示例:在会议室中设置 802.1X,以便通过 EX 系列交换机为企业访客提供互联网接入
EX 系列交换机上的 802.1X 可为在 RADIUS 数据库中没有凭据的用户提供 LAN 访问。这些用户(称为 来宾)经过身份验证,通常提供对 Internet 的访问权限。
此示例介绍如何创建访客 VLAN 并为其配置 802.1X 身份验证。
要求
此示例使用以下软件和硬件组件:
此示例也适用于QFX5100交换机。
适用于 EX 系列交换机的 Junos OS 9.0 或更高版本
一台 EX 系列交换机充当端口接入实体 (PAE)。验证方 PAE 上的接口形成一个控制门,用于阻止请求方来往的所有流量,直到它们通过身份验证。
一个支持 802.1X 的 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。
在配置访客 VLAN 身份验证之前,请确保您已:
已执行初始交换机配置。请参阅连接和配置 EX 系列交换机(CLI 过程)。
已在交换机上执行基本桥接和VLAN配置。请参阅描述为交换机设置基本桥接和 VLAN 的文档。如果您使用的交换机支持增强型第 2 层软件 (ELS) 配置样式,请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN 或 示例:在交换机上设置基本桥接和 VLAN。对于所有其他交换机,请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
注:有关 ELS 的更多信息,请参阅:使用增强型第 2 层软件 CLI
概述和拓扑
作为 IEEE 802.1X 基于端口的网络访问控制 (PNAC) 的一部分,您可以通过为访客 VLAN 配置身份验证,为不属于 VLAN 身份验证组的请求方提供有限的网络访问。通常,访客 VLAN 访问用于为公司站点的访问者提供互联网访问。但是,您也可以使用访客 VLAN 功能,为在企业 LAN 上未通过 802.1X 身份验证的请求方提供对资源有限的 VLAN 的访问。
此数字也适用于QFX5100交换机。
拓扑学
图 1 显示了通过接口 ge-0/0/1 连接到交换机的会议室。
| 属性 | 设置 |
|---|---|
交换机硬件 |
EX4200 交换机,24 个千兆以太网接口:8 个 PoE 接口(ge-0/0/0 到 ge-0/0/7)和 16 个非 PoE 接口(ge-0/0/8 到 ge-0/0/23) |
VLAN 名称和标记 ID |
sales标记 100support标记 200 guest-vlan标记 300 |
一台 RADIUS 服务器 |
后端数据库通过接口连接到交换机 ge-0/0/10 |
在此示例中,接入接口 ge-0/0/1 在会议室中提供 LAN 连接。配置此接入接口,为会议室中未经公司 VLAN 身份验证的访客提供 LAN 连接。
配置包含 802.1X 身份验证的访客 VLAN
程序
CLI 快速配置
要使用 802.1X 身份验证快速配置访客 VLAN,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
分步过程
要在 EX 系列交换机上配置包含 802.1X 身份验证的访客 VLAN,请执行以下操作:
配置访客 VLAN 的 VLAN ID:
[edit] user@switch# set vlans guest-vlan vlan-id 300
根据协议配置 dot1x 访客 VLAN:
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
结果
检查配置结果:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-vlan {
guest-vlan;
}
}
}
}
}
}
vlans {
guest-vlan {
vlan-id 300;
}
}
验证
要确认配置工作正常,请执行以下任务:
验证访客 VLAN 是否已配置
目的
验证访客 VLAN 是否已创建,接口是否身份验证失败并已移至访客 VLAN。
在运行支持 ELS 的 EX 系列版 Junos OS 的交换机上,命令输出 show vlans 将包含其他信息。如果您的交换机运行的软件支持 ELS,请参阅 显示 vlan。有关 ELS 的详细信息,请参阅使用增强型第 2 层软件 CLI。
操作
发出操作模式命令:
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/3.0*
dynamic 40
None
guest 30
None
guest—vlan 300
ge-0/0/1.0*
vlan_dyn
None
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Guest VLAN
Authenticated VLAN: guest-vlan
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意义
命令 show vlans 输出显示为 VLAN 的名称,VLAN ID 显示为 guest-vlan300。
命令 show dot1x interface ge-0/0/1.0 detail 的输出将显示该 Guest VLAN membership 字段,指示此接口的请求方未通过 802.1X 身份验证,并已传递到 guest-vlan.