Ejemplo: Configuración de la autenticación MAC RADIUS en un enrutador de la serie MX
A partir de Junos OS versión 14.2 para permitir que hosts que no tengan 802.1X accedan a la LAN, puede configurar la autenticación MAC RADIUS en las interfaces de enrutador a las que están conectados los hosts que no están habilitados para 802.1X. Cuando se configura la autenticación MAC RADIUS, el enrutador intentará autenticar el host con el servidor RADIUS mediante la dirección MAC del host.
En este ejemplo, se describe cómo configurar la autenticación MAC RADIUS para dos hosts que no están habilitados para 802.1X:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 14.2 o posterior para enrutadores MX240, MX480 o MX960 que se ejecutan en modo LAN mejorado.
Un enrutador de la serie MX que actúa como una entidad de acceso de puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos de backend y contiene información de credenciales para hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de conectar el servidor al enrutador, asegúrese de que tiene lo siguiente:
Configurado el modo LAN mejorado en el enrutador.
Realizó puentes básicos y configuración de VLAN en el enrutador.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
El control de acceso de red basado en puertos (PNAC) IEEE 802.1X autentica y permite que los dispositivos accedan a una LAN si los dispositivos pueden comunicarse con el enrutador mediante el protocolo 802.1X (están habilitados para 802.1X). Para permitir que los dispositivos finales que no estén habilitados con 802.1X accedan a la LAN, puede configurar la autenticación MAC RADIUS en las interfaces a las que están conectados los dispositivos finales. Cuando la dirección MAC del dispositivo final aparece en la interfaz, el enrutador consulta al servidor RADIUS para comprobar si se trata de una dirección MAC permitida. Si la dirección MAC del dispositivo final está configurada según lo permitido en el servidor RADIUS, el enrutador abre el acceso LAN al dispositivo final.
Puede configurar tanto la autenticación MAC RADIUS como los métodos de autenticación 802.1X en una interfaz configurada para varios suplicantes. Además, si una interfaz solo está conectada a un host que no está habilitado para 802.1X, puede habilitar MAC RADIUS y no habilitar la autenticación 802.1X mediante la mac-radius restrict opción, y así evitar el retraso que se produce mientras el enrutador determina que el dispositivo no responde a los mensajes de EAP.
Dos impresoras están conectadas a un enrutador de la serie MX a través de interfaces, ge-0/0/19 y ge-0/0/20.
Tabla 1 muestra los componentes en el ejemplo para la autenticación MAC RADIUS.
| Propiedad | Configuración |
|---|---|
Hardware del enrutador |
Puertos (ge-0/0/0 a ge-0/0/23) |
Nombre de VLAN |
Ventas |
Conexiones a impresoras |
ge-0/0/19, dirección MAC 00040ffdacfe ge-0/0/20, dirección MAC 0004aecd235f |
Servidor RADIUS |
Conectado al enrutador en la interfaz ge-0/0/10 |
La impresora con la dirección MAC 00040ffdacfe está conectada a la interfaz de acceso ge-0/0/19. Una segunda impresora con la dirección MAC 0004aecd235f está conectada para acceder a la interfaz ge-0/0/20. En este ejemplo, ambas interfaces están configuradas para la autenticación MAC RADIUS en el enrutador y las direcciones MAC (sin dos puntos) de ambas impresoras se configuran en el servidor RADIUS. La interfaz ge-0/0/20 está configurada para eliminar el retraso normal mientras que el enrutador intenta la autenticación 802.1X; La autenticación MAC RADIUS está habilitada y la autenticación 802.1X se deshabilita mediante la mac radius restrict opción.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la autenticación MAC RADIUS, copie los siguientes comandos y péguelos en la ventana terminal del enrutador:
[edit] set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict
También debe configurar las dos direcciones MAC como nombres de usuario y contraseñas en el servidor RADIUS, como se hace en el paso 2 del procedimiento paso a paso.
Procedimiento paso a paso
Configure la autenticación MAC RADIUS en el enrutador y en el servidor RADIUS:
En el enrutador, configure las interfaces a las que están conectadas las impresoras para la autenticación MAC RADIUS y configure la opción en ge-0/0/20interfazrestrict, de modo que solo se utilice la autenticación MAC RADIUS:
[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrictEn el servidor RADIUS, configure las direcciones 00040ffdacfe MAC como 0004aecd235f nombres de usuario y contraseñas:
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
Resultados
Mostrar los resultados de la configuración en el enrutador:
user@router> show configuration
protocols {
authentication-access-control {
authentication-profile-name profile52;
interface {
ge-0/0/19.0 {
dot1x {
mac-radius;
}
}
ge-0/0/20.0 {
dot1x {
mac-radius {
restrict;
}
}
}
}
}
}
Verificación
Compruebe que los suplicantes están autenticados:
Verificar que los suplicantes estén autenticados
Propósito
Después de configurar los suplicantes para la autenticación MAC RADIUS en el enrutador y en el servidor RADIUS, verifique que estén autenticados y muestre el método de autenticación:
Acción
Mostrar información acerca de las interfaces ge-0/0/19 configuradas por 802.1X y ge-0/0/20:
user@router> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
user@router> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user102, 00:04:ae:cd:23:5f
Operational state: Authenticated
Authentcation method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El resultado de ejemplo del show dot1x interface detail comando muestra la dirección MAC del dispositivo final conectado en el Supplicant campo. En la interfaz ge-0/0/19, la dirección MAC es 00:04:0f:fd:ac:fe, que es la dirección MAC de la primera impresora configurada para la autenticación MAC RADIUS. El Authentication method campo muestra el método de autenticación como MAC Radius. En la interfaz ge-0/0/20, la dirección MAC es 00:04:ae:cd:23:5f, que es la dirección MAC de la segunda impresora configurada para la autenticación MAC RADIUS. El Authentication method campo muestra el método de autenticación como MAC Radius.