IEEE 802.1x 基于端口的网络接入控制概述
MX 系列路由器在以太网接口上支持 IEEE 802.1x 基于端口的网络访问控制 (dot1x) 协议,用于验证客户端和用户凭据,以防止对指定路由器端口进行未经授权的访问。在身份验证完成之前,仅允许 802.1x 控制数据包并将其转发到路由器控制平面进行处理。丢弃所有其他数据包。
使用的身份验证方法必须符合 802.1x 标准。支持使用 RADIUS 和 Microsoft Active Directory 服务器进行身份验证。允许使用以下用户/客户端身份验证方法:
EAP-MD5 (RFC 3748)
EAP-TTLS 需要服务器证书 (RFC 2716)
EAP-TLS 需要客户端和服务器证书
PEAP 只需要服务器证书
您可以在除 EAP-MD5 之外的所有类型的身份验证中使用客户端和服务器证书。
注:
在 MX 系列路由器上,802.1x 只能在桥接端口上启用,不能在路由端口上启用。
支持对用户会话的动态更改,以允许路由器管理员使用 RFC 3576 中定义的“RADIUS 断开连接”消息终止已通过身份验证的会话。