在增强型 LAN 模式下的 MX 系列路由器上配置 MAC RADIUS 身份验证
从 Junos OS 14.2 版开始,您可以在主机连接的 MX 系列路由器接口上配置 MAC RADIUS 身份验证,从而允许未启用 802.1X 的 LAN 设备访问。
您还可以允许未启用 802.1X 的设备访问 LAN,方法是将其 MAC 地址配置为静态 MAC 绕过身份验证。
您可以在也允许 802.1X 身份验证的接口上配置 MAC RADIUS 身份验证,也可以单独配置任一身份验证方法。
如果在接口上同时启用了 MAC RADIUS 和 802.1X 身份验证,路由器将首先向主机发送三个 EAPOL 请求。如果主机没有响应,路由器会将主机的 MAC 地址发送到 RADIUS 服务器,以检查它是否是允许的 MAC 地址。如果在 RADIUS 服务器上将 MAC 地址配置为允许地址,则 RADIUS 服务器会向路由器发送一条消息,指出该 MAC 地址是允许的地址,并且路由器将打开对所连接接口上无响应主机的 LAN 访问。
如果在接口上配置 MAC RADIUS 身份验证,但未进行 802.1X 身份验证(通过使用选项), mac-radius restrict 路由器将尝试向 RADIUS 服务器验证 MAC 地址,而不会延迟,方法是先尝试 802.1X 身份验证。
在配置 MAC RADIUS 身份验证之前,请确保您已:
在 MX 系列路由器和 RADIUS 服务器之间配置基本访问。
通过在层次结构级别输入
network-services lan语句[edit chassis],将 MX240、MX480 和 MX960 路由器配置为在增强型 LAN 模式下运行。
要使用 CLI 配置 MAC RADIUS 身份验证,请执行以下操作:
在路由器上,配置无响应主机连接到的接口以进行 MAC RADIUS 身份验证,并为接口ge-0/0/20添加restrict限定符,使其仅使用 MAC RADIUS 身份验证:
[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control interface ge-0/0/20 dot1x mac-radius restrict
在 RADIUS 身份验证服务器上,使用无响应主机的 MAC 地址(不带冒号)作为用户名和密码(此处的 MAC 地址为 00:04:0f:fd:ac:fe 和 00:04:ae:cd:23:5f)为每个无响应主机创建用户配置文件:
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。