Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Authentification MAC RADIUS

Vous pouvez contrôler l’accès à votre réseau par le biais d’un commutateur à l’aide de différentes méthodes d’authentification. Les commutateurs Junos OS prennent en charge 802.1X, RADIUS MAC et le portail captif comme méthodes d’authentification pour les équipements devant se connecter à un réseau.

Vous pouvez configurer l’authentification MAC RADIUS sur les interfaces de commutateur auxquelles les hôtes sont connectés pour fournir un accès LAN. Pour plus d’informations, consultez cette rubrique.

Configuration de l’authentification MAC RADIUS (procédure CLI)

Vous pouvez autoriser l’accès LAN à des périphériques qui ne sont pas compatibles 802.1X en configurant l’authentification MAC RADIUS sur les interfaces de commutateur auxquelles les hôtes sont connectés.

REMARQUE :

Vous pouvez également autoriser les périphériques non compatibles 802.1X à accéder au réseau local en configurant leur adresse MAC pour le contournement MAC statique de l’authentification.

Vous pouvez configurer l’authentification MAC RADIUS sur une interface qui autorise également l’authentification 802.1X, ou vous pouvez configurer l’une ou l’autre méthode d’authentification seule.

Si l’authentification MAC RADIUS et l’authentification 802.1X sont activées sur l’interface, le commutateur envoie d’abord trois requêtes EAPoL à l’hôte. S’il n’y a pas de réponse de l’hôte, le commutateur envoie l’adresse MAC de l’hôte au serveur RADIUS pour vérifier s’il s’agit d’une adresse MAC autorisée. Si l’adresse MAC est configurée comme autorisée sur le serveur RADIUS, le serveur RADIUS envoie un message au commutateur indiquant que l’adresse MAC est une adresse autorisée, et le commutateur ouvre un accès LAN à l’hôte qui ne répond pas sur l’interface à laquelle il est connecté.

Si l’authentification MAC RADIUS est configurée sur l’interface, mais que l’authentification 802.1X ne l’est pas (à l’aide de l’option), le commutateur tente d’authentifier l’adresse mac-radius restrict MAC auprès du serveur RADIUS sans retarder en tentant d’abord l’authentification 802.1X.

Avant de configurer l’authentification MAC RADIUS, assurez-vous d’avoir :

Pour configurer l’authentification MAC RADIUS à l’aide de l’interface de ligne de commande :

  • Sur le commutateur, configurez les interfaces auxquelles les hôtes non réactifs sont attachés pour l’authentification MAC RADIUS et ajoutez le qualificateur d’interface ge-0/0/20 pour qu’elle utilise uniquement l’authentification restrict MAC RADIUS :

  • Sur un serveur d’authentification RADIUS, créez des profils utilisateur pour chaque hôte non réactif en utilisant l’adresse MAC (sans deux-points) de l’hôte non réactif comme nom d’utilisateur et mot de passe (ici, les adresses MAC sont 00:04:0f:fd:ac:fe et 00:04:ae:cd:23:5f) :

  • (Facultatif) Configurez un mot de passe global pour toutes les authentifications MAC RADIUS, au lieu d’utiliser l’adresse MAC comme mot de passe (ici le mot de passe global est $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF) :

Exemple : Configuration de l’authentification MAC RADIUS sur un commutateur EX Series

Pour permettre aux hôtes qui ne sont pas compatibles 802.1X d’accéder à un réseau local, vous pouvez configurer l’authentification MAC RADIUS sur les interfaces de commutateur auxquelles les hôtes non compatibles 802.1X sont connectés. Lorsque l’authentification MAC RADIUS est configurée, le commutateur tente d’authentifier l’hôte auprès du serveur RADIUS à l’aide de l’adresse MAC de l’hôte.

Cet exemple décrit comment configurer l’authentification MAC RADIUS pour deux hôtes non compatibles 802.1X :

Conditions préalables

Cet exemple utilise les composants logiciels et matériels suivants :

REMARQUE :

Cet exemple s’applique également aux commutateurs QFX5100.

  • Junos OS version 9.3 ou ultérieure pour les commutateurs EX Series.

  • Commutateur EX Series faisant office d’entité d’accès au port d’authentification (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.

  • Un serveur d’authentification RADIUS. Le serveur d’authentification fait office de base de données principale et contient les informations d’identification des hôtes (demandeurs) autorisés à se connecter au réseau.

