Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren der MAC RADIUS-Authentifizierung auf Routern der MX-Serie im erweiterten LAN-Modus

Ab Junos OS Version 14.2 können Sie Geräten, die nicht 802.1X-fähig sind, den LAN-Zugriff gewähren, indem Sie die MAC RADIUS-Authentifizierung auf den Routerschnittstellen der MX-Serie konfigurieren, mit denen die Hosts verbunden sind.

HINWEIS:

Sie können auch nicht 802.1X-fähigen Geräten den Zugriff auf das LAN gestatten, indem Sie ihre MAC-Adresse für die statische MAC-Umgehung der Authentifizierung konfigurieren.

Sie können die MAC RADIUS-Authentifizierung auf einer Schnittstelle konfigurieren, die auch die 802.1X-Authentifizierung zulässt, oder Sie können eine der beiden Authentifizierungsmethoden allein konfigurieren.

Wenn sowohl die MAC RADIUS- als auch die 802.1X-Authentifizierung auf der Schnittstelle aktiviert sind, sendet der Router dem Host zunächst drei EAPOL-Anforderungen an den Host. Wenn der Host keine Antwort erhält, sendet der Router die MAC-Adresse des Hosts an den RADIUS-Server, um zu prüfen, ob es sich um eine zulässige MAC-Adresse handelt. Wenn die MAC-Adresse auf dem RADIUS-Server als zulässig konfiguriert ist, sendet der RADIUS-Server eine Nachricht an den Router, dass die MAC-Adresse eine zulässige Adresse ist, und der Router öffnet den LAN-Zugriff auf den nicht reagierenden Host auf der Schnittstelle, mit der er verbunden ist.

Wenn die MAC RADIUS-Authentifizierung auf der Schnittstelle konfiguriert ist, die 802.1X-Authentifizierung jedoch nicht (mithilfe der mac-radius restrict Option), versucht der Router, die MAC-Adresse beim RADIUS-Server ohne Verzögerung zu authentifizieren, indem er zuerst die 802.1X-Authentifizierung versucht.

Bevor Sie die MAC RADIUS-Authentifizierung konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Konfigurierter Basiszugriff zwischen dem Router der MX-Serie und dem RADIUS-Server.

  • Konfiguration der MX240-, MX480- und MX960-Router für den Betrieb im erweiterten LAN-Modus durch Eingabe der network-services lan Anweisung auf Hierarchieebene [edit chassis] .

So konfigurieren Sie die MAC RADIUS-Authentifizierung mithilfe der CLI:

  • Konfigurieren Sie auf dem Router die Schnittstellen, an die die nicht reagierenden Hosts für die MAC RADIUS-Authentifizierung angeschlossen sind, und fügen Sie den Qualifizierer für die restrict Schnittstelle ge-0/0/20 hinzu, damit nur die MAC RADIUS-Authentifizierung verwendet wird:

  • Erstellen Sie auf einem RADIUS-Authentifizierungsserver Benutzerprofile für jeden nicht reagierenden Host, indem Sie die MAC-Adresse (ohne Doppelpunkte) des nicht reagierenden Hosts als Benutzernamen und Kennwort verwenden (hier sind 00:04:0f:fd:ac:fe die MAC-Adressen und ): 00:04:ae:cd:23:5f

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
14.2
Ab Junos OS Version 14.2 können Sie Geräten, die nicht 802.1X-fähig sind, den LAN-Zugriff gewähren, indem Sie die MAC RADIUS-Authentifizierung auf den Routerschnittstellen der MX-Serie konfigurieren, mit denen die Hosts verbunden sind.