功能,从而将 RADIUS 服务器的功能扩展到公共标准属性提供的功能之外。
802.1X 支持的半径属性和 VSA 列表
| 类型 | 属性 |
|---|---|
|
1 |
用户名 |
|
11 |
过滤器 ID |
|
24 |
State |
|
25 |
类 |
|
26 |
特定于供应商 |
|
27 |
会话超时 |
|
56 |
出口-VLANID |
|
57 |
出口 VLAN 名称 |
|
64 |
隧道类型 |
|
65 |
隧道-中型 |
|
81 |
隧道专用组 ID |
|
85 |
期间间隔 |
|
102 |
EAP 密钥名称 |
| 供应商 ID | 数量 | 瞻博网络 VSA | 微软 VSA | 思科 VSA |
|---|---|---|---|---|
| 2636 | 48 | 瞻博网络交换过滤器 | ||
| 49 | Juniper-VoIP-VLAN | |||
| 50 | Juniper-CWA-Redirect-URL | |||
| 52 幢 | 瞻博网络 AV 对 = 端口反弹 |
|||
|
Juniper-AV 对 = Juniper ip-mac-session-binding |
||||
|
Juniper-AV-Pair = No-Mac-Binding-Reauth |
||||
|
瞻博网络 AV 对 = 请求方模式单一 |
||||
|
瞻博网络 AV 对 = 请求方模式单一安全 |
||||
|
Juniper-AV-Pair = Retain-Mac-Aged-Session |
||||
| 311 | 16 个 | MS-MPPE-Send-Key | ||
| 17 | MS-MPPE-Recv-Key | |||
| 9 | 1 |
Cisco-AVPair = “subscriber:command=bounce-host-port” |
||
|
Cisco-AVPair =“subscriber:command=reauthenticate” |
||||
|
Cisco-AVPair = “订阅者:重新验证类型=重新运行” |
||||
| “订阅者:重新验证类型=最后” | ||||
| “网址重定向” |
802.1X 支持的 RADIUS 属性
用户名:
必须验证的用户的名称由此属性指示。如果可用,则必须使用访问请求数据包来发送此属性。此属性的 RADIUS 类型为 1。
过滤器 ID:
在 RADIUS 服务器上,用户策略可以受防火墙过滤器的约束。然后,可以使用 RADIUS 服务器指定要应用于提交身份验证请求的每个用户的防火墙过滤器。每个交换机都需要配置防火墙过滤器。
You must set up firewall filter on the local switch in order to apply filter centrally from the RADIUS server.[root@freeradius]# cd /usr/local/pool/raddb vi users
为每个相关用户添加筛选器。
Filter-Id = Filter1
州/省:
在设备和 RADIUS 服务器之间,可以使用 String 属性保留状态信息。此属性的 RADIUS 类型为 24。
出口 VLANID:
此端口允许的 IEEE 802 出口 VLANID 由出口 VLANID 属性表示,该属性还指定除了 VLANID 之外,是否允许标记帧或未标记帧使用 VLANID。出口 VLANID 属性在 RFC 4675 中定义。
来自访问请求、访问接受或 CoA 请求数据包的出口 VLANID 属性可能包含多个值。任何访问质询、访问拒绝、断开连接请求、断开连接 ACK、断开连接 NAK、CoA-ACK 或 CoA-NAK 都不得包含此特征。每个属性都会将提供的 VLAN 添加到端口允许的出口 VLAN 列表中。
如果 VLAN 上的帧已标记 (0x31) 或未标记 (0x31),则“标记指示”字段(长度为一个八位字节)将声明该帧。VLANID 的长度为 12 位,包含 VLAN VID 值。
对于出口 VLAN ID:
0x31 = tagged 0x32 = untagged
例如,以下 RADIUS 配置文件包含一个已标记的 VLAN 和一个未标记的 VLAN:
001094001177 Cleartext-Password := "001094001177" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLANID += 0x3100033, Egress-VLANID += 0x3200034,
出口 VLAN 名称:
出口 VLAN 名称表示此端口允许的 VLAN。但是,与出口 VLANID 属性类似,VLAN 名称用于标识系统中的 VLAN,而不是使用已定义或已知的 VLAN ID。RFC 4675 包含出口 VLAN 名称属性的定义。
VLAN 名称是由两部分组成的“出口 VLAN-名称”属性的第二部分,该属性还指定此端口的 VLAN 上的帧应以标记格式还是未标记格式显示。
对于出口 VLAN 名称:1 = 已标记,2 = 未标记
The example below shows that VLAN 1vlan-2 is tagged, while VLAN 2vlan-3 is not.001094001144 Cleartext-Password := "001094001144" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
隧道类型:
此属性指定当前正在使用的隧道协议或将使用的隧道协议(对于隧道启动器)(对于隧道终止器)。RFC 2868 指定“隧道类型”属性。此属性的 RADIUS 类型为 64
隧道专用组 ID:
