帮助我们改善您的体验。

让我们了解您的想法。

您是否能抽出两分钟的时间完成一份问卷调查?

close
keyboard_arrow_left
list Table of Contents

机器翻译对您有帮助吗?

starstarstarstarstar
Go to English page
免责声明:

我们将使用第三方机器翻译软件翻译本页面。瞻博网络虽已做出相当大的努力提供高质量译文,但无法保证其准确性。如果对译文信息的准确性有任何疑问,请参阅英文版本. 可下载的 PDF 仅提供英文版.

示例:在会议室中设置 802.1X,以便通过 MX 系列路由器为企业访客提供互联网接入

date_range 18-Jan-25

从 Junos OS 14.2 版开始,MX 系列路由器上的 802.1X 可为在 RADIUS 数据库中没有凭据的用户提供 LAN 访问。这些用户(称为来宾)经过身份验证,通常提供对 Internet 的访问权限。

此示例介绍如何创建访客 VLAN 并为其配置 802.1X 身份验证。

要求

此示例使用以下硬件和软件组件:

  • Junos OS 版本 14.2 或更高版本,适用于在增强型 LAN 模式下运行的 MX240、MX480 或 MX960 路由器。

  • 一台路由器充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的端口形成一个控制门,用于阻止进出请求方的所有流量,直到它们通过身份验证。

  • 一个支持 802.1X 的 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。

在将服务器连接到路由器之前,请确保您已:

  • 在路由器上配置了增强型 LAN 模式。

  • 已在路由器上执行基本桥接和VLAN配置。

  • RADIUS 身份验证服务器上配置的用户。

概述和拓扑

MX 系列路由器充当身份验证器端口访问实体 (PAE)。它阻止所有流量并充当控制门,直到请求方(客户端)通过服务器身份验证。所有其他用户和设备都将被拒绝访问。

考虑用作身份验证器端口的 MX 系列路由器。它使用接口 ge-0/0/10 通过 IP 网络连接到 RADIUS 服务器。路由器还通过接口 ge-0/0/1 链接到会议室,使用接口 ge-0/0/20 连接到打印机,使用接口 ge-0/0/8 连接到集线器,并通过接口 ge-0/0/2 和 ge-0/0/9 链接到两个请求方或客户端。

表 1: 拓扑的组件
属性 设置

路由器硬件

MX 系列路由器

VLAN 名称

default

一台 RADIUS 服务器

地址为“已连接到交换机”端口 10.0.0.100 的后端数据库 ge-0/0/10

在此示例中,接入接口 ge-0/0/1 在会议室中提供 LAN 连接。配置此接入接口,为会议室中未经公司 VLAN 身份验证的访客提供 LAN 连接。

配置包含 802.1X 身份验证的访客 VLAN

程序

CLI 快速配置

要使用 802.1X 身份验证快速配置访客 VLAN,请复制以下命令并将其粘贴到交换机终端窗口中:

content_copy zoom_out_map
[edit]
set vlans bridge-domain-name vlan-id 300  
 set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name

分步过程

要在 MX 系列路由器上配置包含 802.1X 身份验证的访客 VLAN:

  1. 配置访客 VLAN 的 VLAN ID:

    content_copy zoom_out_map
    [edit]
    user@switch# set bridge-domains bridge-domain-name vlan-id 300                         
  2. 在 dot1x 协议下配置访客 VLAN:

    content_copy zoom_out_map
    [edit]
    user@switch# set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name 

结果

检查配置结果:

content_copy zoom_out_map
user@switch> show configuration                     
protocols {
    dot1x {
        authenticator {
        interface {
            all {
                    guest-bridge-domain {
                        bridge-domain-name;
                    }
                }
            }
        }
        }
    }
}
bridge-domains {
    bridge-domain-name {
        vlan-id 300;
    }
}

验证

要确认配置工作正常,请执行以下任务:

验证是否已配置访客 VLAN

目的

验证访客 VLAN 是否已创建,接口是否身份验证失败并已移至访客 VLAN。

操作

使用操作模式命令:

content_copy zoom_out_map
user@switch> show bridge-domain 

Instance                   Bridging Domain          Type
            Primary Table                                           Active
vs1                        dynamic                   bridge         
            bridge.0                                                2       
vs1                        guest                     bridge         
            bridge.0                                                0    
vs1                        guest-vlan                bridge         
            bridge.0                                                0    
vs1                        vlan_dyn                  bridge         
            bridge.0                                                0       


user@switch> show dot1x interface ge-0/0/1.0 detail 
ge-0/0/1.0
  Role: Authenticator
  Administrative state: Auto
  Supplicant mode: Single
  Number of retries: 3
  Quiet period: 60 seconds
  Transmit period: 30 seconds
  Mac Radius: Enabled
  Mac Radius Restrict: Disabled
  Reauthentication: Enabled
  Configured Reauthentication interval: 3600 seconds
  Supplicant timeout: 30 seconds
  Server timeout: 30 seconds
  Maximum EAPOL requests: 2
  Guest VLAN member: guest-vlan
  Number of connected supplicants: 1
    Supplicant: user1, 00:00:00:00:13:23
      Operational state: Authenticated
      Authentication method: Radius
      Authenticated VLAN: vo11
      Dynamic Filter: match source-dot1q-tag 10 action deny
      Session Reauth interval: 60 seconds
      Reauthentication due in 50 seconds

意义

命令 show bridge domain 输出将显示网桥域名作为 VLAN 的名称,将 VLAN ID 显示为 300

命令 show dot1x interface ge-0/0/1.0 detail 输出显示网桥域名 ,表示此接口的请求方未通过 802.1X 身份验证,并被传递到网桥域名。

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
14.2
从 Junos OS 14.2 版开始,MX 系列路由器上的 802.1X 可为在 RADIUS 数据库中没有凭据的用户提供 LAN 访问。
external-footer-nav