Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación MAC RADIUS

Puede controlar el acceso a la red a través de un conmutador mediante varios métodos de autenticación diferentes. Los conmutadores Junos OS son compatibles con 802.1X, MAC RADIUS y portal cautivo como métodos de autenticación para dispositivos que requieren conectarse a una red.

Puede configurar la autenticación MAC RADIUS en las interfaces de conmutador a las que están conectados los hosts para proporcionar acceso LAN. Para obtener más información, lea este tema.

Configuración de la autenticación DE RADIUS MAC (procedimiento de CLI)

Puede permitir que los dispositivos que no tienen acceso LAN habilitado para 802.1X configure la autenticación MAC RADIUS en las interfaces de conmutador a las que están conectados los hosts.

Nota:

También puede permitir que los dispositivos no habilitados para 802.1X accedan a la LAN mediante la configuración de su dirección MAC para la omisión de autenticación mac estática.

Puede configurar la autenticación RADIUS MAC en una interfaz que también permita la autenticación 802.1X, o puede configurar cualquiera de los métodos de autenticación solos.

Si la autenticación MAC RADIUS y 802.1X están habilitadas en la interfaz, el conmutador envía primero al host tres solicitudes EAPoL al host. Si no hay respuesta del host, el conmutador envía la dirección MAC del host al servidor RADIUS para comprobar si es una dirección MAC permitida. Si la dirección MAC está configurada como se permite en el servidor RADIUS, el servidor RADIUS envía un mensaje al conmutador de que la dirección MAC es una dirección permitida y el conmutador abre el acceso LAN al host no responde en la interfaz a la que está conectada.

Si la autenticación RADIUS MAC está configurada en la interfaz, pero la autenticación 802.1X no es (mediante la mac-radius restrict opción), el conmutador intenta autenticar la dirección MAC con el servidor RADIUS sin demorar primero la autenticación 802.1X.

Antes de configurar la autenticación MAC RADIUS, asegúrese de tener lo siguiente:

Para configurar la autenticación DE RADIUS MAC mediante la CLI:

  • En el conmutador, configure las interfaces a las que se asocian los hosts no respondedores para la autenticación DE RADIO MAC y agregue el calificador para que restrict la interfaz ge-0/0/20 utilice solo la autenticación MAC RADIUS:

  • En un servidor de autenticación RADIUS, cree perfiles de usuario para cada host no responde mediante la dirección MAC (sin dos puntos) del host no responde como nombre de usuario y contraseña (aquí, las direcciones MAC son 00:04:0f:fd:ac:fe y 00:04:ae:cd:23:5f):

Ejemplo: Configuración de la autenticación MAC RADIUS en un conmutador de la serie EX

Para permitir que los hosts que no están habilitados para 802.1X accedan a una LAN, puede configurar la autenticación MAC RADIUS en las interfaces de conmutador a las que están conectados los hosts no habilitados para 802.1X. Cuando se configura la autenticación MAC RADIUS, el conmutador intentará autenticar el host con el servidor RADIUS mediante la dirección MAC del host.

En este ejemplo, se describe cómo configurar la autenticación MAC RADIUS para dos hosts no habilitados para 802.1X:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a conmutadores QFX5100.

  • Junos OS versión 9.3 o posterior para conmutadores de la serie EX.

  • Un conmutador de la serie EX que actúa como una entidad de acceso de puerto de autenticador (PAE). Los puertos del AUTENTICADOR PAE forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentifican.

  • Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos de back-end y contiene información de credenciales para hosts (supplicantes) que tienen permiso para conectarse a la red.

Antes de configurar la autenticación MAC RADIUS, asegúrese de tener lo siguiente:

Descripción general y topología

El control de acceso de red basado en puertos IEEE 802.1X (PNAC) autentica y permite que los dispositivos accedan a una LAN si los dispositivos pueden comunicarse con el conmutador mediante el protocolo 802.1X (es decir, los dispositivos están habilitados para 802.1X). Para permitir que los dispositivos finales no habilitados para 802.1X accedan a la LAN, puede configurar la autenticación DE RADIUS MAC en las interfaces a las que están conectados los dispositivos finales. Cuando la dirección MAC del dispositivo final aparece en la interfaz, el conmutador consulta al servidor RADIUS para comprobar si es una dirección MAC permitida. Si la dirección MAC del dispositivo final está configurada como se permite en el servidor RADIUS, el conmutador abre el acceso LAN al dispositivo final.

