Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación de RADIUS de MAC

Puede controlar el acceso a la red mediante un conmutador mediante varios métodos de autenticación diferentes. Los conmutadores de Junos OS admiten 802.1 X, MAC RADIUS y portal cautivo como métodos de autenticación para los dispositivos que necesitan conectarse a una red.

Puede configurar la autenticación de RADIUS de MAC en las interfaces del conmutador al que se conectan los hosts para proporcionar acceso a la LAN. Para obtener más información, lea este tema.

Configuración de la autenticación de RADIUS MAC (procedimiento de CLI)

Puede permitir que los dispositivos que no tienen acceso a LAN con 802.1 X habilitado configurando la autenticación de RADIUS de MAC en las interfaces de conmutador a las que se conectan los hosts.

Nota:

También puede permitir que dispositivos no compatibles con 802.1 X tengan acceso a la LAN mediante la configuración de sus dirección MAC para la omisión de autenticación de MAC estática.

Puede configurar la autenticación de RADIUS de MAC en una interfaz que también permita autenticación de 802.1 X, o puede configurar cualquiera de los dos métodos de autenticación.

Si la autenticación tanto en MAC RADIUS como en la 802.1 X están habilitadas en la interfaz, el conmutador envía primero al host tres solicitudes EAPoL al host. Si no hay respuesta del host, el conmutador envía la dirección MAC del host al servidor de RADIUS para comprobar si es una dirección MAC permitida. Si el dirección MAC está configurado según lo permitido en el servidor RADIUS, el RADIUS servidor envía un mensaje al conmutador de que el dirección MAC es una dirección permitida y el conmutador abre el acceso de LAN al host que no responde en la interfaz a la que está conectado.

Si la autenticación DE MAC RADIUS está configurada en la interfaz, pero la autenticación 802.1X no es (mediante la opción), el conmutador intenta autenticar la dirección MAC con el servidor de RADIUS sin demorar intentando primero la autenticación mac-radius restrict 802.1X.

Antes de configurar la autenticación de RADIUS de MAC, asegúrese de que tiene:

Para configurar la autenticación de RADIUS de MAC mediante CLI:

  • En el conmutador, configure las interfaces a las que están conectados los hosts no responsables para la autenticación MAC RADIUS y agregue el calificador para la interfaz para que utilice solo autenticación restrictge-0/0/20 RADIUS MAC:

  • En un servidor de autenticación de RADIUS, cree perfiles de usuario para cada host no respondedor utilizando la dirección MAC (sin dos puntos) del host no responsable como nombre de usuario y contraseña (aquí, las direcciones MAC son 00:04:0f:fd:ac:fe y 00:04:ae:cd:23:5f ):

Ejemplo Configuración de la autenticación de RADIUS MAC en un conmutador de serie EX

Para permitir que los hosts que no tienen 802.1 X habilitado tengan acceso a una LAN, puede configurar la autenticación de RADIUS de MAC en las interfaces de conmutador a las que se conectan los hosts que no tienen el 802.1 habilitado X. Cuando se RADIUS autenticación DE MAC, el conmutador intentara autenticar el host con el servidor RADIUS mediante la dirección MAC del host.

En este ejemplo se describe cómo configurar la autenticación de RADIUS de MAC para dos hosts habilitados para X no 802.1:

Aplicables

En este ejemplo se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a conmutadores QFX5100.

  • Junos OS versión 9,3 o posterior para los conmutadores de la serie EX.

  • Conmutador de serie EX que actúa como entidad de acceso a puertos del autenticador (PAE). Los puertos del autenticador PAE forman una puerta de control que bloquea todo el tráfico entrante y no de los suplicantes hasta que se autentiquen.

  • Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos del servidor y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de configurar la autenticación de RADIUS de MAC, asegúrese de que tiene:

Descripción general y topología

IEEE 802.1 control de acceso a redes (PNAC) X basado en Puerto autentica y permite que los dispositivos tengan acceso a una LAN si los dispositivos se pueden comunicar con el conmutador mediante el protocolo 802.1 X (es decir, los dispositivos 802.1 X están habilitados). Para permitir que los dispositivos finales no compatibles con la X 802.1 tengan acceso a la LAN, puede configurar la autenticación de RADIUS de MAC en las interfaces a las que están conectados los dispositivos finales. Cuando aparece el dirección MAC del dispositivo final en la interfaz, el conmutador consulta el servidor RADIUS para comprobar si se trata de un dirección MAC permitido. Si el dirección MAC del dispositivo final está configurado según lo permitido en el servidor RADIUS, el conmutador abre el acceso LAN al dispositivo final.