Avant de configurer l’authentification MAC RADIUS, assurez-vous d’avoir :

Vue d’ensemble et topologie

Le contrôle d’accès réseau basé sur port (PNAC) IEEE 802.1X authentifie et autorise les périphériques à accéder à un réseau local s’ils peuvent communiquer avec le commutateur à l’aide du protocole 802.1X (c’est-à-dire que les périphériques sont compatibles 802.1X). Pour permettre aux terminaux non compatibles 802.1X d’accéder au réseau local, vous pouvez configurer l’authentification MAC RADIUS sur les interfaces auxquelles les terminaux sont connectés. Lorsque l’adresse MAC du périphérique final apparaît sur l’interface, le commutateur consulte le serveur RADIUS pour vérifier s’il s’agit d’une adresse MAC autorisée. Si l’adresse MAC du périphérique final est configurée comme autorisée sur le serveur RADIUS, le commutateur ouvre un accès LAN au périphérique final.

Vous pouvez configurer les méthodes d’authentification MAC RADIUS et d’authentification 802.1X sur une interface configurée pour plusieurs demandeurs. En outre, si une interface est connectée uniquement à un hôte non compatible 802.1X, vous pouvez activer MAC RADIUS et ne pas activer l’authentification 802.1X à l’aide de l’option mac-radius restrict , et ainsi éviter le délai qui se produit pendant que le commutateur détermine que le périphérique ne répond pas aux messages EAP.

Figure 1 affiche les deux imprimantes connectées au commutateur.

REMARQUE :

Ce chiffre s’applique également aux commutateurs QFX5100.

Figure 1 : Topologie pour la configuration de l’authentification MAC RADIUSTopologie pour la configuration de l’authentification MAC RADIUS

Tableau 1 montre les composants de l’exemple pour l’authentification MAC RADIUS.

Tableau 1 : Composants de la topologie de configuration de l’authentification MAC RADIUS
Propriété Paramètres

Matériel de commutation

Ports EX4200 (ge-0/0/0 à ge-0/0/23)

Nom du VLAN

Ventes

Connexions aux imprimantes (pas de PoE requis)

ge-0/0/19, adresse MAC 00040ffdacfe

ge-0/0/20, adresse MAC 0004aecd235f

serveur RADIUS

Connecté à l’interface d’activation ge-0/0/10

L’imprimante portant l’adresse MAC 00040ffdacfe est connectée à l’interface d’accès ge-0/0/19. Une deuxième imprimante portant l’adresse MAC 0004aecd235f est connectée à l’interface d’accès ge-0/0/20. Dans cet exemple, les deux interfaces sont configurées pour l’authentification MAC RADIUS sur le commutateur, et les adresses MAC (sans deux-points) des deux imprimantes sont configurées sur le serveur RADIUS. L’interface ge-0/0/20 est configurée pour éliminer le délai normal pendant que le commutateur tente l’authentification 802.1X ; L’authentification MAC RADIUS est activée et l’authentification 802.1X est désactivée à l’aide de l’option mac radius restrict .

Topologie

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement l’authentification MAC RADIUS, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

REMARQUE :

Vous devez également configurer les deux adresses MAC en tant que noms d’utilisateur et mots de passe sur le serveur RADIUS, comme cela a été fait à l’étape 2 de la procédure pas à pas.

Procédure étape par étape

Configurez l’authentification MAC RADIUS sur le commutateur et sur le serveur RADIUS :

  1. Sur le commutateur, configurez les interfaces auxquelles les imprimantes sont connectées pour l’authentification MAC RADIUS, puis configurez l’option restrict sur l’interface ge-0/0/20, de sorte que seule l’authentification MAC RADIUS soit utilisée :

  2. Sur le serveur RADIUS, configurez les adresses MAC 00040ffdacfe et 0004aecd235f comme noms d’utilisateur et mots de passe :

Résultats

Affichez les résultats de la configuration sur le commutateur :

Vérification

Vérifiez que les demandeurs sont authentifiés :

Vérification de l’authentification des demandeurs

But

Une fois que les demandeurs sont configurés pour l’authentification MAC RADIUS sur le commutateur et sur le serveur RADIUS, vérifiez qu’ils sont authentifiés et affichez la méthode d’authentification.

Action

Affichez des informations sur les interfaces configurées 802.1X ge-0/0/19 et ge-0/0/20 :

Sens

L’exemple de sortie de la show dot1x interface detail commande affiche l’adresse MAC de l’appareil final connecté sur le Supplicant terrain. Sur l’interface ge-0/0/19, l’adresse MAC est , qui est 00:04:0f:fd:ac:fel’adresse MAC de la première imprimante configurée pour l’authentification MAC RADIUS. Le Authentication method champ affiche la méthode d’authentification sous la forme Radius. Sur l’interface ge-0/0/20, l’adresse MAC est , qui est 00:04:ae:cd:23:5fl’adresse MAC de la deuxième imprimante configurée pour l’authentification MAC RADIUS. Le Authentication method champ affiche la méthode d’authentification sous la forme Radius.