Puede configurar los métodos de autenticación MAC RADIUS y 802.1X en una interfaz configurada para varios suplicantes. Además, si una interfaz está conectada solo a un host no habilitado para 802.1X, puede habilitar EL RADIO MAC y no habilitar la autenticación 802.1X mediante la mac-radius restrict opción, y así evitar el retraso que se produce mientras el conmutador determina que el dispositivo no responde a los mensajes EAP.

Figura 1 muestra las dos impresoras conectadas al conmutador.

Nota:

Esta figura también se aplica a los conmutadores QFX5100.

Figura 1: Topología para configuración de autenticación MAC RADIUSTopología para configuración de autenticación MAC RADIUS

Tabla 1 muestra los componentes del ejemplo para la autenticación MAC RADIUS.

Tabla 1: Componentes de la topología de configuración de autenticación MAC RADIUS
Propiedad Configuración

Hardware del conmutador

Puertos EX4200 (ge-0/0/0 a ge-0/0/23)

Nombre de VLAN

Ventas

Conexiones a impresoras (no se requiere PoE)

ge-0/0/19, dirección MAC 00040ffdacfe

ge-0/0/20, dirección MAC 0004aecd235f

Servidor RADIUS

Conectado al conmutador en la interfaz ge-0/0/10

La impresora con la dirección MAC 00040ffdacfe está conectada a la interfaz de acceso ge-0/0/19. Una segunda impresora con la dirección MAC 0004aecd235f está conectada a la interfaz de acceso ge-0/0/20. En este ejemplo, ambas interfaces se configuran para la autenticación MAC RADIUS en el conmutador, y las direcciones MAC (sin dos puntos) de ambas impresoras se configuran en el servidor RADIUS. La interfaz ge-0/0/20 está configurada para eliminar el retraso normal mientras el conmutador intenta la autenticación 802.1X; La autenticación MAC RADIUS está habilitada y la autenticación 802.1X se deshabilita mediante la mac radius restrict opción.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la autenticación MAC RADIUS, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Nota:

También debe configurar las dos direcciones MAC como nombres de usuario y contraseñas en el servidor RADIUS, como se hace en el paso 2 del procedimiento paso a paso.

Procedimiento paso a paso

Configure la autenticación MAC RADIUS en el conmutador y en el servidor RADIUS:

  1. En el conmutador, configure las interfaces a las que están conectadas las impresoras para la autenticación MAC RADIUS y configure la opción restrict en la interfaz ge-0/0/20, de modo que solo se utilice la autenticación MAC RADIUS:

  2. En el servidor RADIUS, configure las direcciones MAC 00040ffdacfe y 0004aecd235f como nombres de usuario y contraseñas:

Resultados

Muestra los resultados de la configuración en el conmutador:

Verificación

Verifique que los suplicantes estén autenticados:

Verificar que los supplicantes se autentifican

Propósito

Después de configurar los suplicantes para la autenticación MAC RADIUS en el conmutador y en el servidor RADIUS, verifique que estén autenticados y muestre el método de autenticación.

Acción

Muestra información sobre las interfaces configuradas 802.1X ge-0/0/19 y ge-0/0/20:

Significado

El resultado de ejemplo del show dot1x interface detail comando muestra la dirección MAC del dispositivo final conectado en el Supplicant campo. En la interfaz ge-0/0/19, la dirección MAC es 00:04:0f:fd:ac:fe, que es la dirección MAC de la primera impresora configurada para la autenticación MAC RADIUS. El Authentication method campo muestra el método de autenticación como Radius. En la interfaz ge-0/0/20, la dirección MAC es 00:04:ae:cd:23:5f, que es la dirección MAC de la segunda impresora configurada para la autenticación MAC RADIUS. El Authentication method campo muestra el método de autenticación como Radius.