Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticação MAC RADIUS

Você pode controlar o acesso à sua rede por meio de um switch usando vários métodos de autenticação diferentes. Os switches Junos OS oferecem suporte a 802.1X, MAC RADIUS e portal cativo como métodos de autenticação para dispositivos que precisam se conectar a uma rede.

Você pode configurar a autenticação MAC RADIUS nas interfaces de switch às quais os hosts estão conectados para fornecer acesso LAN. Para obter mais informações, leia este tópico.

Configuração da autenticação MAC RADIUS (procedimento CLI)

Você pode permitir dispositivos que não são de acesso LAN habilitado para 802.1X configurando a autenticação MAC RADIUS nas interfaces de switch às quais os hosts estão conectados.

Nota:

Você também pode permitir que dispositivos não habilitados para 802.1X acessem a LAN configurando seu endereço MAC para desvio estático de autenticação por MAC.

Você pode configurar a autenticação MAC RADIUS em uma interface que também permite a autenticação 802.1X, ou pode configurar apenas o método de autenticação.

Se o MAC RADIUS e a autenticação 802.1X estiverem habilitados na interface, o switch primeiro envia ao host três solicitações de EAPoL ao host. Se não houver resposta do host, o switch envia o endereço MAC do host para o servidor RADIUS para verificar se é um endereço MAC permitido. Se o endereço MAC estiver configurado conforme permitido no servidor RADIUS, o servidor RADIUS envia uma mensagem ao switch de que o endereço MAC é um endereço mac permitido, e o switch abre o acesso LAN ao host não responsável na interface à qual está conectado.

Se a autenticação MAC RADIUS estiver configurada na interface, mas a autenticação 802.1X não estiver (usando a opção mac-radius restrict ), o switch tenta autenticar o endereço MAC com o servidor RADIUS sem atrasar ao tentar a autenticação 802.1X primeiro.

Antes de configurar a autenticação MAC RADIUS, certifique-se de ter:

Para configurar a autenticação MAC RADIUS usando o CLI:

  • No switch, configure as interfaces às quais os hosts não responsáveis estão conectados para autenticação MAC RADIUS e adicione o restrict qualificador para interface ge-0/0/20 para que ele use apenas a autenticação MAC RADIUS:

  • Em um servidor de autenticação RADIUS, crie perfis de usuário para cada host não responsável usando o endereço MAC (sem pontos) do host não responsável como nome de usuário e senha (aqui, os endereços MAC são 00:04:0f:fd:ac:fe e 00:04:ae:cd:23:5f):

  • (Opcional) Configure uma senha global para toda a autenticação MAC RADIUS, em vez de usar o endereço MAC como senha (aqui está $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzFa senha global):

Exemplo: Configuração da autenticação MAC RADIUS em um switch da Série EX

Para permitir que hosts que não estejam habilitados para 802.1X acessem uma LAN, você pode configurar a autenticação MAC RADIUS nas interfaces de switch às quais os hosts não habilitados para 802.1X estão conectados. Quando a autenticação MAC RADIUS estiver configurada, o switch tentará autenticar o host com o servidor RADIUS usando o endereço MAC do host.

Este exemplo descreve como configurar a autenticação MAC RADIUS para dois hosts não habilitados para 802.1X:

Requisitos

Este exemplo usa os seguintes componentes de software e hardware:

Nota:

Este exemplo também se aplica a switches QFX5100.

  • Junos OS Versão 9.3 ou posterior para switches da Série EX.

  • Um switch da Série EX atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.

  • Um servidor de autenticação RADIUS. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.

Antes de configurar a autenticação MAC RADIUS, certifique-se de ter:

Visão geral e topologia

O controle de acesso à rede (PNAC) baseado em porta IEEE 802.1X autentica e permite que os dispositivos acessem uma LAN se os dispositivos puderem se comunicar com o switch usando o protocolo 802.1X (ou seja, os dispositivos estão habilitados para 802.1X). Para permitir que dispositivos finais não habilitados para 802.1X acessem a LAN, você pode configurar a autenticação MAC RADIUS nas interfaces às quais os dispositivos finais estão conectados. Quando o endereço MAC do dispositivo final aparece na interface, o switch consulta o servidor RADIUS para verificar se é um endereço MAC permitido. Se o endereço MAC do dispositivo final estiver configurado conforme permitido no servidor RADIUS, o switch abrirá o acesso LAN ao dispositivo final.

