Descripción general del control de acceso de red basado en puertos IEEE 802.1x
Los enrutadores de la serie MX son compatibles con el protocolo de control de acceso de red basado en puertos (dot1x) IEEE 802.1x en interfaces Ethernet para validar las credenciales de cliente y usuario para evitar el acceso no autorizado a un puerto de enrutador especificado. Antes de completar la autenticación, solo se permiten y reenvían los paquetes de control 802.1x al plano de control del enrutador para su procesamiento. Todos los demás paquetes se pierden.
Los métodos de autenticación utilizados deben ser compatibles con 802.1x. Se admite la autenticación mediante RADIUS y servidores de Microsoft Active Directory. Se permiten los siguientes métodos de autenticación de usuario/cliente:
EAP-MD5 (RFC 3748)
EAP-TTLS requiere un certificado de servidor (RFC 2716)
EAP-TLS requiere un certificado de cliente y servidor
PEAP solo requiere un certificado de servidor
Puede usar certificados de cliente y servidor en todos los tipos de autenticación, excepto EAP-MD5.
En el enrutador serie MX, la 802.1x se puede habilitar solo en puertos de puente y no en puertos enrutados.
Se admiten cambios dinámicos en una sesión de usuario para permitir que el administrador del enrutador finalice una sesión ya autenticada mediante el mensaje "desconexión RADIUS" definido en el RFC 3576.