Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:在 MX 系列路由器上配置 MAC RADIUS 身份验证

从 Junos OS 版本14.2 开始,可允许未 802.1 X 支持的主机访问 LAN,您可以在路由器接口上配置 MAC RADIUS 身份验证,而非 802.1 X 支持的主机将连接到它们。配置 MAC RADIUS时,路由器将尝试使用主机的 RADIUS 服务器对主机MAC 地址。

此示例介绍如何为两个非802.1 支持 X 的主机配置 MAC RADIUS 身份验证:

要求

此示例使用以下硬件和软件组件:

  • Junos OS 14.2 或更高版本,适用于在增强型 LAN 模式下运行的 MX240、MX480 或 MX960 路由器。

  • 作为认证者端口接入实体(PAE)的 MX 系列路由器。认证器 PAE 上的端口是控制门,用于阻止到达请求者和来自请求方的所有流量,直至其获得身份验证。

  • RADIUS 认证服务器。认证服务器用作后端数据库,其中包含有权连接到网络的主机(请求者)的证书信息。

将服务器连接到路由器之前,请确保具备:

  • 在路由器上配置增强型 LAN 模式。

  • 在路由器上执行了基本桥接和 VLAN 配置。

  • RADIUS 认证服务器上的配置用户。

概述和拓扑

IEEE 802.1 X 端口的网络接入控制(PNAC)在设备可使用 802.1 X 协议(802.1 X 启用)与路由器通信时,验证并允许设备访问 LAN。要允许非802.1 的支持 X 的端设备访问 LAN,可在终端设备连接到的接口上配置 MAC RADIUS 身份验证。当终端设备的 MAC 地址出现在接口上时,路由器将咨询 RADIUS 服务器以检查其是否为允许的 MAC 地址。如果最终设备的 MAC 地址在 RADIUS 服务器上配置为允许,则路由器将打开对终端设备的 LAN 访问。

您可以在为多个请求者配置的接口上配置 MAC RADIUS 身份验证和 802.1 X 身份验证方法。此外,如果接口仅连接到不支持 802.1X 的主机,则您可以启用 MAC RADIUS,并且不会使用 选项启用 802.1X 身份验证,从而可避免在路由器确定设备不响应 EAP 消息时发生的延迟。 mac-radius restrict

两台打印机通过接口、ge-0/0/19 和 ge-0/0/20 连接到 MX 系列路由器。

表 1显示了 MAC RADIUS 身份验证示例中的组件。

表 1: MAC RADIUS 身份验证配置拓扑的组件
财产 设置

路由器硬件

端口(ge-0/0/0 到 ge-0/0/23)

VLAN 名称

部门

连接到打印机

ge-0/0/19,MAC 地址00040ffdacfe

ge-0/0/20,MAC 地址0004aecd235f

RADIUS 服务器

连接到接口上的路由器 ge-0/0/10

使用 MAC 地址00040ffdacfe 的打印机连接到接入接口 ge-0/0/19。使用 MAC 地址0004aecd235f 的第二台打印机连接到接入接口 ge-0/0/20。在此示例中,两个接口均配置为在路由器上进行 MAC RADIUS 身份验证,而两台打印机的 MAC 地址(不带冒号)则在 RADIUS 服务器上配置。接口 ge-0/0/20 配置为消除路由器尝试 802.1 X 身份验证时的正常延迟;MAC RADIUS 身份验证已启用,802.1 X 身份验证使用mac radius restrict选项禁用。

拓扑

配置

操作

CLI 快速配置

要快速配置 MAC RADIUS 认证,请复制以下命令并将其粘贴到路由器的终端窗口中:

注:

您还必须将两个 MAC 地址配置为 RADIUS 服务器上的用户名和密码,如分步过程中的步骤2所做的操作。

分步过程

在路由器和 RADIUS 服务器上配置 MAC RADIUS 身份验证:

  1. 在路由器上配置打印机连接到RADIUS以执行 MAC RADIUS的接口,然后配置接口上的选项,以便仅使用 MAC RADIUS restrictge-0/0/20 认证:

  2. 在RADIUS上,将 MAC 地址 00040ffdacfe 配置为 0004aecd235f 用户名和密码:

成果

显示路由器上的配置结果:

针对

验证请求方是否已认证:

验证请求方是否已认证

用途

在路由器和 RADIUS 服务器上将请求方配置为 MAC RADIUS 身份验证后,验证它们是否经过身份验证并显示身份验证方法:

行动

显示有关 802.1X 配置的接口和 ge-0/0/19ge-0/0/20 的信息:

含义

命令的示例 show dot1x interface detail 输出显示MAC 地址中已连接终端设备的 Supplicant 行家。在接口 ge-0/0/19 上,MAC 地址 为 ,这是为 MAC MAC 地址 认证配置的第一RADIUS 00:04:0f:fd:ac:fe 打印机。字段 Authentication method 将认证方法显示为 MAC Radius 。在接口 ge-0/0/20 上,MAC 地址 是配置为 MAC MAC 地址认证的第二台打印机的 00:04:ae:cd:23:5f RADIUS。字段 Authentication method 将认证方法显示为 MAC Radius

发布历史记录表
版本
说明
14.2
从 Junos OS 版本14.2 开始,可允许未 802.1 X 支持的主机访问 LAN,您可以在路由器接口上配置 MAC RADIUS 身份验证,而非 802.1 X 支持的主机将连接到它们。