Sowohl IEEE 802.1X als auch die MAC RADIUS-Authentifizierung bieten Netzwerk-Edge-Sicherheit und schützen Ethernet-LANs vor unbefugtem Benutzerzugriff, indem der gesamte Datenverkehr zu und von Geräten an der Schnittstelle blockiert wird, bis die Anmeldeinformationen oder die MAC-Adresse des Supplicants auf dem authentication server (einem RADIUS-Server) angezeigt und abgeglichen werden. Wenn der Supplicant authentifiziert ist, blockiert der Router nicht mehr den Zugriff und öffnet die Schnittstelle für den Supplicant.
Ab Junos OS Version 14.2 müssen Sie für die Verwendung der 802.1X- oder MAC RADIUS-Authentifizierung die Verbindungen auf dem Router für jeden RADIUS-Server angeben, mit dem Sie eine Verbindung herstellen möchten.
So konfigurieren Sie einen RADIUS-Server auf dem Router:
- Definieren Sie die IP-Adresse des RADIUS-Servers, die Portnummer für die RADIUS-Serverauthentifizierung und das geheime Kennwort. Sie können mehr als einen RADIUS-Server definieren. Das geheime Passwort auf dem Router muss mit dem geheimen Passwort auf dem Server übereinstimmen:
[edit access]
user@router# set radius-server 10.0.0.100 port 1812 secret abc
HINWEIS: Die Angabe des Authentifizierungsports ist optional, Port 1812 ist die Standardeinstellung. Es wird jedoch empfohlen, es zu konfigurieren, um Verwechslungen zu vermeiden, da einige RADIUS-Server möglicherweise auf eine ältere Standardeinstellung verweisen.
- (Optional) Geben Sie die IP-Adresse an, mit der der Router vom RADIUS-Server identifiziert wird. Wenn Sie dies nicht angeben, verwendet der RADIUS-Server die Adresse der Schnittstelle, die die RADIUS-Anforderung sendet. Es wird empfohlen, diese IP-Adresse anzugeben, denn wenn die Anforderung auf eine alternative Route zum RADIUS-Server umgeleitet wird, ist die Schnittstelle, die die Anforderung weiterleitet, möglicherweise keine Schnittstelle auf dem Router.
[edit access]
user@router# set radius-server source-address 10.93.14.100
- Konfigurieren Sie die Authentifizierungsreihenfolge, indem Sie die erste Authentifizierungsmethode festlegen radius :
[edit access]
user@router# set profile profile1 authentication-order radius
- Erstellen Sie ein Profil, und geben Sie die Liste der RADIUS-Server an, die dem Profil zugeordnet werden sollen. Sie können Ihre RADIUS-Server beispielsweise geografisch nach Stadt gruppieren. Diese Funktion ermöglicht eine einfache Änderung, wenn Sie zu einem anderen Satz von Authentifizierungsservern wechseln möchten.
[edit access profile]
user@router# set atlanta radius authentication-server 10.0.0.100 10.2.14.200
- Geben Sie die Gruppe von Servern an, die für die 802.1X- oder MAC RADIUS-Authentifizierung verwendet werden sollen, indem Sie den Profilnamen identifizieren:
[edit access profile]
user@router# set protocols authentication-access-control authentication-profile-name denver
- Konfigurieren Sie die IP-Adresse des Routers der MX-Serie in der Liste der Clients auf dem RADIUS-Server. Einzelheiten zur Konfiguration des RADIUS-Servers finden Sie in der Dokumentation Ihres Servers.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
14.2
Ab Junos OS Version 14.2 müssen Sie für die Verwendung der 802.1X- oder MAC RADIUS-Authentifizierung die Verbindungen auf dem Router für jeden RADIUS-Server angeben, mit dem Sie eine Verbindung herstellen möchten.
