MAC RADIUS 身份验证
您可以使用几种不同的身份验证方法通过交换机控制对网络的访问。Junos OS 交换机支持 802.1X、MAC RADIUS 和强制门户作为需要连接到网络的设备的身份验证方法。
您可以在主机连接的交换机接口上配置 MAC RADIUS 身份验证以提供 LAN 访问。有关更多信息,请阅读本主题。
配置 MAC RADIUS 身份验证(CLI 过程)
通过在主机连接的交换机接口上配置 MAC RADIUS 身份验证,可以允许未启用 802.1X 的 LAN 设备访问。
您还可以允许未启用 802.1X 的设备访问 LAN,方法是将其 MAC 地址配置为静态 MAC 绕过身份验证。
您可以在也允许 802.1X 身份验证的接口上配置 MAC RADIUS 身份验证,也可以单独配置任一身份验证方法。
如果接口上同时启用了 MAC RADIUS 和 802.1X 身份验证,交换机将首先向主机发送三个 EAPoL 请求。如果主机没有响应,交换机会将主机的 MAC 地址发送到 RADIUS 服务器,以检查该地址是否为允许的 MAC 地址。如果在 RADIUS 服务器上将 MAC 地址配置为允许地址,则 RADIUS 服务器会向交换机发送一条消息,指出该 MAC 地址是允许的地址,交换机将打开对所连接接口上无响应主机的 LAN 访问。
如果在接口上配置了 MAC RADIUS 身份验证,但未进行 802.1X 身份验证(通过使用 mac-radius restrict 选项),交换机将尝试向 RADIUS 服务器验证 MAC 地址,而不会延迟,方法是先尝试 802.1X 身份验证。
在配置 MAC RADIUS 身份验证之前,请确保您已:
配置了交换机与 RADIUS 服务器之间的基本访问。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
要使用 CLI 配置 MAC RADIUS 身份验证,请执行以下操作:
-
在交换机上,配置无响应主机连接到的接口以进行 MAC RADIUS 身份验证,并为接口ge-0/0/20添加restrict限定符,使其仅使用 MAC RADIUS 身份验证:
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
-
在 RADIUS 身份验证服务器上,使用无响应主机的 MAC 地址(不带冒号)作为用户名和密码(此处的 MAC 地址为 00:04:0f:fd:ac:fe 和 00:04:ae:cd:23:5f)为每个无响应主机创建用户配置文件:
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
-
(可选)为所有 MAC RADIUS 身份验证配置全局密码,而不是使用 MAC 地址作为密码(此处的全局密码为 $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF):
[edit]# user@switch# edit protocols dot1x authenticator mac-radius password $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF
另请参阅
示例:在 EX 系列交换机上配置 MAC RADIUS 身份验证
要允许未启用 802.1X 的主机访问 LAN,可以在未启用 802.1X 的主机所连接的交换机接口上配置 MAC RADIUS 身份验证。配置 MAC RADIUS 身份验证后,交换机将尝试使用主机的 MAC 地址向 RADIUS 服务器验证主机。
此示例介绍如何为两个未启用 802.1X 的主机配置 MAC RADIUS 身份验证:
要求
此示例使用以下软件和硬件组件:
此示例也适用于QFX5100交换机。
适用于 EX 系列交换机的 Junos OS 9.3 或更高版本。
充当身份验证器端口访问实体 (PAE) 的 EX 系列交换机。验证方 PAE 上的端口形成一个控制门,用于阻止进出请求方的所有流量,直到它们通过身份验证。
RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。
在配置 MAC RADIUS 身份验证之前,请确保您已:
在 EX 系列交换机和 RADIUS 服务器之间配置基本访问。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
已在交换机上执行基本桥接和VLAN配置。请参阅描述为交换机设置基本桥接和 VLAN 的文档。如果您使用的交换机支持增强型第 2 层软件 (ELS) 配置样式,请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN 或 示例:在交换机上设置基本桥接和 VLAN。对于所有其他交换机,请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
注:有关 ELS 的更多信息,请参阅:使用增强型第 2 层软件 CLI
