Autenticação MAC RADIUS
Você pode controlar o acesso à sua rede por meio de um switch usando vários métodos de autenticação diferentes. Os switches Junos OS oferecem suporte a 802.1X, MAC RADIUS e portal cativo como métodos de autenticação para dispositivos que precisam se conectar a uma rede.
Você pode configurar a autenticação MAC RADIUS nas interfaces de switch às quais os hosts estão conectados para fornecer acesso LAN. Para obter mais informações, leia este tópico.
Configuração da autenticação MAC RADIUS (procedimento CLI)
Você pode permitir dispositivos que não são de acesso LAN habilitado para 802.1X configurando a autenticação MAC RADIUS nas interfaces de switch às quais os hosts estão conectados.
Você também pode permitir que dispositivos não habilitados para 802.1X acessem a LAN configurando seu endereço MAC para desvio estático de autenticação por MAC.
Você pode configurar a autenticação MAC RADIUS em uma interface que também permite a autenticação 802.1X, ou pode configurar apenas o método de autenticação.
Se o MAC RADIUS e a autenticação 802.1X estiverem habilitados na interface, o switch primeiro envia ao host três solicitações de EAPoL ao host. Se não houver resposta do host, o switch envia o endereço MAC do host para o servidor RADIUS para verificar se é um endereço MAC permitido. Se o endereço MAC estiver configurado conforme permitido no servidor RADIUS, o servidor RADIUS envia uma mensagem ao switch de que o endereço MAC é um endereço mac permitido, e o switch abre o acesso LAN ao host não responsável na interface à qual está conectado.
Se a autenticação MAC RADIUS estiver configurada na interface, mas a autenticação 802.1X não estiver (usando a opção mac-radius restrict ), o switch tenta autenticar o endereço MAC com o servidor RADIUS sem atrasar ao tentar a autenticação 802.1X primeiro.
Antes de configurar a autenticação MAC RADIUS, certifique-se de ter:
Configure o acesso básico entre o switch e o servidor RADIUS. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
Para configurar a autenticação MAC RADIUS usando o CLI:
-
No switch, configure as interfaces às quais os hosts não responsáveis estão conectados para autenticação MAC RADIUS e adicione o restrict qualificador para interface ge-0/0/20 para que ele use apenas a autenticação MAC RADIUS:
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
-
Em um servidor de autenticação RADIUS, crie perfis de usuário para cada host não responsável usando o endereço MAC (sem pontos) do host não responsável como nome de usuário e senha (aqui, os endereços MAC são 00:04:0f:fd:ac:fe e 00:04:ae:cd:23:5f):
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
-
(Opcional) Configure uma senha global para toda a autenticação MAC RADIUS, em vez de usar o endereço MAC como senha (aqui está $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzFa senha global):
[edit]# user@switch# edit protocols dot1x authenticator mac-radius password $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF
Consulte também
Exemplo: Configuração da autenticação MAC RADIUS em um switch da Série EX
Para permitir que hosts que não estejam habilitados para 802.1X acessem uma LAN, você pode configurar a autenticação MAC RADIUS nas interfaces de switch às quais os hosts não habilitados para 802.1X estão conectados. Quando a autenticação MAC RADIUS estiver configurada, o switch tentará autenticar o host com o servidor RADIUS usando o endereço MAC do host.
Este exemplo descreve como configurar a autenticação MAC RADIUS para dois hosts não habilitados para 802.1X:
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Este exemplo também se aplica a switches QFX5100.
Junos OS Versão 9.3 ou posterior para switches da Série EX.
Um switch da Série EX atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Um servidor de autenticação RADIUS. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Antes de configurar a autenticação MAC RADIUS, certifique-se de ter:
Acesso básico configurado entre o switch da Série EX e o servidor RADIUS. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
Realizou a ponte básica e a configuração de VLAN no switch. Veja a documentação que descreve a configuração de pontes básicas e uma VLAN para o seu switch. Se você estiver usando um switch que ofereça suporte ao estilo de configuração do software de camada 2 (ELS) aprimorado, veja Exemplo: Configuração de pontes básicas e uma VLAN para um switch da Série EX com suporte ou exemplo de ELS: Configuração de pontes básicas e uma VLAN em switches. Para todos os outros switches, veja Exemplo: Configurando uma ponte básica e uma VLAN para um switch da Série EX.
Nota:Para saber mais sobre o ELS, veja: Usando o CLI aprimorado de software de Camada 2
Realizou a configuração básica do 802.1X. Veja configuração das configurações da interface 802.1X (procedimento CLI).
