Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Примере: Настройка аутентификации RADIUS MAC-серия MX маршрутизаторе

Начиная с Junos OS версии 14.2 для разрешения хосту, которые не имеют доступа к LAN с поддержкой 802.1X, можно настроить аутентификацию MAC RADIUS на интерфейсах маршрутизатора, к которым подключены не-802.1X-хосты. Когда аутентификация MAC RADIUS настроена, маршрутизатор попытается аутентификацию хоста с помощью RADIUS сервера, используя MAC-адрес.

В данном примере описана настройка аутентификации MAC RADIUS для двух хостов с поддержкой 802.1X:

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Junos OS версии 14.2 или более поздних для MX240, MX480 или MX960, работающих в улучшенном режиме LAN.

  • Маршрутизатор серия MX, выступая в качестве объекта доступа к аутентификации порта (PAE). Порты на аутентиаторе PAE формируют контрольный шлюз, который блокирует весь трафик к и отпродатантам до аутентификации.

  • Сервер RADIUS аутентификации. Сервер аутентификации действует как сервер серверной базы данных и содержит учетные данные для хостов (запросителей), которые имеют разрешение на подключение к сети.

Перед подключением сервера к маршрутизатору необходимо убедиться в том, что у вас есть:

  • Настройка улучшенного режима LAN на маршрутизаторе.

  • Выполняется базовая настройка маршрутов и VLAN на маршрутизаторе.

  • Настроенные пользователи на сервере RADIUS аутентификации.

Обзор и топология

IEEE 802.1X Управление сетевым доступом (PNAC) аутентификации и разрешения устройствам доступа к LAN, если устройства могут взаимодействовать с маршрутизатором с помощью протокола 802.1X (включено 802.1X). Чтобы разрешить конечным устройствам с поддержкой не 802.1X доступ к LAN, можно настроить аутентификацию MAC RADIUS на интерфейсах, к которым подключены конечные устройства. Когда интерфейс MAC-адрес конечного устройства, маршрутизатор консультируется с RADIUS, чтобы проверить, является ли это разрешенным MAC-адрес. Если MAC-адрес конечного устройства настроено так, как это разрешено на RADIUS сервера, маршрутизатор открывает доступ к локальной сети конечному устройству.

Можно настроить как методы аутентификации MAC RADIUS, так и методы аутентификации по методу 802.1X на интерфейсе, настроенного для нескольких источников. Кроме того, если интерфейс подключен только к хосту с поддержкой не 802.1X, можно включить mac-RADIUS и не включить аутентификацию 802.1X с помощью параметра и таким образом избежать задержки, возникащей в то время, когда маршрутизатор определяет, что устройство не отвечает на сообщения mac-radius restrict EAP.

Два принтера подключаются к маршрутизатору серия MX интерфейсах: ge-0/0/19 и ge-0/0/20.

Табл. 1 отображает компоненты в примере для аутентификации MAC RADIUS аутентификации.

Табл. 1: Компоненты топологии конфигурации аутентификации MAC RADIUS MAC
Свойство Параметры

Оборудование маршрутизатора

Порты (ge-0/0/0 через ge-0/0/23)

Имя сети VLAN

Продаж

Подключения к принтерам

ge-0/0/19, MAC-адрес 00040ffdacfe

ge-0/0/20, MAC-адрес 0004aecd235f

RADIUS сервер

Подключение к маршрутизатору на интерфейсе ge-0/0/10

Принтер с интерфейсом MAC-адрес 00040ffdacfe подключается к интерфейсу доступа ge-0/0/19. Второй принтер с MAC-адрес 0004aecd235f подключается к интерфейсу ge-0/0/20. В этом примере оба интерфейса настроены для аутентификации MAC RADIUS а MAC-адреса (без двоеточий) обоих принтеров настроены на RADIUS сервере. Интерфейс ge-0/0/20 настроен для устранения обычной задержки во время попытки маршрутизатором аутентификации 802.1X; Аутентификация MAC RADIUS и аутентификация 802.1X отключена с помощью mac radius restrict параметра.

Топологии

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить аутентификацию MAC-RADIUS, скопируйте следующие команды и вцесируйте их в окно терминала маршрутизатора:

Прим.:

Необходимо также настроить два MAC-адреса в качестве имен пользователей и паролей RADIUS сервера, как это делается на шаге 2 пошаговой процедуры.

Пошаговая процедура

Настройте аутентификацию MAC-RADIUS на маршрутизаторе и RADIUS сервере:

  1. На маршрутизаторе настройте интерфейсы, к которым принтеры подключены для RADIUS MAC-RADIUS, и настройте параметр на интерфейсе, чтобы использовалась только аутентификация restrictge-0/0/20 MAC RADIUS:

  2. На RADIUS настройте MAC-адреса и в качестве имен 00040ffdacfe0004aecd235f пользователей и паролей:

Результаты

Отобразить результаты настройки маршрутизатора:

Проверки

Убедитесь, что аутентификация проверяемой компании:

Проверка аутентификации проверяющих участников

Цель

После настройки проверяемых данных для аутентификации MAC RADIUS и на RADIUS, убедитесь, что они аутентифицированы, и отобразить метод аутентификации:

Действий

Отображение сведений об интерфейсах, настроенных на 802.1X, ge-0/0/19ge-0/0/20 и:

Смысл

Пример выходных данных команды показывает MAC-адрес подключенного конечного show dot1x interface detail устройства в Supplicant поле. На интерфейсе ge-0/0/19 MAC-адрес - это MAC-адрес первого принтера, настроенного для 00:04:0f:fd:ac:fe аутентификации MAC RADIUS. В Authentication method поле отображается метод аутентификации: MAC Radius . На интерфейсе имеется MAC-адрес , что является MAC-адрес второго принтера, настроенного для ge-0/0/2000:04:ae:cd:23:5f аутентификации MAC RADIUS аутентификации. В Authentication method поле отображается метод аутентификации: MAC Radius .

Таблица истории выпусков
Версия
Описание
14.2
Начиная с Junos OS версии 14.2 для разрешения хосту, которые не имеют доступа к LAN с поддержкой 802.1X, можно настроить аутентификацию MAC RADIUS на интерфейсах маршрутизатора, к которым подключены не-802.1X-хосты.