天道酬勤,学无止境

认证准入

SRX WEB认证功能

需求很简单,客户现在需要对内部用户做认证准入。具体的实施有很多种办法。 在Juniper的EX接入交换机上,可以做802.1x认证,对于接口挂HUB连打印机和PC的情况可以使用supplicant multiple 模式,配置静态MAC帮助打印机绕过802.1x。 在SRX上可以使用UTM的一分部功能来实现web认证,认证可以使用本地,AD或者radius等等,配置基本相似。客户预算充足,尤其是大型园区,还可以部署MX 3D多功能路由器来实现BNG认证计费功能,简单常见的是二层的部署方式ppoe+ipoe。也可以部署三层的PTSP,支持V4/V6双栈。 环境有限,没有其他的认证服务器,模拟下核心交换机旁路挂载srx做基于用户名的web认证。 虽然采取的是旁路部署,但实际的流量跟串在上面一样,核心交换机的firewall捕获流量,丢到认证的vrf,静态路由指向SRX。SRX在policy中设置web认证,静态路由丢回核心交换机。核心交换机firewall:filter 001 { term 066 { from { source-address { 192.168.66.0/24; } } then { count 66; routing-instance iP-gUard; } } term reject { then { reject; } }}核心交换机的vrf:iP

2021-03-27 11:11:45    分类:博客    Juniper   认证准入