Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Аутентификация RADIUS MAC

Можно управлять доступом к сети через коммутатор, используя несколько различных методов аутентификации. Junos OS поддерживают 802.1X, MAC-RADIUS и Captive Portal в качестве способов аутентификации устройств, требующих подключения к сети.

Аутентификацию MAC-RADIUS можно настроить на интерфейсах коммутатора, к которым подключены хосты для обеспечения доступа в ЛВС. Дополнительные сведения можно получить на этом тему.

Настройка аутентификации RADIUS MAC-интерфейс командной строки MAC-интерфейс командной строки)

Можно разрешить устройствам, которые не имеют доступа к LAN с поддержкой 802.1X, RADIUS аутентификацию MAC-RADIUS на интерфейсах коммутатора, к которым подключены хосты.

Прим.:

Можно также разрешить устройствам, не включенным 802.1X, доступ к LAN, настроив их MAC-адрес для статического обхода аутентификации MAC.

Можно настроить аутентификацию MAC RADIUS на интерфейсе, который также позволяет аутентификацию 802.1X, или можно настроить любой из методов аутентификации отдельно.

Если на интерфейсе включены RADIUS MAC-интерфейс и аутентификация 802.1X, коммутатор сначала отправляет хосту три запроса EAPoL. Если от хоста нет ответа, коммутатор отправляет сообщение MAC-адрес хоста на RADIUS, чтобы проверить, является ли это разрешенным MAC-адрес. Если MAC-адрес настроен на сервере RADIUS, сервер коммутатора отправляет коммутатору сообщение о том RADIUS, что MAC-адрес является разрешенным адресом, и коммутатор открывает доступ к нереационным хостам на интерфейсе, к которому он подключен.

Если аутентификация MAC RADIUS настроена на интерфейсе, но аутентификация 802.1X не является (с помощью параметра), коммутатор сначала пытается аутентификацию MAC-адрес аутентификацией MAC-адрес сервером RADIUS без задержки, пытаясь сначала аутентификацию mac-radius restrict 802.1X.

Прежде чем настраивать аутентификацию MAC RADIUS, убедитесь, что у вас есть:

Чтобы настроить аутентификацию MAC-RADIUS с помощью интерфейс командной строки:

  • На коммутаторе настройте интерфейсы, к которым нереактивные хосты подключены для аутентификации MAC-RADIUS, и добавьте к нему классификатор для интерфейса, чтобы он мог использовать только АУТЕНТИФИКАЦИЮ restrictge-0/0/20 MAC RADIUS:

  • На RADIUS аутентификации создайте профили пользователей для каждого нереактивного хоста, используя MAC-адрес (без двоеточий) нереактивного хоста в качестве имени пользователя и пароля (здесь MAC-адреса: 00:04:0f:fd:ac:fe00:04:ae:cd:23:5f и:

Примере: Настройка аутентификации MAC-RADIUS на коммутаторе серии EX

Чтобы разрешить хосту, не подключенным к локальной сети с поддержкой 802.1X, можно настроить аутентификацию MAC RADIUS на интерфейсах коммутатора, к которым подключены хосты с поддержкой не-802.1X. Когда аутентификация MAC RADIUS настроена, коммутатор попытается аутентификацию хоста с помощью RADIUS сервера, используя MAC-адрес.

В данном примере описана настройка аутентификации MAC RADIUS для двух хостов с поддержкой 802.1X:

Требования

В данном примере используются следующие программные и аппаратные компоненты:

Прим.:

Этот пример также применим и к QFX5100 коммутаторам.

  • Junos OS версии 9.3 или более поздней для коммутаторов серии EX.

  • Коммутатор серии EX, выступая в качестве объекта доступа к аутентификации порта (PAE). Порты на аутентиаторе PAE формируют контрольный шлюз, который блокирует весь трафик к и отпродатантам до аутентификации.

  • Сервер RADIUS аутентификации. Сервер аутентификации действует как сервер серверной базы данных и содержит учетные данные для хостов (запросителей), которые имеют разрешение на подключение к сети.