会话的 VLAN ID 或名称由“隧道介质类型”属性显示。从 RADIUS 获取为隧道专用组 ID 属性提供的值后,设备会验证收到的字符串是 VLAN 名称还是 ID,并检查设备是否设置了 VLAN。
如果已配置 VLAN,则会将客户端端口添加到该 VLAN。否则,由于 VLAN 验证失败,客户端将不被允许,并将保持保留状态。
根据 RFC 2868,此属性的 RADIUS 类型为 81。
[root@freeradius]# cat /usr/local/etc/raddb/users supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005",
临时间隔:
Acct-Interim-Interval 属性的值表示每次传输特定会话的临时更新之间的时间间隔(以秒为单位)。自上次记帐更新消息以来经过的秒数是此属性的值。
管理员也可以在 RADIUS 客户端上本地设置最小值,但此值始终优先于在访问-接受数据包中检测到的任何 Acct-Interim-Interval 值。此属性的 RADIUS 类型为 85。
瞻博网络 VSA
瞻博网络交换过滤器:
RADIUS 服务器上瞻博网络词典中的“瞻博网络交换过滤器”属性允许您指定直接的过滤条件。之后,每当新用户成功获得授权时,这些过滤器就会传送到交换机。
使用 RADIUS 服务器进行用户身份验证的交换机会自动构建和应用过滤器,而无需任何特定于交换机的配置。在 RADIUS 服务器中输入一个或多个匹配条件、操作和用户关联,以配置瞻博网络交换过滤器属性。
对于较长的交换过滤器,请使用瞻博网络交换过滤器属性的多个实例,最大匹配条件限制为 20 个,最大总大小为 4000 个字符。任何 RADIUS 属性的最大长度为 253 个字符,因此“瞻博网络交换过滤器”属性的每一行也应少于 253 个字符。
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter = "match src-tag dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow ", Juniper-Switching-Filter += "match src-port 500 dst-port 600 src-tag [ 100, 200 ] action allow ", Juniper-Switching-Filter += "match ip-proto src-port 9090 ip-proto [ 25 17] action allow ", Juniper-Switching-Filter += "match src-port 100-120 200-220 300-320 src-tag ip-proto 26 18 action allow ", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000 ] ip-proto 240 action allow "
支持以下筛选器匹配条件:
· destination-mac / dst-mac · destination-port / dst-port · destination-ip / dst · ip-protocol / ip-proto · source-port / src-port · source-dot1q-tag / src-tag · ether-type
- Allow · Deny · GBP · Trap to CPU · Loss-Priority · Forwarding-Class
i) 验证瞻博网络词典是否已加载到 RADIUS 服务器上,并包含过滤属性瞻博网络交换过滤器,属性 ID 48:
[root@freeradius]# cat /usr/local/share/freeradius/dictionary.juniper # dictionary.juniper # $ # VENDOR Juniper 2636 BEGIN-VENDOR Juniper ATTRIBUTE Juniper-Local-User-Name 1 string ATTRIBUTE Juniper-Allow-Commands 2 string ATTRIBUTE Juniper-Deny-Commands 3 string ATTRIBUTE Juniper-Allow-Configuration 4 string ATTRIBUTE Juniper-Deny-Configuration 5 string ATTRIBUTE Juniper-Switching-Filter 48 string ATTRIBUTE Juniper-VoIP-Vlan 49 string ATTRIBUTE Juniper-CWA-Redirect 50 string ATTRIBUTE Juniper-AV-Pair 52 string END-VENDOR Juniper
ii) 输入匹配条件和操作。
[root@freeradius]# cd /usr/local/etc/raddb vi users
对于每个相关用户,添加“瞻博网络交换过滤器”属性。要根据目标 MAC 拒绝或允许访问,请使用
Juniper-Switching-Filter = "Match Destination mac 00:00:00:01:02:03 Action allow",
(也称为数字签名
Juniper-Switching-Filter = "Match Destination-mac 00:00:00:01:02:03 Action deny",
要根据目标 IP 地址拒绝或允许访问,请执行以下操作:
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action deny"
(也称为数字签名
