MAC RADIUS-Authentifizierung
Sie können den Zugriff auf Ihr Netzwerk über einen Switch steuern, indem Sie verschiedene Authentifizierungsmethoden verwenden. Junos OS-Switches unterstützen 802.1X, MAC RADIUS und Captive Portal als Authentifizierungsmethoden für Geräte, die eine Verbindung zu einem Netzwerk herstellen müssen.
Sie können die MAC RADIUS-Authentifizierung auf den Switch-Schnittstellen konfigurieren, mit denen die Hosts verbunden sind, um LAN-Zugriff bereitzustellen. Weitere Informationen finden Sie in diesem Thema.
Konfigurieren der MAC RADIUS-Authentifizierung (CLI-Verfahren)
Sie können Geräten, die nicht 802.1X-fähig sind, den LAN-Zugriff erlauben, indem Sie die MAC RADIUS-Authentifizierung auf den Switch-Schnittstellen konfigurieren, mit denen die Hosts verbunden sind.
Sie können auch nicht 802.1X-fähigen Geräten den Zugriff auf das LAN gestatten, indem Sie ihre MAC-Adresse für die statische MAC-Umgehung der Authentifizierung konfigurieren.
Sie können die MAC RADIUS-Authentifizierung auf einer Schnittstelle konfigurieren, die auch die 802.1X-Authentifizierung zulässt, oder Sie können eine der beiden Authentifizierungsmethoden allein konfigurieren.
Wenn sowohl die MAC RADIUS- als auch die 802.1X-Authentifizierung auf der Schnittstelle aktiviert sind, sendet der Switch dem Host zunächst drei EAPoL-Anforderungen an den Host. Wenn der Host nicht antwortet, sendet der Switch die MAC-Adresse des Hosts an den RADIUS-Server, um zu prüfen, ob es sich um eine zulässige MAC-Adresse handelt. Wenn die MAC-Adresse auf dem RADIUS-Server als zulässig konfiguriert ist, sendet der RADIUS-Server eine Nachricht an den Switch, dass die MAC-Adresse eine zulässige Adresse ist, und der Switch öffnet den LAN-Zugriff auf den nicht reagierenden Host auf der Schnittstelle, mit der er verbunden ist.
Wenn die MAC RADIUS-Authentifizierung auf der Schnittstelle konfiguriert ist, die 802.1X-Authentifizierung jedoch nicht (mithilfe der Option), versucht der Switch, die MAC-Adresse beim RADIUS-Server ohne Verzögerung zu authentifizieren, indem er zuerst die 802.1X-Authentifizierung versucht.mac-radius restrict
Bevor Sie die MAC RADIUS-Authentifizierung konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Konfigurierter Basiszugriff zwischen dem Switch und dem RADIUS-Server. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
So konfigurieren Sie die MAC RADIUS-Authentifizierung mithilfe der CLI:
-
Konfigurieren Sie auf dem Switch die Schnittstellen, an die die nicht reagierenden Hosts für die MAC RADIUS-Authentifizierung angeschlossen sind, und fügen Sie den Qualifizierer für die Schnittstelle hinzu, damit nur die MAC RADIUS-Authentifizierung verwendet wird:restrictge-0/0/20
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
-
Erstellen Sie auf einem RADIUS-Authentifizierungsserver Benutzerprofile für jeden nicht reagierenden Host, indem Sie die MAC-Adresse (ohne Doppelpunkte) des nicht reagierenden Hosts als Benutzernamen und Kennwort verwenden (hier sind die MAC-Adressen und ):00:04:0f:fd:ac:fe00:04:ae:cd:23:5f
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
-
(Optional) Konfigurieren Sie ein globales Passwort für die gesamte MAC RADIUS-Authentifizierung, anstatt die MAC-Adresse als Passwort zu verwenden (hier lautet das globale Passwort):$9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF
[edit]# user@switch# edit protocols dot1x authenticator mac-radius password $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF
Siehe auch
Beispiel: Konfigurieren der MAC RADIUS-Authentifizierung auf einem Switch der EX-Serie
Um Hosts, die nicht 802.1X-fähig sind, den Zugriff auf ein LAN zu ermöglichen, können Sie die MAC RADIUS-Authentifizierung auf den Switch-Schnittstellen konfigurieren, mit denen die nicht 802.1X-fähigen Hosts verbunden sind. Wenn die MAC-RADIUS-Authentifizierung konfiguriert ist, versucht der Switch, den Host beim RADIUS-Server mithilfe der MAC-Adresse des Hosts zu authentifizieren.
