interface (802.1X)
语法
interface (all | [ interface-names ]) {
authentication-order (captive-portal | dot1x | mac-radius);
disable;
eapol-block {
captive-portal;
mac-radius;
server-fail <block-interval>;
}
guest-bridge-domain guest-bridge-domain;
guest-gbp-tag guest-gbp-tag
guest-vlan guest-vlan (vlan-id | vlan-name;
ignore-port-bounce;
mac-radius {
authentication-protocol {
eap-md5;
eap-peap {
resume;
}
pap;
}
flap-on-disconnect;
restrict;
}
maximum-requests number;
multi-domain {
max-data-session max-data-session;
packet-action (drop-and-log | shutdown);
recovery-timeout seconds;
}
(no-reauthentication | reauthentication seconds );
no-tagged-mac-authentication;
quiet-period seconds;
redirect-url redirect-url;
retain-mac-aged-session;
retries number;
server-fail (bridge-domain bridge-domain | deny | permit | use-cache | vlan-name vlan-name) gbp-tag gbp-tag;
server-fail-voip (deny | permit | use-cache | vlan-name vlan-name);
server-reject-bridge-domain | server-reject-vlan identifier {
block-interval block-interval;
eapol-block;
}
server-timeout seconds;
supplicant (single | single-secure | multiple);
supplicant-timeout seconds;
transmit-period seconds;
}
层次结构级别
[edit logical-systems name protocols dot1x authenticator], [edit protocols dot1x authenticator]
描述
为所有接口或特定接口的基于端口的网络访问控制配置 IEEE 802.1X 身份验证。
选项
| (all | [ interface-names ]) | 为 802.1x 身份验证配置接口名称列表或所有接口。 |
| disable | 禁用指定接口或所有接口上的 802.1X 身份验证。
|
| guest-bridge-domain guest-bridge-domain | (仅限 MX 系列)指定网桥域标记标识符或当接口上未连接 802.1X 请求方时接口移动到的访客网桥域的名称。指定的桥接域必须已存在于设备上。 |
| guest-gbp-tag | (EX 或 QFX 系列)指定将接口移动到访客 VLAN 时要应用的 GBP 标记。如果配置了 并且
|
| guest-vlan (vlan-id | vlan-name | (仅限 EX、QFX 和 SRX 系列)指定 VLAN 标记标识符或接口移动到的访客 VLAN 的名称。设备上必须已存在指定的 VLAN。可以在使用 802.1X 身份验证的设备上配置访客 VLAN,以便为企业访客提供有限访问(通常仅访问互联网)。访客 VLAN 不用于发送错误凭据的请求方。这些请求方将被定向到服务器拒绝的 VLAN。 |
| ignore-port-bounce | 忽略授权更改 (CoA) 请求中包含的端口退回命令。CoA 请求是 RADIUS 消息,用于动态修改已在进行中的经过身份验证的用户会话。CoA 请求从身份验证、授权和核算 (AAA) 服务器发送到设备,通常用于根据设备分析更改主机的 VLAN。终端设备(如打印机)没有检测 VLAN 更改的机制,因此它们不会在新 VLAN 中续订其 DHCP 地址的租约。端口退回命令用于通过在经过身份验证的端口上引起链路抖动来强制终端设备启动 DHCP 重新协商。
|
| maximum-requests number | 指定在身份验证会话超时之前将 EAPoL 请求数据包重新传输到请求方的最大次数。
|
| no-reauthentication | reauthentication seconds | 禁用重新身份验证或配置 802.1X 身份验证会话超时且客户端必须重新尝试身份验证之前的秒数。
注意:
如果认证服务器向客户端发送认证会话超时,则此超时将优先于使用该语句在本地
|
| no-tagged-mac-authentication | 不允许标记的 MAC 地址进行 RADIUS 身份验证。 |
