Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

在增强的 LAN 模式下在 MX 系列路由器上配置 MAC RADIUS 身份验证

 

从 Junos OS 版本14.2 开始,您可以通过在连接主机的 MX 系列路由器接口上配置 MAC RADIUS 身份验证,允许不802.1 支持 X 的 LAN 访问的设备。

注意

您也可通过 MAC 地址配置非802.1 支持 X 的设备来访问 LAN,方法是为身份验证绕过静态 MAC 旁路。

您可以在也允许 802.1 X 身份验证的接口上配置 MAC RADIUS 身份验证,也可以单独配置任一身份验证方法。

如果在该接口上同时启用 MAC RADIUS 和 802.1 X 身份验证,则路由器会首先向主机发送三个 EAPOL 请求。如果主机没有响应,路由器会将主机’MAC 地址发送至 RADIUS 服务器,以检查其是否为允许的 MAC 地址。如果 MAC 地址按 RADIUS 服务器上的允许配置,RADIUS 服务器会向路由器发送一条消息,指示 MAC 地址是允许的地址,而路由器将对其连接的接口上的未响应主机开放 LAN 访问。

如果在接口上配置 MAC RADIUS 身份验证,但 802.1 X 身份验证不是(使用 mac-radius 限制选项),路由器将尝试使用 RADIUS 服务器验证 MAC 地址,而不会延迟尝试 802.1 X 身份验证。

在配置 MAC RADIUS 身份验证之前,请确保您已:

  • 配置了 MX 系列路由器和 RADIUS 服务器之间的基本接入。

  • 通过在network-services lan[edit chassis]层次结构级别输入语句,可将 MX240、MX480 和 MX960 路由器配置为在增强型 LAN 模式下工作。

要使用 CLI 配置 MAC RADIUS 认证:

  • 在路由器上,配置未响应主机附加到的 MAC RADIUS 身份验证的接口,并将 施加接口的限定符 ge-0/0/20要让它仅使用 MAC RADIUS 认证:

    [edit]

    user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius

    user@router# set protocols authentication-access-control interface ge-0/0/20 dot1x mac-radius restrict
  • 在 RADIUS 认证服务器上,使用未响应主机的 MAC 地址(不带冒号)作为用户名和密码为每个未响应主机创建用户配置文件(此处的 MAC 地址为 00:04:0f:fd:ac:fe00:04:ae:cd:23:5f):

    [root@freeradius]#

    edit /etc/raddb

    vi users

    00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe"

    0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"

Release History Table
版本
说明
从 Junos OS 版本14.2 开始,您可以通过在连接主机的 MX 系列路由器接口上配置 MAC RADIUS 身份验证,允许不802.1 支持 X 的 LAN 访问的设备。