In diesem Beispiel wird beschrieben, wie die MAC RADIUS-Authentifizierung für zwei nicht 802.1X-fähige Hosts konfiguriert wird:
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Dieses Beispiel gilt auch für QFX5100 Switches.
Junos OS Version 9.3 oder höher für Switches der EX-Serie.
Ein Switch der EX-Serie, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Ports der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein RADIUS-Authentifizierungsserver. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie die MAC RADIUS-Authentifizierung konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Konfigurierter Basiszugriff zwischen dem Switch der EX-Serie und dem RADIUS-Server. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Weitere Informationen finden Sie in der Dokumentation, in der das Einrichten von grundlegendem Bridging und einem VLAN für Ihren Switch beschrieben wird. Wenn Sie einen Switch verwenden, der den Konfigurationsstil Enhanced Layer 2 Software (ELS) unterstützt, finden Sie weitere Informationen unter Beispiel: Einrichten von Basic Bridging und einem VLAN für einen Switch der EX-Serie mit ELS-Unterstützung oder Beispiel: Einrichten von grundlegendem Bridging und einem VLAN auf Switches. Informationen zu allen anderen Switches finden Sie unter Beispiel: Einrichten eines grundlegenden Bridging und eines VLANs für einen Switch der EX-Serie.
HINWEIS:Weitere Informationen zu ELS finden Sie unter: Verwenden der erweiterten Layer-2-Software-CLI
802.1X-Basiskonfiguration durchgeführt. Weitere Informationen finden Sie unter Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren).Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren)
Übersicht und Topologie
IEEE 802.1X Port-based Network Access Control (PNAC) authentifiziert und erlaubt Geräten den Zugriff auf ein LAN, wenn die Geräte über das 802.1X-Protokoll mit dem Switch kommunizieren können (d. h., die Geräte sind 802.1X-fähig). Um nicht 802.1X-fähigen Endgeräten den Zugriff auf das LAN zu ermöglichen, können Sie die MAC-RADIUS-Authentifizierung auf den Schnittstellen konfigurieren, an die die Endgeräte angeschlossen sind. Wenn die MAC-Adresse des Endgeräts auf der Schnittstelle erscheint, prüft der Switch beim RADIUS-Server, ob es sich um eine zulässige MAC-Adresse handelt. Ist die MAC-Adresse des Endgerätes auf dem RADIUS-Server wie erlaubt konfiguriert, öffnet der Switch den LAN-Zugang zum Endgerät.
Sie können sowohl MAC RADIUS-Authentifizierung als auch 802.1X-Authentifizierungsmethoden auf einer Schnittstelle konfigurieren, die für mehrere Supplicants konfiguriert ist. Wenn eine Schnittstelle nur mit einem nicht 802.1X-fähigen Host verbunden ist, können Sie außerdem MAC RADIUS aktivieren und die 802.1X-Authentifizierung nicht aktivieren, indem Sie die Option verwenden, und so die Verzögerung vermeiden, die auftritt, wenn der Switch feststellt, dass das Gerät nicht auf EAP-Nachrichten reagiert.mac-radius restrict
Abbildung 1 Zeigt die beiden Drucker an, die mit dem Switch verbunden sind.
Diese Zahl gilt auch für QFX5100 Switches.
