Exemplo: Configuração da autenticação MAC RADIUS em um roteador da Série MX
Começando pelo Junos OS Release 14.2 para permitir que hosts que não estejam habilitados para 802.1X acessem a LAN, você pode configurar a autenticação MAC RADIUS nas interfaces do roteador às quais os hosts não habilitados para 802.1X estão conectados. Quando a autenticação MAC RADIUS estiver configurada, o roteador tentará autenticar o host com o servidor RADIUS usando o endereço MAC do host.
Este exemplo descreve como configurar a autenticação MAC RADIUS para dois hosts não habilitados para 802.1X:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Junos OS Versão 14.2 ou posterior para roteadores MX240, MX480 ou MX960 em execução no modo LAN aprimorado.
Um roteador da Série MX atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Um servidor de autenticação RADIUS. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Antes de conectar o servidor ao roteador, certifique-se de ter:
Modo LAN aprimorado configurado no roteador.
Realizou a ponte básica e a configuração de VLAN no roteador.
Usuários configurados no servidor de autenticação RADIUS.
Visão geral e topologia
O IEEE 802.1X Port-Based Network Access Control (PNAC) autentica e permite que os dispositivos acessem uma LAN se os dispositivos puderem se comunicar com o roteador usando o protocolo 802.1X (estão habilitados para 802.1X). Para permitir que dispositivos finais não habilitados para 802.1X acessem a LAN, você pode configurar a autenticação MAC RADIUS nas interfaces às quais os dispositivos finais estão conectados. Quando o endereço MAC do dispositivo final aparece na interface, o roteador consulta o servidor RADIUS para verificar se é um endereço MAC permitido. Se o endereço MAC do dispositivo final estiver configurado conforme permitido no servidor RADIUS, o roteador abre acesso LAN ao dispositivo final.
Você pode configurar tanto a autenticação MAC RADIUS quanto os métodos de autenticação 802.1X em uma interface configurada para várias suplicantes. Além disso, se uma interface estiver conectada apenas a um host não habilitado para 802.1X, você pode habilitar o MAC RADIUS e não permitir a autenticação 802.1X usando a opção e, assim, evitar o atraso que ocorre enquanto o roteador determina que o dispositivo não responde às mensagens EAP.mac-radius restrict
Duas impressoras são conectadas a um roteador da Série MX por interfaces, ge-0/0/19 e ge-0/0/20.
Tabela 1 mostra os componentes no exemplo da autenticação MAC RADIUS.
Propriedade | Configurações |
---|---|
Hardware do roteador |
Portas (ge-0/0/0 até ge-0/0/23) |
Nome da VLAN |
Vendas |
Conexões com impressoras |
ge-0/0/19, endereço MAC 00040ffdacfe ge-0/0/20, endereço MAC 0004aecd235f |
Servidor RADIUS |
Conectado ao roteador na interface ge-0/0/10 |
A impressora com o endereço MAC 00040ffdacfe está conectada à interface de acesso ge-0/0/19. Uma segunda impressora com o endereço MAC 0004aecd235f está conectada à interface de acesso ge-0/0/20. Neste exemplo, ambas as interfaces estão configuradas para autenticação MAC RADIUS no roteador, e os endereços MAC (sem cólons) de ambas as impressoras estão configurados no servidor RADIUS. A interface ge-0/0/20 está configurada para eliminar o atraso normal enquanto o roteador tenta autenticação 802.1X; A autenticação MAC RADIUS está habilitada e a autenticação 802.1X é desativada usando a opção .mac radius restrict
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a autenticação MAC RADIUS, copie os seguintes comandos e cole-os na janela de terminal do roteador:
[edit] set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict
Você também deve configurar os dois endereços MAC como nomes de usuário e senhas no servidor RADIUS, como é feito na etapa 2 do procedimento passo a passo.
Procedimento passo a passo
Configure a autenticação MAC RADIUS no roteador e no servidor RADIUS:
No roteador, configure as interfaces às quais as impressoras estão anexadas para autenticação MAC RADIUS e configure a opção na interface , de modo que apenas a autenticação MAC RADIUS seja usada:restrictge-0/0/20
[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict
No servidor RADIUS, configure os endereços MAC e como nomes de usuário e senhas:00040ffdacfe0004aecd235f
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
Resultados
Exibir os resultados da configuração no roteador:
user@router> show configuration protocols { authentication-access-control { authentication-profile-name profile52; interface { ge-0/0/19.0 { dot1x { mac-radius; } } ge-0/0/20.0 { dot1x { mac-radius { restrict; } } } } } }
Verificação
Verifique se os suplicantes são autenticados:
Verificando se os suplicantes são autenticados
Propósito
Depois que os suplicantes forem configurados para autenticação MAC RADIUS no roteador e no servidor RADIUS, verifique se eles são autenticados e exibir o método de autenticação:
Ação
Exibir informações sobre interfaces configuradas por 802.1X e :ge-0/0/19ge-0/0/20
user@router> show dot1x interface ge-0/0/19.0 detail ge-0/0/19.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user101, 00:04:0f:fd:ac:fe Operational state: Authenticated Authentication method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds user@router> show dot1x interface ge-0/0/20.0 detail ge-0/0/20.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Enabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user102, 00:04:ae:cd:23:5f Operational state: Authenticated Authentcation method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds
Significado
A saída de amostra do comando exibe o endereço MAC do dispositivo final conectado em campo.show dot1x interface detail
Supplicant Na interface ge-0/0/19, o endereço MAC é , que é o endereço MAC da primeira impressora configurada para autenticação MAC RADIUS.00:04:0f:fd:ac:fe O campo exibe o método de autenticação como .Authentication methodMAC Radius Na interface , o endereço MAC é , que é o endereço MAC da segunda impressora configurado para autenticação MAC RADIUS.ge-0/0/2000:04:ae:cd:23:5f O campo exibe o método de autenticação como .Authentication methodMAC Radius
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.