| quiet-period seconds | 指定在请求方身份验证尝试失败后,接口在重新尝试身份验证之前保持等待状态的秒数。
|
| redirect-url redirect-url | 指定将未经身份验证的主机重定向到中央 Web 身份验证 (CWA) 服务器的 URL。CWA服务器提供了一个门户网站,用户可以在其中输入用户名和密码。如果这些凭据由 CWA 服务器验证,则用户将进行身份验证并被允许访问网络。 中央 Web 身份验证的重定向 URL 可以在 AAA 服务器上集中配置,也可以在交换机本地配置。使用该 重定向 URL 和动态防火墙过滤器必须同时存在,才能触发中央 Web 身份验证过程。有关为中央 Web 身份验证配置重定向 URL 和动态防火墙过滤器的详细信息,请参阅 配置中央 Web 身份验证。
注意:
使用特殊的过滤器 ID 属性 JNPR_RSVD_FILTER_CWA 配置动态防火墙过滤器时,CWA 重定向 URL 必须包含 AAA 服务器的 IP 地址,例如 https://10.10.10.10。
|
| request-retry-count number | 将身份验证服务器配置为重试向请求方发送 EAP 请求。这有助于防止由于请求方无响应而导致身份验证会话超时。重试次数基于配置的值。
|
| retain-mac-aged-session | 即使 IEEE 802.1X 客户端的 MAC 地址老化,也要保持其活动状态,并再次重新学习 MAC 地址。
|
| retries number | 指定设备在初始失败后尝试对端口进行身份验证的次数。当超出限制时,端口将等待重新尝试使用在同一层次结构级别配置的选项指定的
|
| server-fail (bridge-domain bridge-domain | deny | permit | use-cache | vlan-name vlan-name) gbp-tag gbp-tag | 指定在 RADIUS 身份验证服务器不可用时如何支持连接到设备的终端设备。服务器故障回退最常在重新进行身份验证期间触发,当已配置和正在使用的 RADIUS 服务器变得不可访问时。但是,请求方最初尝试通过 RADIUS 服务器进行身份验证也可以触发服务器故障回退。 您必须指定在身份验证服务器不可用时设备应用于终端设备的操作。设备可以接受或拒绝请求方的访问,或者维护在 RADIUS 超时发生之前已授予请求方的访问权限。您还可以将交换机配置为将请求方移动到特定 VLAN 或网桥域。必须在设备上配置 VLAN 或网桥域。
注意:
该
|
| server-fail-voip (deny | permit | use-cache | vlan-name vlan-name) | (仅限 EX、QFX 系列)指定在 RADIUS 身份验证服务器不可用时如何支持发送语音流量的 VoIP 客户端。服务器故障回退最常在重新进行身份验证期间触发,当已配置和正在使用的 RADIUS 服务器变得不可访问时。但是,VoIP 客户端最初尝试通过 RADIUS 服务器进行身份验证也可以触发服务器故障回退。 您必须指定在身份验证服务器不可用时交换机应用于 VoIP 客户端的操作。交换机可以接受或拒绝对 VoIP 客户端的访问,或者维护在 RADIUS 超时发生之前已授予客户端的访问权限。您还可以将交换机配置为将 VoIP 客户端移动到特定 VLAN。VLAN 必须已在交换机上配置。 该
注意:
要
|
| server-timeout seconds | 指定在超时并调用服务器失败操作之前,将请求方的响应中继到身份验证服务器时,端口等待回复的时间量。
|
| supplicant (single | single-secure | multiple) | 指定用于对客户端进行身份验证的基于 MAC 的方法。
|
| supplicant-timeout seconds | 指定在重新发送请求之前,将请求从身份验证服务器中继到请求方时,端口等待响应的秒数。
|
| transmit-period seconds | 指定端口在将初始 EAPoL PDU 重新传输到请求方之前等待的秒数。
|
其余语句将单独解释。有关详细信息,请在 CLI 资源管理器 中搜索语句,或单击语法部分中的链接语句。
所需权限级别
路由 - 在配置中查看此语句。路由控制 - 将此语句添加到配置中。
发布信息
Junos OS 9.0 版中引入的语句。
gbp-tag gbp-tag and guest-gbp-tag guest-gbp-tag 在适用于 EX 和 QFX 系列交换机的 Junos OS 23.4R1 版中引入。
server-reject-vlan 在适用于 EX 系列交换机的 Junos OS 9.3 版中引入。
eapol-block 在 Junos OS 11.2 版中引入。
authentication-order 并在 redirect-url Junos OS 15.1R3 版中引入。
server-fail-voip 在适用于 EX 和 QFX 系列交换机的 Junos OS 14.1X53-D40 和 15.1R4 版本中引入。
ignore-port-bounce 在 Junos OS 17.3R1 版中引入。
multi-domain 在 Junos OS 18.3R1 版中引入。