IEEE 802.1X 和 MAC RADIUS 身份验证均提供网络边缘安全性,通过阻止接口上进出设备的所有流量,直到请求方的凭据或 MAC 地址在 (RADIUS 服务器) 上 authentication server 显示和匹配,保护以太网 LAN 免受未经授权的用户访问。请求方通过身份验证后,路由器将停止阻止访问,并打开请求方的接口。
从 Junos OS 14.2 版开始,要使用 802.1X 或 MAC RADIUS 身份验证,必须为要连接到的每个 RADIUS 服务器指定路由器上的连接。
- 定义 RADIUS 服务器的 IP 地址、RADIUS 服务器身份验证端口号和机密密码。您可以定义多个 RADIUS 服务器。路由器上的秘密密码必须与服务器上的秘密密码匹配:
[edit access]
user@router# set radius-server 10.0.0.100 port 1812 secret abc
注: 指定身份验证端口是可选的,端口 1812 是默认端口。但是,我们建议您对其进行配置以避免混淆,因为某些 RADIUS 服务器可能引用较旧的默认值。
- (可选)指定 RADIUS 服务器用来识别路由器的 IP 地址。如果未指定此项,RADIUS 服务器将使用发送 RADIUS 请求的接口的地址。我们建议您指定此 IP 地址,因为如果请求在备用路由上转移到 RADIUS 服务器,则中继请求的接口可能不是路由器上的接口。
[edit access]
user@router# set radius-server source-address 10.93.14.100
- 配置身份验证顺序,进行 radius 第一种身份验证方法:
[edit access]
user@router# set profile profile1 authentication-order radius
- 创建配置文件并指定要与该配置文件关联的 RADIUS 服务器列表。例如,您可以选择按城市对 RADIUS 服务器进行地理分组。此功能使您可以在要更改为其他发送的身份验证服务器时轻松进行修改。
[edit access profile]
user@router# set atlanta radius authentication-server 10.0.0.100 10.2.14.200
- 通过标识配置文件名称,指定要用于 802.1X 或 MAC RADIUS 认证的服务器组:
[edit access profile]
user@router# set protocols authentication-access-control authentication-profile-name denver
- 在 RADIUS 服务器上的客户端列表中配置 MX 系列路由器的 IP 地址。有关配置 RADIUS 服务器的详细信息,请参阅服务器的文档。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。
14.2
从 Junos OS 14.2 版开始,要使用 802.1X 或 MAC RADIUS 身份验证,必须为要连接到的每个 RADIUS 服务器指定路由器上的连接。
