Ajude-nos a melhorar a sua experiência.

Conte-nos a sua opinião.

Tem dois minutos para uma pesquisa?

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
close
keyboard_arrow_left
list Table of Contents

Esta tradução automática foi útil?

starstarstarstarstar
Go to English page
ISENÇÃO DE RESPONSABILIDADE:

Esta página será traduzida com software de tradução por máquina de terceiros. Embora esforços razoáveis tenham sido feitos para fornecer uma tradução de qualidade, a Juniper Networks não pode garantir sua exatidão. Se houver dúvidas sobre a exatidão das informações contidas nesta tradução, consulte a versão em inglês. O PDF para download está disponível apenas em inglês.

Exemplo: Configuração da autenticação MAC RADIUS em um roteador da Série MX

date_range 03-Aug-24

Começando pelo Junos OS Release 14.2 para permitir que hosts que não estejam habilitados para 802.1X acessem a LAN, você pode configurar a autenticação MAC RADIUS nas interfaces do roteador às quais os hosts não habilitados para 802.1X estão conectados. Quando a autenticação MAC RADIUS estiver configurada, o roteador tentará autenticar o host com o servidor RADIUS usando o endereço MAC do host.

Este exemplo descreve como configurar a autenticação MAC RADIUS para dois hosts não habilitados para 802.1X:

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Junos OS Versão 14.2 ou posterior para roteadores MX240, MX480 ou MX960 em execução no modo LAN aprimorado.

  • Um roteador da Série MX atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.

  • Um servidor de autenticação RADIUS. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.

Antes de conectar o servidor ao roteador, certifique-se de ter:

  • Modo LAN aprimorado configurado no roteador.

  • Realizou a ponte básica e a configuração de VLAN no roteador.

  • Usuários configurados no servidor de autenticação RADIUS.

Visão geral e topologia

O IEEE 802.1X Port-Based Network Access Control (PNAC) autentica e permite que os dispositivos acessem uma LAN se os dispositivos puderem se comunicar com o roteador usando o protocolo 802.1X (estão habilitados para 802.1X). Para permitir que dispositivos finais não habilitados para 802.1X acessem a LAN, você pode configurar a autenticação MAC RADIUS nas interfaces às quais os dispositivos finais estão conectados. Quando o endereço MAC do dispositivo final aparece na interface, o roteador consulta o servidor RADIUS para verificar se é um endereço MAC permitido. Se o endereço MAC do dispositivo final estiver configurado conforme permitido no servidor RADIUS, o roteador abre acesso LAN ao dispositivo final.

Você pode configurar tanto a autenticação MAC RADIUS quanto os métodos de autenticação 802.1X em uma interface configurada para várias suplicantes. Além disso, se uma interface estiver conectada apenas a um host não habilitado para 802.1X, você pode habilitar o MAC RADIUS e não permitir a autenticação 802.1X usando a opção mac-radius restrict e, assim, evitar o atraso que ocorre enquanto o roteador determina que o dispositivo não responde às mensagens EAP.

Duas impressoras são conectadas a um roteador da Série MX por interfaces, ge-0/0/19 e ge-0/0/20.

Tabela 1 mostra os componentes no exemplo da autenticação MAC RADIUS.

Tabela 1: Componentes da topologia de configuração de autenticação MAC RADIUS
Propriedade Configurações

Hardware do roteador

Portas (ge-0/0/0 até ge-0/0/23)

Nome da VLAN

venda

Conexões com impressoras

ge-0/0/19, endereço MAC 00040ffdacfe

ge-0/0/20, endereço MAC 0004aecd235f

Servidor RADIUS

Conectado ao roteador na interface ge-0/0/10

A impressora com o endereço MAC 00040ffdacfe está conectada à interface de acesso ge-0/0/19. Uma segunda impressora com o endereço MAC 0004aecd235f está conectada à interface de acesso ge-0/0/20. Neste exemplo, ambas as interfaces estão configuradas para autenticação MAC RADIUS no roteador, e os endereços MAC (sem cólons) de ambas as impressoras estão configurados no servidor RADIUS. A interface ge-0/0/20 está configurada para eliminar o atraso normal enquanto o roteador tenta autenticação 802.1X; A autenticação MAC RADIUS está habilitada e a autenticação 802.1X é desativada usando a opção mac radius restrict .

