Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

interface (802.1X)

语法

层次结构级别

描述

为所有接口或特定接口的基于端口的网络访问控制配置 IEEE 802.1X 身份验证。

选项

(all | [ interface-names ])

为 802.1x 身份验证配置接口名称列表或所有接口。

disable

禁用指定接口或所有接口上的 802.1X 身份验证。

  • 默认值: 在所有接口上禁用 802.1X 身份验证。

guest-bridge-domain guest-bridge-domain

(仅限 MX 系列)指定网桥域标记标识符或当接口上未连接 802.1X 请求方时接口移动到的访客网桥域的名称。指定的桥接域必须已存在于设备上。

guest-gbp-tag

(EX 或 QFX 系列)指定将接口移动到访客 VLAN 时要应用的 GBP 标记。如果配置了 并且guest-gbp-tag客户端在访客 VLAN 中进行身份验证,则还会为客户端安装配置的guest-gbp-tag过滤器。只能在配置选项guest-vlanvlan-id时配置 。guest-gbp-tag

  • 范围:1 到 65535。

guest-vlan (vlan-id | vlan-name

(仅限 EX、QFX 和 SRX 系列)指定 VLAN 标记标识符或接口移动到的访客 VLAN 的名称。设备上必须已存在指定的 VLAN。可以在使用 802.1X 身份验证的设备上配置访客 VLAN,以便为企业访客提供有限访问(通常仅访问互联网)。访客 VLAN 不用于发送错误凭据的请求方。这些请求方将被定向到服务器拒绝的 VLAN。

ignore-port-bounce

忽略授权更改 (CoA) 请求中包含的端口退回命令。CoA 请求是 RADIUS 消息,用于动态修改已在进行中的经过身份验证的用户会话。CoA 请求从身份验证、授权和核算 (AAA) 服务器发送到设备,通常用于根据设备分析更改主机的 VLAN。终端设备(如打印机)没有检测 VLAN 更改的机制,因此它们不会在新 VLAN 中续订其 DHCP 地址的租约。端口退回命令用于通过在经过身份验证的端口上引起链路抖动来强制终端设备启动 DHCP 重新协商。

  • 违约: 默认情况下支持端口退回命令。如果未配置 ignore-port-bounce 该语句,设备将通过轻拍链路来响应端口退回命令,从而重新启动终端设备的 DHCP 协商。

maximum-requests number

指定在身份验证会话超时之前将 EAPoL 请求数据包重新传输到请求方的最大次数。

  • 范围: 1 到 10

  • 默认值: 2

no-reauthentication | reauthentication seconds

禁用重新身份验证或配置 802.1X 身份验证会话超时且客户端必须重新尝试身份验证之前的秒数。

注意:

如果认证服务器向客户端发送认证会话超时,则此超时将优先于使用该语句在本地 reauthentication 配置的值。会话超时值作为 RADIUS 访问-接受消息的属性从服务器发送到客户端。

  • 范围: 1 到 65,535 秒

  • 违约: 重新身份验证已启用,在客户端可以尝试再次进行身份验证之前需要 3600 秒。

no-tagged-mac-authentication

不允许标记的 MAC 地址进行 RADIUS 身份验证。

quiet-period seconds

指定在请求方身份验证尝试失败后,接口在重新尝试身份验证之前保持等待状态的秒数。

  • 范围: 0 到 65,535 秒

  • 默认值: 60 秒

redirect-url redirect-url

指定将未经身份验证的主机重定向到中央 Web 身份验证 (CWA) 服务器的 URL。CWA服务器提供了一个门户网站,用户可以在其中输入用户名和密码。如果这些凭据由 CWA 服务器验证,则用户将进行身份验证并被允许访问网络。

中央 Web 身份验证的重定向 URL 可以在 AAA 服务器上集中配置,也可以在交换机本地配置。使用该 redirect-url 语句在将主机连接到交换机的接口上本地配置重定向 URL。

重定向 URL 和动态防火墙过滤器必须同时存在,才能触发中央 Web 身份验证过程。有关为中央 Web 身份验证配置重定向 URL 和动态防火墙过滤器的详细信息,请参阅 配置中央 Web 身份验证

注意:

使用特殊的过滤器 ID 属性 JNPR_RSVD_FILTER_CWA 配置动态防火墙过滤器时,CWA 重定向 URL 必须包含 AAA 服务器的 IP 地址,例如 https://10.10.10.10