Прежде чем настраивать аутентификацию MAC RADIUS, убедитесь, что у вас есть:

Обзор и топология

IEEE 802.1X управление доступом к сети на основе порта 802.1X (PNAC) аутентификация и разрешение доступа устройств к LAN, если устройства могут взаимодействовать с коммутатором с помощью протокола 802.1X (то есть устройства с поддержкой 802.1X). Чтобы разрешить конечным устройствам с поддержкой не 802.1X доступ к LAN, можно настроить аутентификацию MAC RADIUS на интерфейсах, к которым подключены конечные устройства. Когда MAC-адрес интерфейсе отображается MAC-адрес, коммутатор консультируется с RADIUS сервером, чтобы проверить, является ли это разрешенным MAC-адрес. Если MAC-адрес конечного устройства настроено так, как это разрешено на RADIUS сервере, коммутатор открывает доступ к конечному устройству в локальной сети.

Можно настроить как методы аутентификации MAC RADIUS, так и методы аутентификации по методу 802.1X на интерфейсе, настроенного для нескольких источников. Кроме того, если интерфейс подключен только к хосту с поддержкой не 802.1X, можно включить аутентификацию MAC RADIUS и не включить аутентификацию 802.1X с помощью этого параметра, что позволит избежать задержки, возникащей в то время, когда коммутатор определяет, что устройство не отвечает на сообщения mac-radius restrict EAP.

Рис. 1 показывает два принтера, подключенных к коммутатору.

Прим.:

Этот рисунок также относится к QFX5100 коммутаторам.

Рис. 1: Топология конфигурации аутентификации MAC RADIUS MAC-аутентификацииТопология конфигурации аутентификации MAC RADIUS MAC-аутентификации

Табл. 1 отображает компоненты в примере для аутентификации MAC RADIUS аутентификации.

Табл. 1: Компоненты топологии конфигурации аутентификации MAC RADIUS MAC
Свойство Параметры

Оборудование коммутатора

EX4200 портов (ge-0/0/0 через ge-0/0/23)

Имя сети VLAN

Продаж

Подключения к принтерам (не PoE необходимости)

ge-0/0/19, MAC-адрес 00040ffdacfe

ge-0/0/20, MAC-адрес 0004aecd235f

RADIUS сервер

Подключение к коммутатору на интерфейсе ge-0/0/10

Принтер с интерфейсом MAC-адрес 00040ffdacfe подключается к интерфейсу доступа ge-0/0/19. Второй принтер с MAC-адрес 0004aecd235f подключается к интерфейсу ge-0/0/20. В данном примере оба интерфейса настроены для аутентификации MAC RADIUS а MAC-адреса (без двоеточий) обоих принтеров настроены на RADIUS-RADIUS. Интерфейс ge-0/0/20 сконфигурирован для устранения обычной задержки во время попытки аутентификации 802.1X коммутатора; Аутентификация MAC RADIUS и аутентификация 802.1X отключена с помощью mac radius restrict параметра.

Топологии

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить аутентификацию MAC RADIUS MAC-телефонии, скопируйте следующие команды и включите их в окно терминала коммутатора:

Прим.:

Необходимо также настроить два MAC-адреса в качестве имен пользователей и паролей RADIUS сервера, как это делается на шаге 2 пошаговой процедуры.

Пошаговая процедура

Настройте аутентификацию MAC RADIUS на коммутаторе и RADIUS:

  1. На коммутаторе настройте интерфейсы, к которым принтеры подключены для аутентификации MAC-RADIUS, и настройте параметр ограничения на интерфейсе ge-0/0/20, чтобы использовалась только аутентификация MAC RADIUS:

  2. На сервере RADIUS настройте MAC-адреса 00040ffdacfe и 0004aecd235f в качестве имен пользователей и паролей:

Результаты

Отобразить результаты настройки коммутатора:

Проверки

Убедитесь, что аутентификация проверяемой компании:

Проверка аутентификации проверяющих участников

Цель

После настройки аутентификации RADIUS MAC-RADIUS на коммутаторе и на RADIUS сервере проверьте, что они аутентифицированы, и отобразить метод аутентификации.

Действий

Отображение информации о интерфейсах, настроенных на 802.1X, ge-0/0/19 и ge-0/0/20:

Смысл

Пример выходных данных команды показывает MAC-адрес подключенного конечного show dot1x interface detail устройства в Supplicant поле. На интерфейсе ge-0/0/19 MAC-адрес - это MAC-адрес первого принтера, настроенного для 00:04:0f:fd:ac:fe аутентификации MAC RADIUS. В Authentication method поле отображается метод аутентификации: Radius . На интерфейсе имеется MAC-адрес , что является MAC-адрес второго принтера, настроенного для ge-0/0/2000:04:ae:cd:23:5f аутентификации MAC RADIUS аутентификации. В Authentication method поле отображается метод аутентификации: Radius .