Descripción general del control de acceso a la red basado en puertos IEEE 802.1x
Los enrutadores de la serie MX admiten el protocolo de control de acceso a la red basado en puertos (dot1x) IEEE 802.1x en interfaces Ethernet para la validación de credenciales de cliente y usuario, a fin de evitar el acceso no autorizado a un puerto de enrutador especificado. Antes de que se complete la autenticación, solo se permiten paquetes de control 802.1x y se reenvían al plano de control del enrutador para su procesamiento. Todos los demás paquetes se descartan.
Los métodos de autenticación utilizados deben ser compatibles con 802.1x. Se admite la autenticación mediante los servidores RADIUS y Microsoft Active Directory. Se permiten los siguientes métodos de autenticación de usuario/cliente:
EAP-MD5 (RFC 3748)
EAP-TTLS requiere un certificado de servidor (RFC 2716)
EAP-TLS requiere un certificado de cliente y servidor
PEAP solo requiere un certificado de servidor
Puede utilizar certificados de cliente y servidor en todos los tipos de autenticación, excepto EAP-MD5.
En el enrutador de la serie MX, 802.1x se puede habilitar solo en puertos puenteados y no en puertos enrutados.
Se admiten cambios dinámicos en una sesión de usuario para permitir que el administrador del enrutador finalice una sesión ya autenticada mediante el mensaje "RADIUS disconnect" definido en RFC 3576.