Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de la autenticación MAC RADIUS en un enrutador de la serie MX

A partir de Junos OS versión 14.2 para permitir que los hosts que no están habilitados para 802.1X accedan a la LAN, puede configurar la autenticación MAC RADIUS en las interfaces de enrutador a las que están conectados los hosts no habilitados para 802.1X. Cuando se configura la autenticación MAC RADIUS, el router intentará autenticar el host con el servidor RADIUS utilizando la dirección MAC del host.

En este ejemplo se describe cómo configurar la autenticación MAC RADIUS para dos hosts no habilitados para 802.1X:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 14.2 o posterior para enrutadores MX240, MX480 o MX960 que se ejecutan en modo LAN mejorado.

  • Un enrutador de la serie MX que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.

  • Un servidor de autenticación RADIUS. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de conectar el servidor al enrutador, asegúrese de que dispone de:

  • Se configuró el modo LAN mejorado en el enrutador.

  • Se realizó la configuración básica de puentes y VLAN en el enrutador.

  • Usuarios configurados en el servidor de autenticación RADIUS.

Descripción general y topología

El control de acceso a la red basado en puertos (PNAC) IEEE 802.1X autentica y permite que los dispositivos accedan a una LAN si los dispositivos pueden comunicarse con el enrutador mediante el protocolo 802.1X (están habilitados para 802.1X). Para permitir que los dispositivos finales no habilitados para 802.1X accedan a la LAN, puede configurar la autenticación MAC RADIUS en las interfaces a las que están conectados los dispositivos finales. Cuando la dirección MAC del dispositivo final aparece en la interfaz, el router consulta al servidor RADIUS para comprobar si se trata de una dirección MAC permitida. Si la dirección MAC del dispositivo final está configurada según lo permitido en el servidor RADIUS, el enrutador abre el acceso LAN al dispositivo final.

Puede configurar los métodos de autenticación MAC RADIUS y 802.1X en una interfaz configurada para varios suplicantes. Además, si una interfaz solo está conectada a un host no habilitado para 802.1X, puede habilitar MAC RADIUS y no habilitar la autenticación 802.1X mediante la opción y, de este modo, evitar el retraso que se produce mientras el enrutador determina que el dispositivo no responde a los mensajes EAP.mac-radius restrict

Hay dos impresoras conectadas a un enrutador de la serie MX a través de interfaces, ge-0/0/19 y ge-0/0/20.

Tabla 1 muestra los componentes del ejemplo para la autenticación MAC RADIUS.

Tabla 1: Componentes de la topología de configuración de autenticación MAC RADIUS
Propiedad Configuraciones

Hardware del enrutador

Puertos (ge-0/0/0 a ge-0/0/23)

Nombre de VLAN

Ventas

Conexiones a impresoras

ge-0/0/19, dirección MAC 00040ffdacfe

ge-0/0/20, dirección MAC 0004aecd235f

Servidor RADIUS

Conectado al enrutador en la interfaz ge-0/0/10

La impresora con la dirección MAC 00040ffdacfe está conectada a la interfaz de acceso ge-0/0/19. Una segunda impresora con la dirección MAC 0004aecd235f está conectada a la interfaz de acceso ge-0/0/20. En este ejemplo, ambas interfaces están configuradas para la autenticación MAC RADIUS en el enrutador y las direcciones MAC (sin dos puntos) de ambas impresoras se configuran en el servidor RADIUS. La interfaz ge-0/0/20 está configurada para eliminar el retraso normal mientras el router intenta la autenticación 802.1X; La autenticación MAC RADIUS está habilitada y la autenticación 802.1X está deshabilitada mediante la opción.mac radius restrict

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la autenticación MAC RADIUS, copie los siguientes comandos y péguelos en la ventana del terminal del enrutador:

Nota:

También debe configurar las dos direcciones MAC como nombres de usuario y contraseñas en el servidor RADIUS, como se realiza en el paso 2 del procedimiento paso a paso.

Procedimiento paso a paso

Configure la autenticación MAC RADIUS en el enrutador y en el servidor RADIUS:

  1. En el enrutador, configure las interfaces a las que están conectadas las impresoras para la autenticación MAC RADIUS y configure la opción en la interfaz , de modo que sólo se utilice la autenticación MAC RADIUS:restrictge-0/0/20

  2. En el servidor RADIUS, configure las direcciones MAC y como nombres de usuario y contraseñas:00040ffdacfe0004aecd235f

Resultados

Mostrar los resultados de la configuración en el router:

Verificación

Compruebe que los suplicantes estén autenticados:

Comprobación de que los suplicantes están autenticados

Propósito

Después de configurar los suplicantes para la autenticación MAC RADIUS en el enrutador y en el servidor RADIUS, verifique que estén autenticados y muestre el método de autenticación:

Acción

Muestra información sobre las interfaces configuradas por 802.1X y :ge-0/0/19ge-0/0/20

Significado

La salida de ejemplo del comando muestra la dirección MAC del dispositivo final conectado en el campo.show dot1x interface detailSupplicant En la interfaz ge-0/0/19, la dirección MAC es , que es la dirección MAC de la primera impresora configurada para la autenticación MAC RADIUS.00:04:0f:fd:ac:fe El campo muestra el método de autenticación como .Authentication methodMAC Radius En la interfaz , la dirección MAC es , que es la dirección MAC de la segunda impresora configurada para la autenticación MAC RADIUS.ge-0/0/2000:04:ae:cd:23:5f El campo muestra el método de autenticación como .Authentication methodMAC Radius

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
14.2
A partir de Junos OS versión 14.2 para permitir que los hosts que no están habilitados para 802.1X accedan a la LAN, puede configurar la autenticación MAC RADIUS en las interfaces de enrutador a las que están conectados los hosts no habilitados para 802.1X.