Auf dieser Seite
Beispiel: Konfigurieren der MAC RADIUS-Authentifizierung auf einem Router der MX-Serie
Ab Junos OS Version 14.2 können Sie die MAC RADIUS-Authentifizierung auf den Routerschnittstellen konfigurieren, mit denen die nicht 802.1X-fähigen Hosts verbunden sind, um Hosts, die nicht 802.1X-fähig sind, den Zugriff auf das LAN zu ermöglichen. Wenn die MAC-RADIUS-Authentifizierung konfiguriert ist, versucht der Router, den Host beim RADIUS-Server über die MAC-Adresse des Hosts zu authentifizieren.
In diesem Beispiel wird beschrieben, wie die MAC RADIUS-Authentifizierung für zwei nicht 802.1X-fähige Hosts konfiguriert wird:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 14.2 oder höher für MX240-, MX480- oder MX960-Router, die im erweiterten LAN-Modus ausgeführt werden.
Ein Router der MX-Serie, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Ports der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein RADIUS-Authentifizierungsserver. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie den Server mit dem Router verbinden, stellen Sie sicher, dass Sie über Folgendes verfügen:
Erweiterter LAN-Modus auf dem Router konfiguriert.
Grundlegende Bridging- und VLAN-Konfiguration auf dem Router durchgeführt.
Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver.
Übersicht und Topologie
IEEE 802.1X Port-Based Network Access Control (PNAC) authentifiziert Geräte und erlaubt den Zugriff auf ein LAN, wenn die Geräte über das 802.1X-Protokoll mit dem Router kommunizieren können (802.1X-fähig sind). Um nicht 802.1X-fähigen Endgeräten den Zugriff auf das LAN zu ermöglichen, können Sie die MAC-RADIUS-Authentifizierung auf den Schnittstellen konfigurieren, an die die Endgeräte angeschlossen sind. Wenn die MAC-Adresse des Endgeräts auf der Schnittstelle erscheint, prüft der Router beim RADIUS-Server, ob es sich um eine zulässige MAC-Adresse handelt. Ist die MAC-Adresse des Endgerätes auf dem RADIUS-Server als erlaubt konfiguriert, öffnet der Router den LAN-Zugang zum Endgerät.
Sie können sowohl MAC RADIUS-Authentifizierung als auch 802.1X-Authentifizierungsmethoden auf einer Schnittstelle konfigurieren, die für mehrere Supplicants konfiguriert ist. Wenn eine Schnittstelle nur mit einem nicht 802.1X-fähigen Host verbunden ist, können Sie außerdem MAC RADIUS aktivieren und die 802.1X-Authentifizierung mit dieser mac-radius restrict Option nicht aktivieren und so die Verzögerung vermeiden, die auftritt, wenn der Router feststellt, dass das Gerät nicht auf EAP-Nachrichten reagiert.
Zwei Drucker sind über die Schnittstellen ge-0/0/19 und ge-0/0/20 mit einem Router der MX-Serie verbunden.
Tabelle 1 zeigt die Komponenten im Beispiel für die MAC RADIUS-Authentifizierung.
| Eigentum | Einstellungen |
|---|---|
Router-Hardware |
Anschlüsse (ge-0/0/0 bis ge-0/0/23) |
VLAN-Name |
Umsatz |
Anschlüsse an Drucker |
ge-0/0/19, MAC-Adresse 00040ffdacfe ge-0/0/20, MAC-Adresse 0004aecd235f |
RADIUS-Server |
Verbunden mit dem Router über die Schnittstelle ge-0/0/10 |
Der Drucker mit der MAC-Adresse 00040ffdacfe ist mit der Zugangsschnittstelle ge-0/0/19 verbunden. Ein zweiter Drucker mit der MAC-Adresse 0004aecd235f wird an die Zugangsschnittstelle ge-0/0/20 angeschlossen. In diesem Beispiel sind beide Schnittstellen für die MAC RADIUS-Authentifizierung auf dem Router konfiguriert, und die MAC-Adressen (ohne Doppelpunkte) beider Drucker werden auf dem RADIUS-Server konfiguriert. Die Schnittstelle ge-0/0/20 ist so konfiguriert, dass die normale Verzögerung beim Versuch der 802.1X-Authentifizierung durch den Router beseitigt wird. Die MAC RADIUS-Authentifizierung ist aktiviert und die 802.1X-Authentifizierung wird mit dieser mac radius restrict Option deaktiviert.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um die MAC RADIUS-Authentifizierung schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Routers ein:
[edit] set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict
Außerdem müssen Sie die beiden MAC-Adressen als Benutzernamen und Kennwörter auf dem RADIUS-Server konfigurieren, wie in Schritt 2 der Schritt-für-Schritt-Anleitung beschrieben.
Schritt-für-Schritt-Anleitung
Konfigurieren Sie die MAC RADIUS-Authentifizierung auf dem Router und auf dem RADIUS-Server:
Konfigurieren Sie auf dem Router die Schnittstellen, an die die Drucker angeschlossen sind, für die MAC RADIUS-Authentifizierung, und konfigurieren Sie die restrict Option auf Schnittstelle ge-0/0/20, sodass nur die MAC RADIUS-Authentifizierung verwendet wird:
[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrictKonfigurieren Sie auf dem RADIUS-Server die MAC-Adressen 00040ffdacfe sowie 0004aecd235f Benutzernamen und Kennwörter:
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration auf dem Router an:
user@router> show configuration
protocols {
authentication-access-control {
authentication-profile-name profile52;
interface {
ge-0/0/19.0 {
dot1x {
mac-radius;
}
}
ge-0/0/20.0 {
dot1x {
mac-radius {
restrict;
}
}
}
}
}
}
Verifizierung
Stellen Sie sicher, dass die Supplicants authentifiziert sind:
Überprüfen, ob die Bittsteller authentifiziert sind
Zweck
Nachdem Supplicants für die MAC RADIUS-Authentifizierung auf dem Router und auf dem RADIUS-Server konfiguriert wurden, überprüfen Sie, ob sie authentifiziert sind, und zeigen Sie die Authentifizierungsmethode an:
Action!
Anzeige von Informationen über 802.1X-konfigurierte Schnittstellen ge-0/0/19 und ge-0/0/20:
user@router> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
user@router> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user102, 00:04:ae:cd:23:5f
Operational state: Authenticated
Authentcation method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Bedeutung
Die Beispielausgabe des show dot1x interface detail Befehls zeigt die MAC-Adresse des angeschlossenen Endgeräts im Supplicant Feld an. Auf der Schnittstelle ge-0/0/19 lautet 00:04:0f:fd:ac:fedie MAC-Adresse , d. h. die MAC-Adresse des ersten Druckers, der für die MAC RADIUS-Authentifizierung konfiguriert ist. In Authentication method diesem Feld wird die Authentifizierungsmethode als MAC Radiusangezeigt. Auf der Schnittstelle ge-0/0/20lautet 00:04:ae:cd:23:5fdie MAC-Adresse , d. h. die MAC-Adresse des zweiten Druckers, der für die MAC RADIUS-Authentifizierung konfiguriert ist. In Authentication method diesem Feld wird die Authentifizierungsmethode als MAC Radiusangezeigt.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.