Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration de l’authentification MAC RADIUS sur les routeurs MX Series en mode LAN amélioré

À partir de Junos OS version 14.2, vous pouvez autoriser l’accès LAN aux périphériques qui ne sont pas compatibles 802.1X en configurant l’authentification MAC RADIUS sur les interfaces de routeur MX Series auxquelles les hôtes sont connectés.

REMARQUE :

Vous pouvez également autoriser les périphériques non compatibles 802.1X à accéder au réseau local en configurant leur adresse MAC pour le contournement MAC statique de l’authentification.

Vous pouvez configurer l’authentification MAC RADIUS sur une interface qui autorise également l’authentification 802.1X, ou vous pouvez configurer l’une ou l’autre méthode d’authentification seule.

Si l’authentification MAC RADIUS et l’authentification 802.1X sont activées sur l’interface, le routeur envoie d’abord trois requêtes EAPOL à l’hôte. S’il n’y a pas de réponse de l’hôte, le routeur envoie l’adresse MAC de l’hôte au serveur RADIUS pour vérifier s’il s’agit d’une adresse MAC autorisée. Si l’adresse MAC est configurée comme autorisée sur le serveur RADIUS, le serveur RADIUS envoie un message au routeur indiquant que l’adresse MAC est une adresse autorisée et le routeur ouvre un accès LAN à l’hôte non réactif sur l’interface à laquelle il est connecté.

Si l’authentification MAC RADIUS est configurée sur l’interface, mais que l’authentification 802.1X ne l’est pas (à l’aide de l’option mac-radius restrict ), le routeur tente d’authentifier l’adresse MAC auprès du serveur RADIUS sans tarder en tentant d’abord l’authentification 802.1X.

Avant de configurer l’authentification MAC RADIUS, assurez-vous d’avoir :

  • Configurez l’accès de base entre le routeur MX Series et le serveur RADIUS - effectué.

  • Configurez les routeurs MX240, MX480 et MX960 pour qu’ils fonctionnent en mode LAN amélioré en entrant l’instruction network-services lan au niveau de la [edit chassis] hiérarchie - effectué.

Pour configurer l’authentification MAC RADIUS à l’aide de l’interface de ligne de commande :

  • Sur le routeur, configurez les interfaces auxquelles les hôtes non réactifs sont attachés pour l’authentification MAC RADIUS, puis ajoutez le qualificateur d’interface ge-0/0/20 pour qu’elle utilise uniquement l’authentification restrict MAC RADIUS :

  • Sur un serveur d’authentification RADIUS, créez des profils utilisateur pour chaque hôte non réactif en utilisant l’adresse MAC (sans deux-points) de l’hôte non réactif comme nom d’utilisateur et mot de passe (ici, les adresses MAC sont 00:04:0f:fd:ac:fe et 00:04:ae:cd:23:5f) :

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
14.2
À partir de Junos OS version 14.2, vous pouvez autoriser l’accès LAN aux périphériques qui ne sont pas compatibles 802.1X en configurant l’authentification MAC RADIUS sur les interfaces de routeur MX Series auxquelles les hôtes sont connectés.