MAC RADIUS 身份验证
您可以使用几种不同的身份验证方法,通过交换机控制对网络的访问。Junos OS 交换机支持 802.1X、MAC RADIUS 和强制门户,作为需要连接到网络的设备的身份验证方法。
您可以在主机连接的交换机接口上配置 MAC RADIUS 身份验证,以提供 LAN 访问。有关更多信息,请阅读本主题。
配置 MAC RADIUS 身份验证(CLI 过程)
通过在主机连接的交换机接口上配置 MAC RADIUS 身份验证,可以允许未启用 802.1X 的设备访问 LAN。
您还可以通过配置其 MAC 地址以进行静态 MAC 绕过身份验证,以允许未启用 802.1X 的设备访问 LAN。
您可以在也允许 802.1X 身份验证的接口上配置 MAC RADIUS 身份验证,也可以单独配置任一身份验证方法。
如果接口上同时启用了 MAC RADIUS 和 802.1X 身份验证,交换机会先向主机发送三个 EAPoL 请求。如果主机没有响应,交换机会将主机的 MAC 地址发送到 RADIUS 服务器,以检查它是否是允许的 MAC 地址。如果在 RADIUS 服务器上将 MAC 地址配置为允许,则 RADIUS 服务器将向交换机发送一条消息,表明该 MAC 地址是允许的地址,并且交换机将在其连接的接口上打开对无响应主机的 LAN 访问。
如果接口上配置了 MAC RADIUS 身份验证,但未配置 802.1X 身份验证(通过使用 mac-radius restrict 选项),交换机会尝试使用 RADIUS 服务器对 MAC 地址进行身份验证,不会延迟,方法是先尝试 802.1X 身份验证。
配置 MAC RADIUS 身份验证之前,请确保您具备以下条件:
配置交换机与 RADIUS 服务器之间的基本访问权限。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
要使用 CLI 配置 MAC RADIUS 身份验证:
-
在交换机上,配置无响应主机连接到的接口以进行 MAC RADIUS 身份验证,并为接口 ge-0/0/20 添加限制限定符,使其仅使用 MAC RADIUS 身份验证:
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
-
在 RADIUS 身份验证服务器上,使用无响应主机的 MAC 地址(不带冒号)作为用户名和密码,为每个无响应主机创建用户配置文件(此处,MAC 地址为 00:04:0f:fd:ac:fe 和 00:04:ae:cd:23:5f):
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
-
(选答)为所有 MAC RADIUS 身份验证配置全局密码,而不是使用 MAC 地址作为密码(此处全局密码为 $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF):
[edit]# user@switch# edit protocols dot1x authenticator mac-radius password $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF
也可以看看
示例:在 EX 系列交换机上配置 MAC RADIUS 身份验证
要允许未启用 802.1X 的主机访问 LAN,可以在未启用 802.1X 的主机所连接的交换机接口上配置 MAC RADIUS 身份验证。配置 MAC RADIUS 身份验证后,交换机将尝试使用主机的 MAC 地址向 RADIUS 服务器验证主机。
此示例介绍如何为两台未启用 802.1X 的主机配置 MAC RADIUS 身份验证:
要求
此示例使用以下软件和硬件组件:
此示例也适用于 QFX5100 交换机。
适用于 EX 系列交换机的 Junos OS 9.3 或更高版本。
充当验证器端口访问实体 (PAE) 的 EX 系列交换机。验证器 PAE 上的端口形成一个控制门,用于阻止进出请求方的所有流量,直至请求方通过身份验证。
RADIUS 身份验证服务器。身份验证服务器充当后端数据库,包含有权连接到网络的主机(请求方)的证书信息。
配置 MAC RADIUS 身份验证之前,请确保您具备以下条件:
配置了 EX 系列交换机与 RADIUS 服务器之间的基本接入。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
在交换机上执行了基本桥接和 VLAN 配置。请参阅介绍如何为交换机设置基本桥接和 VLAN 的文档。如果您使用的交换机支持增强型第 2 层软件 (ELS) 配置样式,请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN 或 示例:在交换机上设置基本桥接和 VLAN。有关所有其他交换机,请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
注意:有关 ELS 的更多信息,请参阅: 使用增强型第 2 层软件 CLI
执行了基本的 802.1X 配置。请参阅配置 802.1X 接口设置(CLI 过程)。
概述和拓扑