Tabelle 1 zeigt die Komponenten im Beispiel für die MAC RADIUS-Authentifizierung.
| Eigenschaft | Einstellungen |
|---|---|
Switch-Hardware |
EX4200-Anschlüsse (ge-0/0/0 bis ge-0/0/23) |
VLAN-Name |
Verkauf |
Anschlüsse an Drucker (kein PoE erforderlich) |
ge-0/0/19, MAC-Adresse 00040ffdacfe ge-0/0/20, MAC-Adresse 0004aecd235f |
RADIUS-Server |
Angeschlossen an die Einschaltschnittstelle ge-0/0/10 |
Der Drucker mit der MAC-Adresse 00040ffdacfe ist mit der Zugangsschnittstelle ge-0/0/19 verbunden. Ein zweiter Drucker mit der MAC-Adresse 0004aecd235f wird an die Zugangsschnittstelle ge-0/0/20 angeschlossen. In diesem Beispiel sind beide Schnittstellen für die MAC RADIUS-Authentifizierung auf dem Switch konfiguriert, und die MAC-Adressen (ohne Doppelpunkte) beider Drucker werden auf dem RADIUS-Server konfiguriert. Die Schnittstelle ge-0/0/20 ist so konfiguriert, dass die normale Verzögerung beim Versuch der 802.1X-Authentifizierung durch den Switch eliminiert wird. Die MAC RADIUS-Authentifizierung ist aktiviert und die 802.1X-Authentifizierung wird mit dieser Option deaktiviert.mac radius restrict
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um die MAC RADIUS-Authentifizierung schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set protocols dot1x authenticator interface ge-0/0/19 mac-radius set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
Außerdem müssen Sie die beiden MAC-Adressen als Benutzernamen und Kennwörter auf dem RADIUS-Server konfigurieren, wie in Schritt 2 der Schritt-für-Schritt-Anleitung beschrieben.
Schritt-für-Schritt-Anleitung
Konfigurieren Sie die MAC RADIUS-Authentifizierung auf dem Switch und auf dem RADIUS-Server:
Konfigurieren Sie auf dem Switch die Schnittstellen, an die die Drucker für die MAC RADIUS-Authentifizierung angeschlossen sind, und konfigurieren Sie die Option restrict für die Schnittstelle ge-0/0/20, sodass nur die MAC RADIUS-Authentifizierung verwendet wird:
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrictKonfigurieren Sie auf dem RADIUS-Server die MAC-Adressen 00040ffdacfe und 0004aecd235f als Benutzernamen und Kennwörter:
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration auf dem Switch an:
user@switch> show configuration
protocols {
dot1x {
authenticator {
authentication-profile-name profile52;
interface {
ge-0/0/19.0 {
mac-radius;
}
ge-0/0/20.0 {
mac-radius {
restrict;
}
}
}
}
}
}
Überprüfung
Stellen Sie sicher, dass die Supplicants authentifiziert sind:
Überprüfen, ob die Bittsteller authentifiziert sind
Zweck
Nachdem Supplicants für die MAC RADIUS-Authentifizierung auf dem Switch und auf dem RADIUS-Server konfiguriert wurden, überprüfen Sie, ob sie authentifiziert sind, und zeigen Sie die Authentifizierungsmethode an.
Was
Zeigen Sie Informationen zu den 802.1X-konfigurierten Schnittstellen ge-0/0/19 und ge-0/0/20 an:
user@switch> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
user@switch> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user102, 00:04:ae:cd:23:5f
Operational state: Authenticated
Authentcation method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Bedeutung
Die Beispielausgabe des Befehls zeigt die MAC-Adresse des angeschlossenen Endgeräts im Feld an.show dot1x interface detailSupplicant Auf der Schnittstelle ge-0/0/19 lautet die MAC-Adresse , d. h. die MAC-Adresse des ersten Druckers, der für die MAC RADIUS-Authentifizierung konfiguriert ist.00:04:0f:fd:ac:fe In diesem Feld wird die Authentifizierungsmethode als angezeigt.Authentication methodRadius Auf der Schnittstelle lautet die MAC-Adresse , d. h. die MAC-Adresse des zweiten Druckers, der für die MAC RADIUS-Authentifizierung konfiguriert ist.ge-0/0/2000:04:ae:cd:23:5f In diesem Feld wird die Authentifizierungsmethode als angezeigt.Authentication methodRadius