Exemplo: Conectando um servidor RADIUS para 802.1X a um roteador da Série MX
802.1X é o padrão IEEE para controle de acesso à rede baseado em porta (PNAC). Você usa o 802.1X para controlar o acesso à rede. Apenas usuários e dispositivos que fornecem credenciais verificadas em um banco de dados de usuários têm acesso à rede. Começando pelo Junos OS Release 14.2, você pode usar um servidor RADIUS como banco de dados de usuário para autenticação 802.1X, bem como para autenticação MAC RADIUS.
Este exemplo descreve como conectar um servidor RADIUS a um roteador da Série MX e configurá-lo para 802.1X:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Junos OS Release 14.2 ou posterior para roteadores MX240, MX480 ou MX960 em execução no modo LAN aprimorado e Junos OS Release 14.2R3 para todos os outros roteadores.
Um roteador atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Um servidor de autenticação RADIUS que oferece suporte ao 802.1X. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Antes de conectar o servidor ao roteador, certifique-se de ter:
Modo LAN aprimorado configurado no roteador.
Realizou a ponte básica e a configuração de VLAN no roteador.
Usuários configurados no servidor de autenticação RADIUS.
Visão geral e topologia
O roteador da Série MX atua como uma Entidade de Acesso de Porta (PAE) autenticadora. Ele bloqueia todo o tráfego e funciona como um portão de controle até que o suplicante (cliente) seja autenticado pelo servidor. Todos os outros usuários e dispositivos estão impedidos de acessar.
Considere um roteador da Série MX que funciona como uma porta autenticadora. Ele está conectado usando a interface, ge-0/0/10, pela rede IP a um servidor RADIUS. O roteador também está vinculado a uma sala de conferência usando a interface, ge-0/0/1, a uma impressora usando a interface, ge-0/0/20, para um hub usando a interface, ge-0/0/8, e para dois suplicantes ou clientes em interfaces, ge-0/0/2 e ge-0/0/9, respectivamente.
| Propriedade | Configurações |
|---|---|
Hardware do roteador |
Roteador da Série MX |
Nome da VLAN |
default |
Um servidor RADIUS |
Banco de dados de back-end com um endereço conectado 10.0.0.100 ao switch na porta ge-0/0/10 |
Neste exemplo, conecte o servidor RADIUS à porta ge-0/0/10 de acesso no roteador da Série MX. O switch atua como autenticador e encaminha credenciais do suplicante para o banco de dados do usuário no servidor RADIUS. Você deve configurar a conectividade entre o roteador da Série MX e o servidor RADIUS especificando o endereço do servidor e configurando a senha secreta. Essas informações estão configuradas em um perfil de acesso no switch.
Configuração
Procedimento
Configuração rápida da CLI
Para conectar rapidamente o servidor RADIUS ao switch, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Procedimento passo a passo
Para conectar o servidor RADIUS ao switch:
Defina o endereço dos servidores e configure a senha secreta. A senha secreta do switch deve combinar com a senha secreta do servidor:
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
Configure a ordem de autenticação, fazendo o primeiro método de autenticação:radius
[edit] user@switch# set access profile profile1 authentication-order radius
Configure uma lista de endereços IP de servidor a serem testados para autenticar o suplicante:
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Resultados
Exibir os resultados da configuração:
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$9$qPT3ApBSrv69rvWLVb.P5"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verifique se o switch e o servidor RADIUS estão devidamente conectados
Propósito
Verifique se o servidor RADIUS está conectado ao switch na porta especificada.
Ação
Ping no servidor RADIUS para verificar a conexão entre o switch e o servidor:
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 msSignificado
Os pacotes de solicitação de eco do ICMP são enviados do switch para o servidor-alvo em 10.0.0.100 para testar se ele é acessível em toda a rede IP. As respostas de eco do ICMP estão sendo devolvidas do servidor, verificando se o switch e o servidor estão conectados.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.