Você pode configurar tanto a autenticação MAC RADIUS quanto os métodos de autenticação 802.1X em uma interface configurada para várias suplicantes. Além disso, se uma interface estiver conectada apenas a um host não habilitado para 802.1X, você pode habilitar o MAC RADIUS e não permitir a autenticação 802.1X usando a opção mac-radius restrict e, assim, evitar o atraso que ocorre enquanto o switch determina que o dispositivo não responde às mensagens EAP.

Figura 1 mostra as duas impressoras conectadas ao switch.

Nota:

Esse número também se aplica a switches QFX5100.

Figura 1: Topologia para configuração de autenticação MAC RADIUSTopologia para configuração de autenticação MAC RADIUS

Tabela 1 mostra os componentes no exemplo da autenticação MAC RADIUS.

Tabela 1: Componentes da topologia de configuração de autenticação MAC RADIUS
Propriedade Configurações

Hardware do switch

Portas EX4200 (ge-0/0/0 até ge-0/0/23)

Nome da VLAN

venda

Conexões com impressoras (sem necessidade de PoE)

ge-0/0/19, endereço MAC 00040ffdacfe

ge-0/0/20, endereço MAC 0004aecd235f

Servidor RADIUS

Conectado ao switch na interface ge-0/0/10

A impressora com o endereço MAC 00040ffdacfe está conectada à interface de acesso ge-0/0/19. Uma segunda impressora com o endereço MAC 0004aecd235f está conectada à interface de acesso ge-0/0/20. Neste exemplo, ambas as interfaces estão configuradas para autenticação MAC RADIUS no switch, e os endereços MAC (sem cólons) de ambas as impressoras estão configurados no servidor RADIUS. A interface ge-0/0/20 está configurada para eliminar o atraso normal enquanto o switch tenta autenticação 802.1X; A autenticação MAC RADIUS está habilitada e a autenticação 802.1X é desativada usando a opção mac radius restrict .

Topologia

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente a autenticação MAC RADIUS, copie os seguintes comandos e cole-os na janela de terminal do switch:

Nota:

Você também deve configurar os dois endereços MAC como nomes de usuário e senhas no servidor RADIUS, como é feito na etapa 2 do procedimento passo a passo.

Procedimento passo a passo

Configure a autenticação MAC RADIUS no switch e no servidor RADIUS:

  1. No switch, configure as interfaces às quais as impressoras estão anexadas para autenticação MAC RADIUS e configure a opção de restrição na interface ge-0/0/20, de modo que apenas a autenticação MAC RADIUS seja usada:

  2. No servidor RADIUS, configure os endereços MAC 00040ffdacfe e 0004aecd235f como nomes de usuário e senhas:

Resultados

Exibir os resultados da configuração no switch:

Verificação

Verifique se os suplicantes são autenticados:

Verificando se os suplicantes são autenticados

Propósito

Depois que os suplicantes forem configurados para autenticação MAC RADIUS no switch e no servidor RADIUS, verifique se eles são autenticados e exibem o método de autenticação.

Ação

Exibir informações sobre as interfaces configuradas por 802.1X ge-0/0/19 e ge-0/0/20:

Significado

A saída de amostra do show dot1x interface detail comando exibe o endereço MAC do dispositivo final conectado em Supplicant campo. Na interface ge-0/0/19, o endereço MAC é 00:04:0f:fd:ac:fe, que é o endereço MAC da primeira impressora configurada para autenticação MAC RADIUS. O Authentication method campo exibe o método de autenticação como Radius. Na interface ge-0/0/20, o endereço MAC é 00:04:ae:cd:23:5f, que é o endereço MAC da segunda impressora configurado para autenticação MAC RADIUS. O Authentication method campo exibe o método de autenticação como Radius.