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action allow"
要发送具有不同匹配项和操作的多个过滤器,请执行以下操作:
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter += "Match Ip-protocol 1 Destination-port 53 Action allow,", Juniper-Switching-Filter += "Match ip-proto [ 17, 25 ] dst-port 53 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 2 src-port 67 Action allow,", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000] action deny,", Juniper-Switching-Filter += "Match destination-port 23 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 6 Destination-port 80 Action trap,",
(也称为数字签名
Juniper-Switching-Filter = "Match Ip-protocol 6 Destination-port 53 Action allow , Match Ip-protocol [ 17 25] Destination-port 53 Action allow , Match Ether-type [2054-2070] Action deny, Match Ip-protocol 6 Destination-port 443 Action trap"
要根据目标 MAC 地址和 IP 协议将数据包丢失优先级 (PLP) 设置为高:
Juniper-Switching-Filter = "match destination-mac 00:04:0f:fd:ac:fe, ip-protocol 2, forwarding-class high, action loss-priority high"
必须在交换机上设置转发类,转发类选项才能生效。如果未在交换机上指定此选项,则不使用此选项。必须同时指定丢包优先级和转发类。
Juniper-VoIP-VLAN:
使用 VSA Juniper-VoIP-VLAN 在访问接受消息或 COA 请求消息中从 RADIUS 服务器检索 VOIP VLAN。此属性为数字 49。
Juniper-VoIP-Vlan = "voip_vlan"
VoIP 允许您将 IP 电话连接到交换机,并为兼容 802.1X 的 IP 电话设置 IEEE 802.1X 身份验证。
得益于 802.1X 身份验证,以太网 LAN 可以防止非法用户访问。称为VoIP的协议用于通过分组交换网络传输语音。VoIP 使用网络连接(而不是模拟电话线)来传输语音呼叫。当 VoIP 与 802.1X 一起使用时,RADIUS 服务器会验证电话的身份,而链路层发现协议 - 媒体端点发现 (LLDP-MED) 会为电话提供服务等级 (CoS) 参数。
Juniper-CWA-Redirect:
借助瞻博网络-CWA-重定向 VSA(瞻博网络 RADIUS 字典中的属性编号为 50),可以在 AAA 服务器上集中配置重定向 URL。动态防火墙过滤器和 URL 都由 AAA 服务器通过相同的 RADIUS 访问-接受消息传送到交换机。作为一种备份认证机制,中央 Web 认证 (CWA) 将主机的 Web 浏览器重定向到中央 Web 认证服务器。用户可以在CWA服务器的Web界面上输入用户名和密码。如果 CWA 服务器接受用户的凭据,则会对用户进行身份验证并授予其访问网络的权限。
主机通过 MAC RADIUS 身份验证后,将使用中央 Web 身份验证。交换机作为身份验证器,从 AAA 服务器接收 RADIUS 访问-接受消息,其中包含动态防火墙过滤器和用于集中 Web 身份验证的重定向 URL。
要激活中央 Web 身份验证过程,需要同时存在重定向 URL 和动态防火墙过滤器。要使用瞻博网络交换过滤器 VSA 进行中央 Web 身份验证,您必须直接在 AAA 服务器上配置过滤器术语。过滤器必须包含一个术语,以将 CWA 服务器的目标 IP 地址与操作允许相匹配。
例如:
001122334455 Auth-Type := EAP, Cleartext-Password :="001122334455" Session-Timeout = "300", Juniper-CWA-Redirect-URL = "https://10.10.10.10", Juniper-Switching-Filter = "Match Destination-ip 10.10.10.10 Action allow, Match ip-protocol 17 Action allow, Match Destination-mac 00:01:02:33:44:55 Action deny"
对于重定向 URL,交换机不会解析 DNS 查询。要启用 CWA 服务器的目标 IP 地址,必须配置瞻博网络交换过滤器属性。
瞻博网络 AV 对:
Juniper-AV-Pair 属性是瞻博网络供应商特定的属性 (VSA)。为了提供订阅者管理和服务支持所需的许多重要功能,它用于增强 RADIUS 服务器的功能,使其超出公共标准属性提供的功能。
i) 端口退回:
使用 CoA 退回主机端口命令,会话将结束,端口将被退回(启动链路关闭事件,然后启动链路启动事件)。该请求由 RADIUS 服务器以典型的 CoA 请求消息发送,其中 VSA 如下所示:
Juniper-AV-Pair = "Port-Bounce".