Puede configurar los métodos de autenticación tanto de RADIUS de MAC como de 802.1 X en una interfaz configurada para varios suplicantes. Además, si una interfaz solo está conectada a un host que no sea compatible con 802.1X, puede habilitar mac RADIUS y no habilitar la autenticación 802.1X mediante la opción y, por lo tanto, evitar el retraso que se produce mientras el conmutador determina que el dispositivo no responde a los mensajes mac-radius restrict de EAP.

Figura 1muestra las dos impresoras conectadas al conmutador.

Nota:

Esta cifra también se aplica a los conmutadores QFX5100.

Figura 1: Topología para configuración de autenticación de RADIUS MACTopología para configuración de autenticación de RADIUS MAC

Tabla 1muestra los componentes del ejemplo para la autenticación de RADIUS de MAC.

Tabla 1: Componentes de la topología de configuración de autenticación de MAC RADIUS
Inspector Configuraciones

Cambiar el hardware

Puertos EX4200 (GE-0/0/0 a GE-0/0/23)

Nombre de VLAN

impuesto

Conexiones a impresoras (no se requiere PoE)

GE-0/0/19, dirección MAC 00040ffdacfe

GE-0/0/20, dirección MAC 0004aecd235f

Servidor RADIUS

Conectado al conmutador en la interfaz ge-0/0/10

La impresora con el dirección MAC 00040ffdacfe está conectada a la interfaz de Access GE-0/0/19. Hay una segunda impresora con la dirección MAC 0004aecd235f conectada a la interfaz de Access GE-0/0/20. En este ejemplo, ambas interfaces se configuran para la autenticación de RADIUS MAC en el conmutador, y las direcciones MAC (sin los dos puntos) de ambas impresoras se configuran en el servidor RADIUS. La interfaz GE-0/0/20 está configurada para eliminar el retraso normal mientras el conmutador intenta 802.1 X autenticación; La autenticación de RADIUS de MAC está habilitada y la autenticación de mac radius restrict 802.1 x está deshabilitada por medio de la opción.

Topología

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente la autenticación de RADIUS de MAC, copie los comandos siguientes y péguelos en la ventana del conmutador de terminal:

Nota:

También debe configurar las dos direcciones MAC como nombres de usuario y contraseñas en el servidor RADIUS, tal y como se hace en el paso 2 del procedimiento paso a paso.

Procedimiento paso a paso

Configure la autenticación de RADIUS de MAC en el conmutador y en el servidor RADIUS:

  1. En el conmutador, configure las interfaces a las que estarán asociadas las impresoras para la autenticación de RADIUS MAC, y configure la opción restringir en interface GE-0/0/20 para que sólo se utilice la autenticación de RADIUS de MAC:

  2. En el servidor RADIUS, configure las direcciones MAC 00040ffdacfe y 0004aecd235f como nombres de usuario y contraseñas:

Resultados

Mostrar los resultados de la configuración en el conmutador:

Comproba

Compruebe que se autentican los suplicantes:

Comprobando que los suplicantes están autenticados

Purpose

Una vez configurados los suplicantes para la autenticación de RADIUS de MAC en el conmutador y en el servidor RADIUS, compruebe que se autentican y muestre el método de autenticación.

Intervención

Mostrar información acerca de las interfaces configuradas por X 802.1 GE-0/0/19 y GE-0/0/20:

Efectos

El resultado de prueba del show dot1x interface detail comando muestra la dirección MAC del dispositivo final conectado en el Supplicant campo. En la interfaz ge-0/0/19, la dirección MAC es , que es la dirección MAC de la primera impresora configurada para la 00:04:0f:fd:ac:fe autenticación RADIUS MAC. El Authentication method campo muestra el método de autenticación como Radius . En la interfaz, la dirección MAC es , que es la dirección MAC de la segunda impresora configurada para ge-0/0/2000:04:ae:cd:23:5f la autenticación RADIUS MAC. El Authentication method campo muestra el método de autenticación como Radius .