Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MAC RADIUS 身份验证

通过使用几种不同的身份验证方法,您可以通过交换机来控制对网络的访问。Junos OS 交换机支持 802.1 X、MAC RADIUS 和将其作为身份验证方法连接到需要与网络相连的设备。

您可以在主机连接到的交换机接口上配置 MAC RADIUS 身份验证,以便提供 LAN 接入。有关更多信息,请阅读本主题。

配置 MAC RADIUS 身份验证(CLI 过程)

通过在主机连接的交换机接口上配置 MAC RADIUS 身份验证,您可以允许不802.1 支持 X 的 LAN 访问的设备。

注:

您也可通过 MAC 地址配置非802.1 支持 X 的设备来访问 LAN,方法是为身份验证绕过静态 MAC 旁路。

您可以在也允许 802.1 X 身份验证的接口上配置 MAC RADIUS 身份验证,也可以单独配置任一身份验证方法。

如果在接口上同时启用 MAC RADIUS 和 802.1 X 身份验证,交换机将首先向主机发送三个 EAPoL 请求。如果主机无响应,交换机会向MAC 地址发送主机的RADIUS,检查其是否允许MAC 地址。如果 MAC 地址按 RADIUS 服务器上的允许配置,RADIUS 服务器会向交换机发送一条消息,指示 MAC 地址是允许的地址,而交换机将对其连接的接口上的未响应主机打开 LAN 访问。

如果在接口上配置了 MAC RADIUS 身份验证,但 802.1X 身份验证未(使用 选项),交换机将尝试通过 RADIUS 服务器验证 MAC 地址,并且先尝试 mac-radius restrict 802.1X 身份验证,而不会延迟。

在配置 MAC RADIUS 身份验证之前,请确保您已:

要使用 CLI 配置 MAC RADIUS 身份验证:

  • 在交换机上,配置非响应主机为 MAC RADIUS 认证连接到的接口,并添加接口资格认证以将其仅使用 MAC RADIUS restrictge-0/0/20 认证:

  • 在 RADIUS 认证服务器上,使用无响应主机的 MAC 地址(无冒号)作为用户名和密码(此处为 和 ,MAC 地址为 00:04:0f:fd:ac:fe00:04:ae:cd:23:5f ):

示例:在 EX 系列交换机上配置 MAC RADIUS 身份验证

要允许不支持 802.1 X 的主机访问 LAN,您可以在交换机接口上配置 MAC RADIUS 身份验证,非802.1 支持 X 的主机将连接到这些界面。配置 MAC RADIUS时,交换机将尝试使用主机的 RADIUS 服务器来认证主机MAC 地址。

此示例介绍如何为两个非802.1 支持 X 的主机配置 MAC RADIUS 身份验证:

要求

此示例使用以下软件和硬件组件:

注:

此示例也适用于 QFX5100 交换机。

  • EX 系列交换机 Junos OS 9.3 或更高版本。

  • 作为认证者端口接入实体(PAE)的 EX 系列交换机。认证器 PAE 上的端口是控制门,用于阻止到达请求者和来自请求方的所有流量,直至其获得身份验证。

  • RADIUS 认证服务器。认证服务器用作后端数据库,其中包含有权连接到网络的主机(请求者)的证书信息。

在配置 MAC RADIUS 身份验证之前,请确保您已:

概述和拓扑

IEEE 802.1 X 端口的网络接入控制(PNAC)可通过使用 802.1 X 协议(即设备已启用 802.1 X)与交换机进行身份验证并允许设备访问 LAN。要允许非802.1 的支持 X 的端设备访问 LAN,可在终端设备连接到的接口上配置 MAC RADIUS 身份验证。当终端设备的 MAC 地址出现在接口上时,交换机将咨询 RADIUS 服务器以检查其是否为允许的 MAC 地址。如果最终设备的 MAC 地址在 RADIUS 服务器上配置为允许,交换机将打开对终端设备的 LAN 访问。

您可以在为多个请求者配置的接口上配置 MAC RADIUS 身份验证和 802.1 X 身份验证方法。此外,如果接口仅连接到不支持 802.1X 的主机,则您可以通过选项启用 MAC RADIUS,而不是使用 选项启用 802.1X 身份验证,从而避免交换机确定设备不响应 EAP 消息时发生的延迟。 mac-radius restrict

图 1显示了连接到交换机的两台打印机。

注:

本图也适用于 QFX5100 交换机。

图 1: MAC 拓扑 RADIUS 认证配置MAC 拓扑 RADIUS 认证配置

表 1显示了 MAC RADIUS 身份验证示例中的组件。

表 1: MAC RADIUS 身份验证配置拓扑的组件
财产 设置

交换机硬件

EX4200 端口(ge-0/0/0 到 ge-0/0/23)

VLAN 名称

部门

打印机连接(不需要 PoE)

ge-0/0/19,MAC 地址00040ffdacfe

ge-0/0/20,MAC 地址0004aecd235f

RADIUS 服务器

连接到接口上的交换机 ge-0/0/10

使用 MAC 地址00040ffdacfe 的打印机连接到接入接口 ge-0/0/19。使用 MAC 地址0004aecd235f 的第二台打印机连接到接入接口 ge-0/0/20。在此示例中,两个接口均配置为交换机上的 MAC RADIUS 身份验证,并且两台打印机的 MAC 地址(不带冒号)均配置在 RADIUS 服务器上。接口 ge-0/0/20 配置为消除交换机尝试 802.1 X 身份验证时的正常延迟;MAC RADIUS 身份验证已启用,802.1 X 身份验证使用mac radius restrict选项禁用。

拓扑

配置

操作

CLI 快速配置

要快速配置 MAC RADIUS 认证,请复制以下命令并将其粘贴到交换机端子窗口中:

注:

您还必须将两个 MAC 地址配置为 RADIUS 服务器上的用户名和密码,如分步过程中的步骤2所做的操作。

分步过程

在交换机和 RADIUS 服务器上配置 MAC RADIUS 身份验证:

  1. 在交换机上,配置打印机连接到的 MAC RADIUS 身份验证的接口,并在接口 ge-0/0/20 上配置 restrict 选项,以便仅使用 MAC RADIUS 身份验证:

  2. 在 RADIUS 服务器上,将 MAC 地址00040ffdacfe 和0004aecd235f 配置为用户名和密码:

成果

在交换机上显示配置结果:

针对

验证请求方是否已认证:

验证请求方是否已认证

用途

在交换机上和 RADIUS 服务器上将请求者配置为 MAC RADIUS 身份验证后,验证它们是否经过身份验证,并显示身份验证方法。

行动

显示有关 802.1 X 配置的接口 ge-0/0/19 和 ge-0/0/20 的信息:

含义

命令的示例 show dot1x interface detail 输出显示MAC 地址中已连接终端设备的 Supplicant 行家。在接口 ge-0/0/19 上,MAC 地址 为 ,这是为 MAC MAC 地址 认证配置的第一RADIUS 00:04:0f:fd:ac:fe 打印机。字段 Authentication method 将认证方法显示为 Radius 。在接口 ge-0/0/20 上,MAC 地址 是配置为 MAC MAC 地址认证的第二台打印机的 00:04:ae:cd:23:5f RADIUS。字段 Authentication method 将认证方法显示为 Radius