- play_arrow Aulas de login e configurações de login
- play_arrow Contas de usuário
- play_arrow Senhas para acesso ao usuário
- play_arrow Módulo de plataforma confiável
- play_arrow Autenticação do usuário
- play_arrow Gerenciamento de acesso remoto
- Visão geral do acesso remoto
- Modems USB para gerenciamento remoto de dispositivos de segurança
- Acesso seguro à Web para gerenciamento remoto
- Exemplo: Controle de acesso ao gerenciamento em dispositivos de rede da Juniper
- Diretrizes de configuração para proteger o acesso à porta do console
- Configuração do tipo de porta do console (procedimento CLI)
- play_arrow Controle de acesso
- Métodos de autenticação de controle de acesso
- Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot
- Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot
- Configuração do servidor RADIUS para autenticação
- RADIUS over TLS (RADSEC)
- Autenticação 802.1X
- Autenticação MAC RADIUS
- Contabilidade 802.1X e RADIUS
- Exemplo: Configuração do 802.1X para configurações de suplicante único ou múltiplo suplicante em um switch da Série EX
- Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um switch da Série EX
- Interfaces habilitadas para autenticação 802.1X ou MAC RADIUS
- Bypass MAC estático de autenticação MAC 802.1X e MAC RADIUS
- Configuração do PEAP para autenticação MAC RADIUS
- Autenticação de portal cativo
- Ordem de autenticação flexível nos switches da Série EX
- Falha no fallback e autenticação do servidor
- Tempo limite da sessão de autenticação
- Autenticação central da Web
- Atribuição dinâmica de VLAN para portas incolores
- VoIP nos switches da Série EX
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x
- play_arrow Descoberta de dispositivos
- play_arrow Segurança de nomes de domínio
- Visão geral do DNSSEC
- Configuração do valor de TTL para caching de servidor DNS
- Exemplo: Configuração do DNSSEC
- Exemplo: Configuração de domínios seguros e chaves confiáveis para DNSSEC
- Exemplo: Configuração de chaves para DNSSEC
- Visão geral do proxy de DNS
- Configurando o dispositivo como um proxy de DNS
- play_arrow Bandeiras de permissão
- acesso
- controle de acesso
- admin
- controle de administração
- todo
- claro
- configurar
- Controle
- campo
- firewall
- controle de firewall
- disquete
- flow-tap
- controle de fluxo de tap
- operação flow-tap
- operação de idp-profiler
- interface
- controle de interface
- manutenção
- rede
- espelhamento de sessão pgcp
- pgcp-session-mirroring-control
- repor
- reversão
- roteamento
- controle de roteamento
- segredo
- controle secreto
- segurança
- controle de segurança
- concha
- Snmp
- controle de snmp
- sistema
- controle do sistema
- traço
- trace-control
- vista
- configuração de visualização
- play_arrow Declarações de configuração e comandos operacionais
Exemplo: Configuração da autenticação MAC RADIUS em um roteador da Série MX
Começando pelo Junos OS Release 14.2 para permitir que hosts que não estejam habilitados para 802.1X acessem a LAN, você pode configurar a autenticação MAC RADIUS nas interfaces do roteador às quais os hosts não habilitados para 802.1X estão conectados. Quando a autenticação MAC RADIUS estiver configurada, o roteador tentará autenticar o host com o servidor RADIUS usando o endereço MAC do host.
Este exemplo descreve como configurar a autenticação MAC RADIUS para dois hosts não habilitados para 802.1X:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Junos OS Versão 14.2 ou posterior para roteadores MX240, MX480 ou MX960 em execução no modo LAN aprimorado.
Um roteador da Série MX atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Um servidor de autenticação RADIUS. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Antes de conectar o servidor ao roteador, certifique-se de ter:
Modo LAN aprimorado configurado no roteador.
Realizou a ponte básica e a configuração de VLAN no roteador.
Usuários configurados no servidor de autenticação RADIUS.
Visão geral e topologia
O IEEE 802.1X Port-Based Network Access Control (PNAC) autentica e permite que os dispositivos acessem uma LAN se os dispositivos puderem se comunicar com o roteador usando o protocolo 802.1X (estão habilitados para 802.1X). Para permitir que dispositivos finais não habilitados para 802.1X acessem a LAN, você pode configurar a autenticação MAC RADIUS nas interfaces às quais os dispositivos finais estão conectados. Quando o endereço MAC do dispositivo final aparece na interface, o roteador consulta o servidor RADIUS para verificar se é um endereço MAC permitido. Se o endereço MAC do dispositivo final estiver configurado conforme permitido no servidor RADIUS, o roteador abre acesso LAN ao dispositivo final.