  • 语法: 重定向 URL 必须使用 HTTP 或 HTTPS 协议,并包含 IP 地址或网站名称。以下是有效重定向 URL 格式的示例:

    • http://www.example.com

    • https://www.example.com

    • http://10.10.10.10

    • https://10.10.10.10

    • http://www.example.com/login.html

    • https://www.example.com/login.html

    • http://10.10.10.10/login.html

    • https://10.10.10.10/login.html

  • 违约: 禁用。默认情况下,不会为中央 Web 身份验证启用重定向 URL。

request-retry-count number

将身份验证服务器配置为重试向请求方发送 EAP 请求。这有助于防止由于请求方无响应而导致身份验证会话超时。重试次数基于配置的值。

  • 范围: 1 到 10 次重试

  • 默认值: 2 次重试

retain-mac-aged-session

即使 IEEE 802.1X 客户端的 MAC 地址老化,也要保持其活动状态,并再次重新学习 MAC 地址。

  • 违约: 禁用。

retries number

指定设备在初始失败后尝试对端口进行身份验证的次数。当超出限制时,端口将等待重新尝试使用在同一层次结构级别配置的选项指定的 quiet-period 秒数进行身份验证。

  • 范围: 1 到 10 次重试

  • 默认值: 3 次重试

server-fail (bridge-domain bridge-domain | deny | permit | use-cache | vlan-name vlan-name) gbp-tag gbp-tag

指定在 RADIUS 身份验证服务器不可用时如何支持连接到设备的终端设备。服务器故障回退最常在重新进行身份验证期间触发,当已配置和正在使用的 RADIUS 服务器变得不可访问时。但是,请求方最初尝试通过 RADIUS 服务器进行身份验证也可以触发服务器故障回退。

您必须指定在身份验证服务器不可用时设备应用于终端设备的操作。设备可以接受或拒绝请求方的访问,或者维护在 RADIUS 超时发生之前已授予请求方的访问权限。您还可以将交换机配置为将请求方移动到特定 VLAN 或网桥域。必须在设备上配置 VLAN 或网桥域。

注意:

server-fail 语句专门用于数据流量。对于 VoIP 标记的流量,请使用 server-fail-voip 语句。同一接口可以 server-fail 配置 VLAN 和 server-fail-voip VLAN。

  • 值: bridge-domain—(仅限 MX 系列)将接口上的请求方移动到由此名称或数字标识符指定的桥接域。仅当它是连接到接口的第一个请求方时,才允许此操作。如果经过身份验证的请求方已连接,则该请求方不会移动到桥接域,也不会经过身份验证。必须在设备上配置桥接域。

    deny— 强制请求方身份验证失败。没有流量会流经接口。

    permit— 强制请求方身份验证成功。流量将流经接口,就像 RADIUS 服务器已成功进行身份验证一样。

    use-cache- 仅当请求方身份验证之前已成功进行身份验证时,才强制请求方身份验证成功。此操作可确保已通过身份验证的请求方不受影响。

    vlan-name—(仅限 EX、QFX 或 SRX 系列)将接口上的请求方移至由此名称或数字标识符指定的 VLAN。仅当它是连接到接口的第一个请求方时,才允许此操作。如果已连接经过身份验证的请求方,则请求方不会移动到 VLAN,也不会经过身份验证。必须在设备上配置 VLAN。

  • 违约: 如果 RADIUS 身份验证服务器不可用,则终端设备不会进行身份验证,并被拒绝访问网络。

  • gbp 标记 gbp-tag—(EX 或 QFX 系列)指定在无法访问服务器时要在接口上应用的 GBP 标记。如果配置 且gbp-taggbp-tag客户端在 或 server-fail permitvlan-nameserver-fail进行身份验证,则还会为客户端安装配置的gbp-tag gbp-tag筛选器。

    只有在配置了server-failvlan-nameserver-failpermit选项时,才能配置此选项。

    范围:1 到 65535。
server-fail-voip (deny | permit | use-cache | vlan-name vlan-name)

(仅限 EX、QFX 系列)指定在 RADIUS 身份验证服务器不可用时如何支持发送语音流量的 VoIP 客户端。服务器故障回退最常在重新进行身份验证期间触发,当已配置和正在使用的 RADIUS 服务器变得不可访问时。但是,VoIP 客户端最初尝试通过 RADIUS 服务器进行身份验证也可以触发服务器故障回退。