此命令需要“会话标识”一节中列出的一个或多个会话标识属性,因为它是面向会话的。如果找不到会话,设备将发送一条 CoA-NAK 消息,其中包含错误代码属性“找不到会话上下文”。
设备关闭托管端口 4 秒钟,再次启用(端口退回),如果已找到会话,则返回 CoA-ACK。
ii) Ip-Mac会话绑定:
这用于在设备的 MAC 地址老化并需要重新学习时阻止该设备的身份验证会话终止。我们通过访问接受或 COA 请求消息从 VSA 瞻博网络 AV 对接收此属性值。
使用以下两个属性-值对配置 RADIUS 服务器,以便基于 IP-MAC 地址绑定维护身份验证会话。
Juniper-AV-Pair = "IP-Mac-Session-Binding Juniper-AV-Pair = "No-Mac-Binding-Reauth"
iii) No-Mac-Binding-reauth:
这用于阻止客户端重新身份验证,并在设备的 MAC 地址过时时阻止身份验证会话终止。此属性值由 VSA 瞻博网络 AV 对通过访问接受或 COA 请求消息发送给我们。
Juniper-AV-Pair = "No-Mac-Binding-Reauth" Detailed information is provided in the document: Retain the Authentication Session Using IP-MAC Bindings
iv) 请求方模式单一:
The device switches from the current set mode to single in response to receiving this attribute-value from a VSA Juniper-AV-Pair on an access-accept or COA request message.Juniper-AV-Pair = "Supplicant-Mode-Single"
v) 请求方模式单一安全:
设备从当前设置模式切换到单一安全模式,以响应通过访问接受或 COA 请求消息从 VSA 瞻博网络 AV-Pair 接收此属性值。
Juniper-AV-Pair = "Supplicant-Mode-Single-Secure"
(六) 保留会议:
If this attribute-value is received from a VSA Juniper-AV-Pair on an access-accept message for an 802.11X client, the client stays active even if the mac has aged out, and the mac is re-learned.Juniper-AV-Pair = "Retain-Mac-Aged-Session"
MS-MPPE-Send-Key & MS-MPPE-Recv-Key:
These are the MACSEC CAK generation keys together with the EAP key name that are utilised in dynamic CAK scenarios.Cisco-AVPair:
Cisco Systems, IANA private enterprise number 9, uses a single VSA, Cisco-AVPair (26-1). Based on the values it has, this VSA transmits various pieces of information. In some subscriber access networks with a BNG connected to a RADIUS server and a Cisco BroadHop application that serves as the Policy Control and Charging Rules Function (PCRF) server for provisioning services using RADIUS change of authorization (CoA) messages, you can use this VSA in RADIUS messages to activate and deactivate services.当 BNG 传递 RADIUS 消息时,您无法更改记帐、CoA 或身份验证答案中的任何属性。
i) Cisco-AVPair = “subscriber:command=bounce-host-port”
会话结束,端口通过 CoA 退回主机端口命令退回(启动链路关闭事件,然后启动链路事件)。该请求由 AAA 服务器以典型的 CoA 请求消息发送,下面列出了 VSA。
Cisco:Avpair=“subscriber:command=bounce-host-port”
此命令需要“会话标识”一节中列出的一个或多个会话标识属性,因为它是面向会话的。如果找不到会话,设备将发送一条 CoA-NAK 消息,其中包含错误代码属性“找不到会话上下文”。设备关闭托管端口 4 秒钟,再次启用(端口退回),如果已找到会话,则返回 CoA-ACK。
ii) Cisco-AVPair 重新验证命令
要启动会话身份验证,AAA 服务器会发送包含以下 VSA 的标准 CoA 请求消息:
Cisco:Avpair=“subscriber:command=reauthenticate” Cisco:Avpair=“subscriber:reauthenticate-type=<last | rerun>”
reauthenticate-type 定义 CoA 重新身份验证请求是使用上次在会话上成功的身份验证方法,还是完全重新运行身份验证过程。
"subscriber:command=reauthenticate" 必须存在才能导致重新进行身份验证。默认操作是在未给出“订阅者:重新身份验证类型”的情况下重复以前用于会话的成功身份验证方法。如果该方法成功重新进行身份验证,则所有以前的授权数据都将换成新重新验证的授权数据。
仅当“subscriber:command=reauthenticate”也存在时,“subscriber:reauthenticate-type”才有效。如果 VSA 包含在另一个 CoA 命令中,则会忽略它。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。