Exemple : Configuration de l’authentification MAC RADIUS sur un routeur MX Series
À partir de Junos OS version 14.2 pour permettre aux hôtes non compatibles 802.1X d’accéder au réseau local, vous pouvez configurer l’authentification MAC RADIUS sur les interfaces de routeur auxquelles les hôtes non compatibles 802.1X sont connectés. Lorsque l’authentification MAC RADIUS est configurée, le routeur tente d’authentifier l’hôte auprès du serveur RADIUS à l’aide de l’adresse MAC de l’hôte.
Cet exemple décrit comment configurer l’authentification MAC RADIUS pour deux hôtes non compatibles 802.1X :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 14.2 ou ultérieure pour les routeurs MX240, MX480 ou MX960 exécutés en mode LAN amélioré.
Routeur MX Series faisant office d’entité d’accès au port d’authentification (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Un serveur d’authentification RADIUS. Le serveur d’authentification fait office de base de données principale et contient les informations d’identification des hôtes (demandeurs) autorisés à se connecter au réseau.
Avant de connecter le serveur au routeur, assurez-vous d’avoir :
Configurez le mode LAN amélioré sur le routeur - effectué.
Effectuez le pontage de base et la configuration VLAN sur le routeur - effectué.
Utilisateurs configurés sur le serveur d’authentification RADIUS.
Vue d’ensemble et topologie
Le contrôle d’accès réseau basé sur port (PNAC) IEEE 802.1X authentifie et autorise les périphériques à accéder à un réseau local s’ils peuvent communiquer avec le routeur à l’aide du protocole 802.1X (compatibles 802.1X). Pour permettre aux terminaux non compatibles 802.1X d’accéder au réseau local, vous pouvez configurer l’authentification MAC RADIUS sur les interfaces auxquelles les terminaux sont connectés. Lorsque l’adresse MAC du terminal apparaît sur l’interface, le routeur consulte le serveur RADIUS pour vérifier s’il s’agit d’une adresse MAC autorisée. Si l’adresse MAC du périphérique final est configurée comme autorisée sur le serveur RADIUS, le routeur ouvre un accès LAN au périphérique final.
Vous pouvez configurer les méthodes d’authentification MAC RADIUS et d’authentification 802.1X sur une interface configurée pour plusieurs demandeurs. En outre, si une interface est uniquement connectée à un hôte non compatible 802.1X, vous pouvez activer MAC RADIUS et ne pas activer l’authentification 802.1X à l’aide de l’option mac-radius restrict , et ainsi éviter le délai qui se produit pendant que le routeur détermine que l’appareil ne répond pas aux messages EAP.
Deux imprimantes sont connectées à un routeur MX Series via les interfaces ge-0/0/19 et ge-0/0/20.
Tableau 1 montre les composants de l’exemple pour l’authentification MAC RADIUS.
| Propriété | Paramètres |
|---|---|
Matériel du routeur |
Ports (ge-0/0/0 à ge-0/0/23) |
Nom du VLAN |
ventes |
Connexions aux imprimantes |
ge-0/0/19, adresse MAC 00040ffdacfe ge-0/0/20, adresse MAC 0004aecd235f |
serveur RADIUS |
Connecté au routeur sur l’interface ge-0/0/10 |
L’imprimante portant l’adresse MAC 00040ffdacfe est connectée à l’interface d’accès ge-0/0/19. Une deuxième imprimante portant l’adresse MAC 0004aecd235f est connectée à l’interface d’accès ge-0/0/20. Dans cet exemple, les deux interfaces sont configurées pour l’authentification MAC RADIUS sur le routeur, et les adresses MAC (sans deux-points) des deux imprimantes sont configurées sur le serveur RADIUS. L’interface ge-0/0/20 est configurée pour éliminer le délai normal pendant que le routeur tente l’authentification 802.1X ; L’authentification MAC RADIUS est activée et l’authentification 802.1X est désactivée à l’aide de l’option mac radius restrict .
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement l’authentification MAC RADIUS, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du routeur :
[edit] set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict
Vous devez également configurer les deux adresses MAC en tant que noms d’utilisateur et mots de passe sur le serveur RADIUS, comme cela a été fait à l’étape 2 de la procédure pas à pas.
Procédure étape par étape
Configurez l’authentification MAC RADIUS sur le routeur et sur le serveur RADIUS :
Sur le routeur, configurez les interfaces auxquelles les imprimantes sont connectées pour l’authentification MAC RADIUS, puis configurez l’option sur interface ge-0/0/20, de sorte que seule l’authentification restrict MAC RADIUS soit utilisée :
[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrictSur le serveur RADIUS, configurez les adresses 00040ffdacfe MAC ainsi 0004aecd235f que les noms d’utilisateur et les mots de passe :
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
Résultats
Affichez les résultats de la configuration sur le routeur :
user@router> show configuration
protocols {
authentication-access-control {
authentication-profile-name profile52;
interface {
ge-0/0/19.0 {
dot1x {
mac-radius;
}
}
ge-0/0/20.0 {
dot1x {
mac-radius {
restrict;
}
}
}
}
}
}
Vérification
Vérifiez que les demandeurs sont authentifiés :
Vérification de l’authentification des demandeurs
But
Une fois que les demandeurs sont configurés pour l’authentification MAC RADIUS sur le routeur et sur le serveur RADIUS, vérifiez qu’ils sont authentifiés et affichez la méthode d’authentification :
Action
Affichez des informations sur les interfaces ge-0/0/19 configurées 802.1X et ge-0/0/20:
user@router> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
user@router> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user102, 00:04:ae:cd:23:5f
Operational state: Authenticated
Authentcation method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Sens
L’exemple de sortie de la show dot1x interface detail commande affiche l’adresse MAC de l’appareil final connecté sur le Supplicant terrain. Sur l’interface ge-0/0/19, l’adresse MAC est 00:04:0f:fd:ac:fe, qui est l’adresse MAC de la première imprimante configurée pour l’authentification MAC RADIUS. Le Authentication method champ affiche la méthode d’authentification sous la forme MAC Radius. Sur l’interface ge-0/0/20, l’adresse MAC est 00:04:ae:cd:23:5f, qui est l’adresse MAC de la deuxième imprimante configurée pour l’authentification MAC RADIUS. Le Authentication method champ affiche la méthode d’authentification sous la forme MAC Radius.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.