您必须指定在身份验证服务器不可用时交换机应用于 VoIP 客户端的操作。交换机可以接受或拒绝对 VoIP 客户端的访问,或者维护在 RADIUS 超时发生之前已授予客户端的访问权限。您还可以将交换机配置为将 VoIP 客户端移动到特定 VLAN。VLAN 必须已在交换机上配置。

server-fail-voip 语句特定于客户端发送的 VoIP 标记流量。VoIP 客户端仍要求 server-fail 为其生成的未标记流量配置语句。因此,在配置 server-fail-voip 语句时,还必须配置 server-fail 语句。

注意:

server-fail deny 成功提交,必须配置为 以外的 server-fail-voip 选项。

  • 值: deny— 强制 VoIP 客户端身份验证失败。没有流量会流经接口。

    permit— 强制 VoIP 客户端身份验证成功。流量将流经接口,就像 RADIUS 服务器已成功进行身份验证一样。

    use-cache— 仅当 VoIP 客户端身份验证之前已成功进行身份验证时,才会强制 VoIP 客户端身份验证成功。此操作可确保已通过身份验证的客户端不受影响。

    vlan-name— 将接口上的 VoIP 客户端移动到由此名称或数字标识符指定的 VLAN。仅当它是连接到接口的第一个 VoIP 客户端时,才允许此操作。如果已连接经过身份验证的 VoIP 客户端,则该 VoIP 客户端不会移动到 VLAN,也不会经过身份验证。VLAN 必须已在交换机上配置。

  • 违约: 如果 RADIUS 身份验证服务器不可用,则通过发送语音流量开始身份验证的 VoIP 客户端不会进行身份验证,并且语音流量将被丢弃。

server-timeout seconds

指定在超时并调用服务器失败操作之前,将请求方的响应中继到身份验证服务器时,端口等待回复的时间量。

  • 范围: 1 到 60 秒

  • 默认值: 30 秒

supplicant (single | single-secure | multiple)

指定用于对客户端进行身份验证的基于 MAC 的方法。

  • 值: 指定下列选项之一:

    • 单一 — 仅对连接到验证器端口的第一个客户端进行身份验证。允许在第一个客户端之后连接到身份验证器端口的所有其他客户端自由访问该端口,而无需进一步身份验证。如果第一个经过身份验证的客户端注销,则所有其他请求方都将被锁定,直到客户端再次进行身份验证。

    • 单一安全 — 仅对一个客户端进行身份验证以连接到身份验证器端口。主机必须直接连接到交换机。

    • multi — 在一个身份验证器端口上分别对多个客户端进行身份验证。您可以配置每个端口的客户端数量。如果还配置了可通过端口安全设置连接到端口的最大设备数,则配置值中的较低者用于确定每个端口允许的最大客户端数。

  • 默认值: 单个

supplicant-timeout seconds

指定在重新发送请求之前,将请求从身份验证服务器中继到请求方时,端口等待响应的秒数。

  • 范围: 1 到 60 秒

  • 默认值: 30 秒

transmit-period seconds

指定端口在将初始 EAPoL PDU 重新传输到请求方之前等待的秒数。

  • 范围: 1 到 65,535 秒

  • 默认值: 30 秒

其余语句将单独解释。有关详细信息,请在 CLI 资源管理器 中搜索语句,或单击语法部分中的链接语句。

所需权限级别

路由 - 在配置中查看此语句。路由控制 - 将此语句添加到配置中。

发布信息

Junos OS 9.0 版中引入的语句。

gbp-tag gbp-tag and guest-gbp-tag guest-gbp-tag 在适用于 EX 和 QFX 系列交换机的 Junos OS 23.4R1 版中引入。

server-reject-vlan 在适用于 EX 系列交换机的 Junos OS 9.3 版中引入。

eapol-block 在 Junos OS 11.2 版中引入。

authentication-order 并在 redirect-url Junos OS 15.1R3 版中引入。

server-fail-voip 在适用于 EX 和 QFX 系列交换机的 Junos OS 14.1X53-D40 和 15.1R4 版本中引入。

ignore-port-bounce 在 Junos OS 17.3R1 版中引入。

multi-domain 在 Junos OS 18.3R1 版中引入。