Você pode configurar tanto a autenticação MAC RADIUS quanto os métodos de autenticação 802.1X em uma interface configurada para várias suplicantes. Além disso, se uma interface estiver conectada apenas a um host não habilitado para 802.1X, você pode habilitar o MAC RADIUS e não permitir a autenticação 802.1X usando a opção mac-radius restrict e, assim, evitar o atraso que ocorre enquanto o roteador determina que o dispositivo não responde às mensagens EAP.
Duas impressoras são conectadas a um roteador da Série MX por interfaces, ge-0/0/19 e ge-0/0/20.
Tabela 1 mostra os componentes no exemplo da autenticação MAC RADIUS.
Propriedade | Configurações |
---|---|
Hardware do roteador | Portas (ge-0/0/0 até ge-0/0/23) |
Nome da VLAN | venda |
Conexões com impressoras | ge-0/0/19, endereço MAC 00040ffdacfe ge-0/0/20, endereço MAC 0004aecd235f |
Servidor RADIUS | Conectado ao roteador na interface ge-0/0/10 |
A impressora com o endereço MAC 00040ffdacfe está conectada à interface de acesso ge-0/0/19. Uma segunda impressora com o endereço MAC 0004aecd235f está conectada à interface de acesso ge-0/0/20. Neste exemplo, ambas as interfaces estão configuradas para autenticação MAC RADIUS no roteador, e os endereços MAC (sem cólons) de ambas as impressoras estão configurados no servidor RADIUS. A interface ge-0/0/20 está configurada para eliminar o atraso normal enquanto o roteador tenta autenticação 802.1X; A autenticação MAC RADIUS está habilitada e a autenticação 802.1X é desativada usando a opção mac radius restrict
.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a autenticação MAC RADIUS, copie os seguintes comandos e cole-os na janela de terminal do roteador:
[edit] set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict
Você também deve configurar os dois endereços MAC como nomes de usuário e senhas no servidor RADIUS, como é feito na etapa 2 do procedimento passo a passo.
Procedimento passo a passo
Configure a autenticação MAC RADIUS no roteador e no servidor RADIUS:
No roteador, configure as interfaces às quais as impressoras estão anexadas para autenticação MAC RADIUS e configure a opção restrict na interface ge-0/0/20, de modo que apenas a autenticação MAC RADIUS seja usada:
content_copy zoom_out_map[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict
No servidor RADIUS, configure os endereços 00040ffdacfe MAC e 0004aecd235f como nomes de usuário e senhas:
content_copy zoom_out_map[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
Resultados
Exibir os resultados da configuração no roteador:
user@router> show configuration protocols { authentication-access-control { authentication-profile-name profile52; interface { ge-0/0/19.0 { dot1x { mac-radius; } } ge-0/0/20.0 { dot1x { mac-radius { restrict; } } } } } }
Verificação
Verifique se os suplicantes são autenticados:
Verificando se os suplicantes são autenticados
Propósito
Depois que os suplicantes forem configurados para autenticação MAC RADIUS no roteador e no servidor RADIUS, verifique se eles são autenticados e exibir o método de autenticação:
Ação
Exibir informações sobre interfaces ge-0/0/19 configuradas por 802.1X e ge-0/0/20:
user@router> show dot1x interface ge-0/0/19.0 detail ge-0/0/19.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user101, 00:04:0f:fd:ac:fe Operational state: Authenticated Authentication method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds user@router> show dot1x interface ge-0/0/20.0 detail ge-0/0/20.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Enabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user102, 00:04:ae:cd:23:5f Operational state: Authenticated Authentcation method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds
Significado
A saída de amostra do show dot1x interface detail
comando exibe o endereço MAC do dispositivo final conectado em Supplicant campo. Na interface ge-0/0/19, o endereço MAC é 00:04:0f:fd:ac:fe, que é o endereço MAC da primeira impressora configurada para autenticação MAC RADIUS. O Authentication method campo exibe o método de autenticação como MAC Radius. Na interface ge-0/0/20, o endereço MAC é 00:04:ae:cd:23:5f, que é o endereço MAC da segunda impressora configurado para autenticação MAC RADIUS. O Authentication method campo exibe o método de autenticação como MAC Radius.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.