Configuración de la autenticación MAC RADIUS en enrutadores de la serie MX en modo LAN mejorado
A partir de Junos OS versión 14.2, puede permitir el acceso LAN a dispositivos que no estén habilitados para 802.1X configurando la autenticación MAC RADIUS en las interfaces del enrutador de la serie MX a las que están conectados los hosts.
También puede permitir que dispositivos no habilitados para 802.1X accedan a la LAN configurando su dirección MAC para la omisión MAC estática de autenticación.
Puede configurar la autenticación MAC RADIUS en una interfaz que también permita la autenticación 802.1X, o puede configurar cualquiera de los métodos de autenticación solos.
Si tanto MAC RADIUS como la autenticación 802.1X están habilitadas en la interfaz, el enrutador envía primero al host tres solicitudes EAPOL al host. Si no hay respuesta del host, el router envía la dirección MAC del host al servidor RADIUS para comprobar si se trata de una dirección MAC permitida. Si la dirección MAC está configurada según lo permitido en el servidor RADIUS, el servidor RADIUS envía un mensaje al enrutador que indica que la dirección MAC es una dirección permitida y el enrutador abre el acceso LAN al host que no responde en la interfaz a la que está conectado.
Si la autenticación MAC RADIUS está configurada en la interfaz, pero la autenticación 802.1X no lo está (mediante la mac-radius restrict opción), el enrutador intenta autenticar la dirección MAC con el servidor RADIUS sin demora intentando primero la autenticación 802.1X.
Antes de configurar la autenticación MAC RADIUS, asegúrese de tener:
Acceso básico configurado entre el enrutador de la serie MX y el servidor RADIUS.
Se configuraron los enrutadores MX240, MX480 y MX960 para funcionar en modo LAN mejorado ingresando la
network-services lan
instrucción en el nivel de[edit chassis]
jerarquía.
Para configurar la autenticación MAC RADIUS mediante la CLI:
En el enrutador, configure las interfaces a las que están conectados los hosts que no responden para la autenticación MAC RADIUS y agregue el calificador para la interfaz ge-0/0/20 para que solo use la restrict autenticación MAC RADIUS:
[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control interface ge-0/0/20 dot1x mac-radius restrict
En un servidor de autenticación RADIUS, cree perfiles de usuario para cada host que no responda utilizando la dirección MAC (sin dos puntos) del host que no responde como nombre de usuario y contraseña (aquí, las direcciones MAC son 00:04:0f:fd:ac:fe y 00:04:ae:cd:23:5f):
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.