在增强型 LAN 模式下的 MX 系列路由器上配置 MAC RADIUS 身份验证
从 Junos OS 14.2 版开始,您可以在主机连接的 MX 系列路由器接口上配置 MAC RADIUS 身份验证,从而允许未启用 802.1X 的 LAN 设备访问。
您还可以允许未启用 802.1X 的设备访问 LAN,方法是将其 MAC 地址配置为静态 MAC 绕过身份验证。
您可以在也允许 802.1X 身份验证的接口上配置 MAC RADIUS 身份验证,也可以单独配置任一身份验证方法。
如果在接口上同时启用了 MAC RADIUS 和 802.1X 身份验证,路由器将首先向主机发送三个 EAPOL 请求。如果主机没有响应,路由器会将主机的 MAC 地址发送到 RADIUS 服务器,以检查它是否是允许的 MAC 地址。如果在 RADIUS 服务器上将 MAC 地址配置为允许地址,则 RADIUS 服务器会向路由器发送一条消息,指出该 MAC 地址是允许的地址,并且路由器将打开对所连接接口上无响应主机的 LAN 访问。
如果在接口上配置 MAC RADIUS 身份验证,但未进行 802.1X 身份验证(通过使用选项), 路由器将尝试向 RADIUS 服务器验证 MAC 地址,而不会延迟,方法是先尝试 802.1X 身份验证。mac-radius restrict
在配置 MAC RADIUS 身份验证之前,请确保您已:
在 MX 系列路由器和 RADIUS 服务器之间配置基本访问。
通过在层次结构级别输入 语句 ,将 MX240、MX480 和 MX960 路由器配置为在增强型 LAN 模式下运行。
network-services lan[edit chassis]
要使用 CLI 配置 MAC RADIUS 身份验证,请执行以下操作:
在路由器上,配置无响应主机连接到的接口以进行 MAC RADIUS 身份验证,并为接口添加限定符,使其仅使用 MAC RADIUS 身份验证:restrictge-0/0/20
[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control interface ge-0/0/20 dot1x mac-radius restrict
在 RADIUS 身份验证服务器上,使用无响应主机的 MAC 地址(不带冒号)作为用户名和密码(此处的 MAC 地址为 和 )为每个无响应主机创建用户配置文件:00:04:0f:fd:ac:fe00:04:ae:cd:23:5f
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。