Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

配置 MAC RADIUS 身份验证(CLI 过程)

 

通过在主机连接的交换机接口上配置 MAC RADIUS 身份验证,您可以允许不802.1 支持 X 的 LAN 访问的设备。

注意

您也可通过 MAC 地址配置非802.1 支持 X 的设备来访问 LAN,方法是为身份验证绕过静态 MAC 旁路。

您可以在也允许 802.1 X 身份验证的接口上配置 MAC RADIUS 身份验证,也可以单独配置任一身份验证方法。

如果在接口上同时启用 MAC RADIUS 和 802.1 X 身份验证,交换机将首先向主机发送三个 EAPoL 请求。如果主机没有响应,交换机会将主机’MAC 地址发送至 RADIUS 服务器,以检查其是否为允许的 MAC 地址。如果 MAC 地址按 RADIUS 服务器上的允许配置,RADIUS 服务器会向交换机发送一条消息,指示 MAC 地址是允许的地址,而交换机将对其连接的接口上的未响应主机打开 LAN 访问。

如果在接口上配置 MAC RADIUS 身份验证,但 802.1 X 身份验证不是(使用 mac-radius 限制选项),交换机将尝试使用 RADIUS 服务器验证 MAC 地址,而不会延迟尝试 802.1 X 身份验证。

在配置 MAC RADIUS 身份验证之前,请确保您已:

要使用 CLI 配置 MAC RADIUS 身份验证:

  • 在交换机上,配置未响应主机附加到的 MAC RADIUS 身份验证的接口,并将 施加接口的限定符 ge-0/0/20要让它仅使用 MAC RADIUS 认证:

    [edit]

    user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius

    user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
  • 在 RADIUS 认证服务器上,使用未响应主机的 MAC 地址(不带冒号)作为用户名和密码为每个未响应主机创建用户配置文件(此处的 MAC 地址为 00:04:0f:fd:ac:fe00:04:ae:cd:23:5f):

    [root@freeradius]#

    edit /etc/raddb

    vi users

    00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe"

    0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"