Visão geral e topologia
O controle de acesso à rede (PNAC) baseado em porta IEEE 802.1X autentica e permite que os dispositivos acessem uma LAN se os dispositivos puderem se comunicar com o switch usando o protocolo 802.1X (ou seja, os dispositivos estão habilitados para 802.1X). Para permitir que dispositivos finais não habilitados para 802.1X acessem a LAN, você pode configurar a autenticação MAC RADIUS nas interfaces às quais os dispositivos finais estão conectados. Quando o endereço MAC do dispositivo final aparece na interface, o switch consulta o servidor RADIUS para verificar se é um endereço MAC permitido. Se o endereço MAC do dispositivo final estiver configurado conforme permitido no servidor RADIUS, o switch abrirá o acesso LAN ao dispositivo final.
Você pode configurar tanto a autenticação MAC RADIUS quanto os métodos de autenticação 802.1X em uma interface configurada para várias suplicantes. Além disso, se uma interface estiver conectada apenas a um host não habilitado para 802.1X, você pode habilitar o MAC RADIUS e não permitir a autenticação 802.1X usando a opção mac-radius restrict e, assim, evitar o atraso que ocorre enquanto o switch determina que o dispositivo não responde às mensagens EAP.
Figura 1 mostra as duas impressoras conectadas ao switch.
Esse número também se aplica a switches QFX5100.
Tabela 1 mostra os componentes no exemplo da autenticação MAC RADIUS.
| Propriedade | Configurações |
|---|---|
Hardware do switch |
Portas EX4200 (ge-0/0/0 até ge-0/0/23) |
Nome da VLAN |
venda |
Conexões com impressoras (sem necessidade de PoE) |
ge-0/0/19, endereço MAC 00040ffdacfe ge-0/0/20, endereço MAC 0004aecd235f |
Servidor RADIUS |
Conectado ao switch na interface ge-0/0/10 |
A impressora com o endereço MAC 00040ffdacfe está conectada à interface de acesso ge-0/0/19. Uma segunda impressora com o endereço MAC 0004aecd235f está conectada à interface de acesso ge-0/0/20. Neste exemplo, ambas as interfaces estão configuradas para autenticação MAC RADIUS no switch, e os endereços MAC (sem cólons) de ambas as impressoras estão configurados no servidor RADIUS. A interface ge-0/0/20 está configurada para eliminar o atraso normal enquanto o switch tenta autenticação 802.1X; A autenticação MAC RADIUS está habilitada e a autenticação 802.1X é desativada usando a opção mac radius restrict .
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a autenticação MAC RADIUS, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set protocols dot1x authenticator interface ge-0/0/19 mac-radius set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
Você também deve configurar os dois endereços MAC como nomes de usuário e senhas no servidor RADIUS, como é feito na etapa 2 do procedimento passo a passo.
Procedimento passo a passo
Configure a autenticação MAC RADIUS no switch e no servidor RADIUS:
No switch, configure as interfaces às quais as impressoras estão anexadas para autenticação MAC RADIUS e configure a opção de restrição na interface ge-0/0/20, de modo que apenas a autenticação MAC RADIUS seja usada:
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrictNo servidor RADIUS, configure os endereços MAC 00040ffdacfe e 0004aecd235f como nomes de usuário e senhas:
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
Resultados
Exibir os resultados da configuração no switch:
user@switch> show configuration
protocols {
dot1x {
authenticator {
authentication-profile-name profile52;
interface {
ge-0/0/19.0 {
mac-radius;
}
ge-0/0/20.0 {
mac-radius {
restrict;
}
}
}
}
}
}
Verificação
Verifique se os suplicantes são autenticados:
Verificando se os suplicantes são autenticados
Propósito
Depois que os suplicantes forem configurados para autenticação MAC RADIUS no switch e no servidor RADIUS, verifique se eles são autenticados e exibem o método de autenticação.
Ação
Exibir informações sobre as interfaces configuradas por 802.1X ge-0/0/19 e ge-0/0/20:
user@switch> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
user@switch> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user102, 00:04:ae:cd:23:5f
Operational state: Authenticated
Authentcation method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
A saída de amostra do show dot1x interface detail comando exibe o endereço MAC do dispositivo final conectado em Supplicant campo. Na interface ge-0/0/19, o endereço MAC é 00:04:0f:fd:ac:fe, que é o endereço MAC da primeira impressora configurada para autenticação MAC RADIUS. O Authentication method campo exibe o método de autenticação como Radius. Na interface ge-0/0/20, o endereço MAC é 00:04:ae:cd:23:5f, que é o endereço MAC da segunda impressora configurado para autenticação MAC RADIUS. O Authentication method campo exibe o método de autenticação como Radius.