Topologia

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente a autenticação MAC RADIUS, copie os seguintes comandos e cole-os na janela de terminal do roteador:

content_copy zoom_out_map
[edit]
  set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius

  set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict
Nota:

Você também deve configurar os dois endereços MAC como nomes de usuário e senhas no servidor RADIUS, como é feito na etapa 2 do procedimento passo a passo.

Procedimento passo a passo

Configure a autenticação MAC RADIUS no roteador e no servidor RADIUS:

  1. No roteador, configure as interfaces às quais as impressoras estão anexadas para autenticação MAC RADIUS e configure a opção restrict na interface ge-0/0/20, de modo que apenas a autenticação MAC RADIUS seja usada:

    content_copy zoom_out_map
    [edit]
    user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius
    
      user@router# set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict
                             
  2. No servidor RADIUS, configure os endereços 00040ffdacfe MAC e 0004aecd235f como nomes de usuário e senhas:

    content_copy zoom_out_map
    [root@freeradius]# 
                                 edit /etc/raddb
                                 vi users
                                 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe"
                                 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"

Resultados

Exibir os resultados da configuração no roteador:

content_copy zoom_out_map
user@router> show configuration  
protocols {
    authentication-access-control {
        authentication-profile-name profile52;
        interface {
            ge-0/0/19.0 {
                dot1x {
                    mac-radius;
                }
            }
            ge-0/0/20.0 {
                dot1x {
                    mac-radius {
                        restrict;
                    }
                }
            }
        }
    }
}

Verificação

Verifique se os suplicantes são autenticados:

Verificando se os suplicantes são autenticados

Propósito

Depois que os suplicantes forem configurados para autenticação MAC RADIUS no roteador e no servidor RADIUS, verifique se eles são autenticados e exibir o método de autenticação:

Ação

Exibir informações sobre interfaces ge-0/0/19 configuradas por 802.1X e ge-0/0/20:

content_copy zoom_out_map
user@router> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
  Role: Authenticator
  Administrative state: Auto
  Supplicant mode: Single
  Number of retries: 3
  Quiet period: 60 seconds
  Transmit period: 30 seconds
  Mac Radius: Enabled
  Mac Radius Restrict: Disabled
  Reauthentication: Enabled
  Configured Reauthentication interval: 3600 seconds
  Supplicant timeout: 30 seconds
  Server timeout: 30 seconds
  Maximum EAPOL requests: 2
  Guest VLAN member: <not configured>
  Number of connected supplicants: 1
    Supplicant: user101, 00:04:0f:fd:ac:fe
      Operational state: Authenticated
      Authentication method: Radius
      Authenticated VLAN: vo11
      Dynamic Filter: match source-dot1q-tag 10 action deny
      Session Reauth interval: 60 seconds
      Reauthentication due in 50 seconds

user@router> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
  Role: Authenticator
  Administrative state: Auto
  Supplicant mode: Single
  Number of retries: 3
  Quiet period: 60 seconds
  Transmit period: 30 seconds
  Mac Radius: Enabled
  Mac Radius Restrict: Enabled
  Reauthentication: Enabled
  Configured Reauthentication interval: 3600 seconds
  Supplicant timeout: 30 seconds
  Server timeout: 30 seconds
  Maximum EAPOL requests: 2
  Guest VLAN member: <not configured>
  Number of connected supplicants: 1
    Supplicant: user102, 00:04:ae:cd:23:5f
      Operational state: Authenticated
      Authentcation method: Radius
      Authenticated VLAN: vo11
      Dynamic Filter: match source-dot1q-tag 10 action deny
      Session Reauth interval: 60 seconds
      Reauthentication due in 50 seconds

Significado

A saída de amostra do show dot1x interface detail comando exibe o endereço MAC do dispositivo final conectado em Supplicant campo. Na interface ge-0/0/19, o endereço MAC é 00:04:0f:fd:ac:fe, que é o endereço MAC da primeira impressora configurada para autenticação MAC RADIUS. O Authentication method campo exibe o método de autenticação como MAC Radius. Na interface ge-0/0/20, o endereço MAC é 00:04:ae:cd:23:5f, que é o endereço MAC da segunda impressora configurado para autenticação MAC RADIUS. O Authentication method campo exibe o método de autenticação como MAC Radius.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
14.2
Começando pelo Junos OS Release 14.2 para permitir que hosts que não estejam habilitados para 802.1X acessem a LAN, você pode configurar a autenticação MAC RADIUS nas interfaces do roteador às quais os hosts não habilitados para 802.1X estão conectados.
external-footer-nav