如果设备能够使用 802.1X 协议与交换机通信(即设备支持 802.1X),则IEEE 802.1X 基于端口的网络访问控制 (PNAC) 会对设备进行身份验证并允许设备访问LAN。要允许未启用 802.1X 的终端设备访问 LAN,可以在终端设备连接的接口上配置 MAC RADIUS 身份验证。当终端设备的 MAC 地址出现在接口上时,交换机会查询 RADIUS 服务器,检查其是否为允许的 MAC 地址。如果终端设备的 MAC 地址在 RADIUS 服务器上配置为允许,则交换机将打开对终端设备的 LAN 访问。
您可以在为多个请求方配置的接口上配置 MAC RADIUS 身份验证和 802.1X 身份验证方法。此外,如果接口仅连接到未启用 802.1X 的主机,则可以使用 mac-radius RADIUS 限制选项启用 MAC RADIUS,而不启用 802.1X 身份验证,从而避免交换机确定设备不响应 EAP 消息时出现延迟。
图 1 显示了连接到交换机的两台打印机。
此数字也适用于 QFX5100 交换机。
拓扑
表 1 显示了 MAC RADIUS 身份验证示例中的组件。
| 属性 | 设置 |
|---|---|
交换机硬件 |
EX4200 端口(ge-0/0/0 到 ge-0/0/23) |
VLAN 名称 |
销售 |
连接到打印机(无需 PoE) |
ge-0/0/19,MAC 地址 00040ffdacfe ge-0/0/20,MAC 地址 0004aecd235f |
RADIUS 服务器 |
连接到接口 ge-0/0/10 上的交换机 |
MAC 地址为 00040ffdacfe 的打印机连接到访问接口 ge-0/0/19。第二台 MAC 地址为 0004aecd235f 的打印机连接到访问接口 ge-0/0/20。在此示例中,交换机上的两个接口均配置为用于 MAC RADIUS 身份验证,并且在 RADIUS 服务器上配置了两台打印机的 MAC 地址(不带冒号)。接口 ge-0/0/20 配置为消除交换机尝试 802.1X 身份验证时的正常延迟;使用该 mac radius restrict 选项已启用 MAC RADIUS 身份验证,并禁用 802.1X 身份验证。
拓扑结构
配置
过程
CLI 快速配置
要快速配置 MAC RADIUS 身份验证,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set protocols dot1x authenticator interface ge-0/0/19 mac-radius set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
您还必须将这两个 MAC 地址配置为 RADIUS 服务器上的用户名和密码,如分步过程的步骤 2 中所完成的操作。
分步程序
在交换机和 RADIUS 服务器上配置 MAC RADIUS 身份验证:
在交换机上,配置打印机连接到的接口以进行 MAC RADIUS 身份验证,并在接口 ge-0/0/20 上配置限制选项,以便仅使用 MAC RADIUS 身份验证:
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict在 RADIUS 服务器上,将 MAC 地址 00040ffdacfe 和 0004aecd235f 配置为用户名和密码:
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
结果
显示交换机上的配置结果:
user@switch> show configuration
protocols {
dot1x {
authenticator {
authentication-profile-name profile52;
interface {
ge-0/0/19.0 {
mac-radius;
}
ge-0/0/20.0 {
mac-radius {
restrict;
}
}
}
}
}
}
验证
验证请求方是否已通过身份验证:
验证请求方是否已通过身份验证
目的
在交换机和 RADIUS 服务器上为 MAC RADIUS 身份验证配置请求方后,验证这些请求方是否已通过身份验证并显示身份验证方法。
行动
显示有关 802.1X 配置的接口 ge-0/0/19 和 ge-0/0/20 的信息:
user@switch> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
user@switch> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user102, 00:04:ae:cd:23:5f
Operational state: Authenticated
Authentcation method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意义
命令 show dot1x interface detail 的示例输出将在请求 方 字段中显示所连接终端设备的 MAC 地址。在接口 ge-0/0/19 上,MAC 地址为 00:04:0f:fd:ac:fe,这是为 MAC RADIUS 身份验证配置的第一台打印机的 MAC 地址。 Authentication method 字段将身份验证方法显示为 Radius。在接口 ge-0/0/20 上,MAC 地址为 00:04:ae:cd:23:5f,这是为 MAC RADIUS 身份验证配置的第二台打印机的 MAC 地址。 Authentication method 字段将身份验证方法显示为 Radius。