Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Ejemplo Configuración de la autenticación de RADIUS MAC en un enrutador de la serie MX

 

A partir de Junos OS versión 14,2 para permitir que los hosts que no tienen 802.1 X habilitado tengan acceso a la LAN, puede configurar la autenticación de RADIUS MAC en las interfaces del enrutador a las que están conectados los hosts que no tienen el 802.1 habilitado X. Cuando se configura la autenticación de RADIUS en MAC, el enrutador intentará autenticar el host con el servidor’RADIUS mediante el dirección Mac de host s.

En este ejemplo se describe cómo configurar la autenticación de RADIUS de MAC para dos hosts habilitados para X no 802.1:

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 14,2 o posterior para enrutadores MX240, MX480 o MX960 que se ejecutan en modo LAN mejorado.

  • Enrutador de la serie MX que actúa como entidad de acceso a puertos (PAE) del autenticador. Los puertos del autenticador PAE forman una puerta de control que bloquea todo el tráfico entrante y no de los suplicantes hasta que se autentiquen.

  • Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos del servidor y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de conectar el servidor al enrutador, asegúrese de que tiene:

  • Modo de LAN mejorada configurado en el enrutador.

  • Se realizaron los puentes básicos y la configuración de VLAN en el enrutador.

  • Usuarios configurados en el servidor de autenticación RADIUS.

Descripción general y topología

IEEE 802.1 control de acceso a la red (PNAC) X basado en Puerto autentica y permite que los dispositivos tengan acceso a una LAN si los dispositivos se pueden comunicar con el enrutador mediante el protocolo 802.1 X (802.1 X habilitado). Para permitir que los dispositivos finales no compatibles con la X 802.1 tengan acceso a la LAN, puede configurar la autenticación de RADIUS de MAC en las interfaces a las que están conectados los dispositivos finales. Cuando aparece el dirección MAC del dispositivo final en la interfaz, el enrutador consulta al servidor RADIUS para comprobar si se trata de un dirección MAC permitido. Si la dirección MAC del dispositivo final está configurada según lo permitido en el servidor RADIUS, el enrutador abre el acceso LAN al dispositivo final.

Puede configurar los métodos de autenticación tanto de RADIUS de MAC como de 802.1 X en una interfaz configurada para varios suplicantes. Además, si una interfaz solo está conectada a un host habilitado para X no 802.1, puede habilitar RADIUS de MAC y no habilitar la autenticación de 802.1 X mediante el Mac-RADIUS Restrict opción y, por lo tanto, evitar el retraso que se produce mientras el enrutador determina que el dispositivo no responde a los mensajes EAP.

Dos impresoras están conectadas a un enrutador de la serie MX a través de interfaces: GE-0/0/19 y GE-0/0/20.

Tabla 1muestra los componentes del ejemplo para la autenticación de RADIUS de MAC.

Tabla 1: Componentes de la topología de configuración de autenticación de MAC RADIUS

InspectorConfiguraciones

Hardware de enrutador

Puertos (GE-0/0/0 a GE-0/0/23)

Nombre de VLAN

impuesto

Conexiones con impresoras

GE-0/0/19, dirección MAC 00040ffdacfe

GE-0/0/20, dirección MAC 0004aecd235f

Servidor RADIUS

Conectado al enrutador en la interfaz ge-0/0/10

La impresora con el dirección MAC 00040ffdacfe está conectada a la interfaz de Access GE-0/0/19. Hay una segunda impresora con la dirección MAC 0004aecd235f conectada a la interfaz de Access GE-0/0/20. En este ejemplo, ambas interfaces se configuran para la autenticación de RADIUS MAC en el enrutador y las direcciones MAC (sin los dos puntos) de ambas impresoras se configuran en el servidor RADIUS. La interfaz GE-0/0/20 está configurada para eliminar el retraso normal mientras el enrutador intenta autenticarse en 802.1 X; La autenticación de RADIUS de MAC está habilitada y la autenticación de mac radius restrict 802.1 x está deshabilitada por medio de la opción.

Automática

Configuración rápida de CLI

Para configurar rápidamente la autenticación de RADIUS de MAC, copie los siguientes comandos y péguelos en la ventana de terminal del enrutador:

[edit]

set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius



set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict

Nota

También debe configurar las dos direcciones MAC como nombres de usuario y contraseñas en el servidor RADIUS, tal y como se hace en el paso 2 del procedimiento paso a paso.

Procedimiento detallado

Configure la autenticación de RADIUS de MAC en el enrutador y en el servidor RADIUS:

  1. En el enrutador, configure las interfaces a las que se adjuntarán las impresoras para la autenticación RADIUS de MAC y configure el impedir opción de interfaz ge-0/0/20, para que solo se utilice la autenticación de RADIUS en MAC:
    [edit]

    user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius



    user@router# set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict

  2. En el servidor RADIUS, configure las direcciones MAC 00040ffdacfe y 0004aecd235f nombres de usuario y contraseñas:
    [root@freeradius]#

    edit /etc/raddb

    vi users

    00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe"

    0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"

Resultados

Mostrar los resultados de la configuración en el enrutador:

Comproba

Compruebe que se autentican los suplicantes:

Comprobando que los suplicantes están autenticados

Finalidad

Una vez configurados los suplicantes para la autenticación de RADIUS de MAC en el enrutador y en el servidor RADIUS, compruebe que se autentican y muestre el método de autenticación:

Acción

Mostrar información acerca de interfaces configuradas por X 802.1 ge-0/0/19 y ge-0/0/20:

user@router> show dot1x interface ge-0/0/19.0 detail
user@router> show dot1x interface ge-0/0/20.0 detail

Significado

El resultado del ejemplo del show dot1x interface detail comando muestra el dirección Mac del dispositivo final conectado en la Suplica campo. En la interfaz GE-0/0/19, el dirección MAC 00:04:0f:fd:ac:fe, que es el dirección MAC de la primera impresora configurada para la autenticación de RADIUS MAC. El servicio Método de autenticación campo muestra el método de autenticación como MAC RADIUS. En la interfaz ge-0/0/20, el dirección MAC se 00:04:ae:cd:23:5f, que es el dirección MAC de la segunda impresora configurada para la autenticación de RADIUS MAC. El servicio Método de autenticación campo muestra el método de autenticación como MAC RADIUS.

Release History Table
Publicación
Descripción
A partir de Junos OS versión 14,2 para permitir que los hosts que no tienen 802.1 X habilitado tengan acceso a la LAN, puede configurar la autenticación de RADIUS MAC en las interfaces del enrutador a las que están conectados los hosts que no tienen el 802.1 habilitado X.