示例:在 MX 系列路由器上配置 MAC RADIUS 身份验证
从允许未启用 802.1X 的主机访问 Junos OS 14.2 版开始,您可以在未启用 802.1X 的主机连接到的路由器接口上配置 MAC RADIUS 身份验证。配置 MAC RADIUS 身份验证后,路由器将尝试使用主机的 MAC 地址通过 RADIUS 服务器对主机进行身份验证。
此示例介绍如何为两个未启用 802.1X 的主机配置 MAC RADIUS 身份验证:
要求
此示例使用以下硬件和软件组件:
Junos OS 版本 14.2 或更高版本,适用于在增强型 LAN 模式下运行的 MX240、MX480 或 MX960 路由器。
充当身份验证器端口访问实体 (PAE) 的 MX 系列路由器。验证方 PAE 上的端口形成一个控制门,用于阻止进出请求方的所有流量,直到它们通过身份验证。
RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。
在将服务器连接到路由器之前,请确保您已:
在路由器上配置了增强型 LAN 模式。
已在路由器上执行基本桥接和VLAN配置。
RADIUS 身份验证服务器上配置的用户。
概述和拓扑
如果 IEEE 802.1X 基于端口的网络访问控制 (PNAC) 可以使用 802.1X 协议(支持 802.1X)与路由器通信,则对设备进行身份验证并允许设备访问 LAN。要允许未启用 802.1X 的终端设备访问 LAN,您可以在终端设备连接的接口上配置 MAC RADIUS 身份验证。当终端设备的 MAC 地址出现在接口上时,路由器会咨询 RADIUS 服务器以检查它是否是允许的 MAC 地址。如果在 RADIUS 服务器上将终端设备的 MAC 地址配置为允许,路由器将打开对终端设备的 LAN 访问。
您可以在为多个请求方配置的接口上配置 MAC RADIUS 身份验证和 802.1X 身份验证方法。此外,如果接口仅连接到未启用 802.1X 的主机,则可以使用该选项启用 MAC RADIUS,而不启用 802.1X 身份验证,从而避免在路由器确定设备不响应 EAP 消息时发生的延迟。mac-radius restrict
两台打印机通过接口 ge-0/0/19 和 ge-0/0/20 连接到 MX 系列路由器。
表 1 显示了 MAC RADIUS 身份验证示例中的组件。
| 属性 | 设置 |
|---|---|
路由器硬件 |
端口(ge-0/0/0 到 ge-0/0/23) |
VLAN 名称 |
销售 |
与打印机的连接 |
ge-0/0/19,MAC 地址 00040ffdacfe ge-0/0/20,MAC 地址 0004aecd235f |
RADIUS 服务器 |
已连接到接口上的路由器 ge-0/0/10 |
MAC 地址为 00040ffdacfe 的打印机已连接到访问接口 ge-0/0/19。MAC 地址为 0004aecd235f 的第二台打印机连接到接入接口 ge-0/0/20。在此示例中,两个接口均配置为路由器上的 MAC RADIUS 身份验证,两台打印机的 MAC 地址(不带冒号)均在 RADIUS 服务器上配置。接口 ge-0/0/20 配置为消除路由器尝试 802.1X 身份验证时的正常延迟;MAC RADIUS 身份验证已启用,并且使用该选项禁用 802.1X 身份验证。mac radius restrict
拓扑
配置
程序
CLI 快速配置
要快速配置 MAC RADIUS 身份验证,请复制以下命令并将其粘贴到路由器终端窗口中:
[edit] set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict
您还必须将两个 MAC 地址配置为 RADIUS 服务器上的用户名和密码,如分步过程的步骤 2 中所述。
分步过程
在路由器和 RADIUS 服务器上配置 MAC RADIUS 身份验证:
在路由器上,配置打印机连接到的接口以进行 MAC RADIUS 身份验证,并在接口 上配置选项,以便仅使用 MAC RADIUS 身份验证:restrictge-0/0/20
[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict在 RADIUS 服务器上,配置 MAC 地址 以及 用户名和密码:00040ffdacfe0004aecd235f
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
成果
在路由器上显示配置结果:
user@router> show configuration
protocols {
authentication-access-control {
authentication-profile-name profile52;
interface {
ge-0/0/19.0 {
dot1x {
mac-radius;
}
}
ge-0/0/20.0 {
dot1x {
mac-radius {
restrict;
}
}
}
}
}
}
验证
验证请求方是否已通过身份验证:
验证请求方是否已通过身份验证
目的
在路由器和 RADIUS 服务器上为 MAC RADIUS 身份验证配置请求方后,验证他们是否已通过身份验证并显示身份验证方法:
操作
显示有关 802.1X 配置的接口 的信息,并 :ge-0/0/19ge-0/0/20
user@router> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
user@router> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user102, 00:04:ae:cd:23:5f
Operational state: Authenticated
Authentcation method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意义
命令 的示例输出在现场显示连接的终端设备的 MAC 地址。show dot1x interface detailSupplicant 在接口 ge-0/0/19 上,MAC 地址为 ,这是为 MAC RADIUS 身份验证配置的第一台打印机的 MAC 地址。00:04:0f:fd:ac:fe 该 字段将身份验证方法 显示为 。Authentication methodMAC Radius 在接口 上,MAC 地址为 ,这是为 MAC RADIUS 身份验证配置的第二台打印机的 MAC 地址。ge-0/0/2000:04:ae:cd:23:5f 该 字段将身份验证方法 显示为 。Authentication methodMAC Radius
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。