已执行基本802.1X配置。请参阅配置 802.1X 接口设置(CLI 过程)。
概述和拓扑
如果 IEEE 802.1X 端口的网络访问控制 (PNAC) 可以使用 802.1X 协议与交换机通信(即设备已启用 802.1X),则对设备进行身份验证并允许设备访问 LAN。要允许未启用 802.1X 的终端设备访问 LAN,您可以在终端设备连接的接口上配置 MAC RADIUS 身份验证。当终端设备的 MAC 地址出现在接口上时,交换机会咨询 RADIUS 服务器以检查它是否是允许的 MAC 地址。如果在 RADIUS 服务器上将终端设备的 MAC 地址配置为允许,交换机将打开对终端设备的 LAN 访问。
您可以在为多个请求方配置的接口上配置 MAC RADIUS 身份验证和 802.1X 身份验证方法。此外,如果接口仅连接到未启用 802.1X 的主机,则可以使用该 mac-radius restrict 选项启用 MAC RADIUS,而不启用 802.1X 身份验证,从而避免交换机确定设备不响应 EAP 消息时发生的延迟。
图 1 显示连接到交换机的两台打印机。
此数字也适用于QFX5100交换机。
表 1 显示了 MAC RADIUS 身份验证示例中的组件。
属性 | 设置 |
---|---|
交换机硬件 |
EX4200 端口(ge-0/0/0 到 ge-0/0/23) |
VLAN 名称 |
销售 |
连接到打印机(无需 PoE) |
ge-0/0/19,MAC 地址 00040ffdacfe ge-0/0/20,MAC 地址 0004aecd235f |
RADIUS 服务器 |
已连接到交换机接口 ge-0/0/10 |
MAC 地址为 00040ffdacfe 的打印机已连接到访问接口 ge-0/0/19。MAC 地址为 0004aecd235f 的第二台打印机连接到接入接口 ge-0/0/20。在此示例中,两个接口均配置为交换机上的 MAC RADIUS 身份验证,两台打印机的 MAC 地址(不带冒号)均在 RADIUS 服务器上配置。接口 ge-0/0/20 配置为消除交换机尝试 802.1X 身份验证时的正常延迟;MAC RADIUS 身份验证已启用,并且使用该选项禁用 mac radius restrict
802.1X 身份验证。
拓扑学
配置
程序
CLI 快速配置
要快速配置 MAC RADIUS 身份验证,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set protocols dot1x authenticator interface ge-0/0/19 mac-radius set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
您还必须将两个 MAC 地址配置为 RADIUS 服务器上的用户名和密码,如分步过程的步骤 2 中所述。
分步过程
在交换机和 RADIUS 服务器上配置 MAC RADIUS 身份验证:
在交换机上,配置打印机连接到的接口以进行 MAC RADIUS 身份验证,并在接口 ge-0/0/20 上配置限制选项,以便仅使用 MAC RADIUS 身份验证:
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
在 RADIUS 服务器上,将 MAC 地址 00040ffdacfe 和 0004aecd235f 配置为用户名和密码:
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
结果
显示交换机上的配置结果:
user@switch> show configuration protocols { dot1x { authenticator { authentication-profile-name profile52; interface { ge-0/0/19.0 { mac-radius; } ge-0/0/20.0 { mac-radius { restrict; } } } } } }
验证
验证请求方是否已通过身份验证:
验证请求方是否已通过身份验证
目的
在交换机和 RADIUS 服务器上为 MAC RADIUS 身份验证配置请求方后,请验证他们是否已通过身份验证并显示身份验证方法。
操作
显示有关 802.1X 配置的接口 ge-0/0/19 和 ge-0/0/20 的信息:
user@switch> show dot1x interface ge-0/0/19.0 detail ge-0/0/19.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user101, 00:04:0f:fd:ac:fe Operational state: Authenticated Authentication method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds user@switch> show dot1x interface ge-0/0/20.0 detail ge-0/0/20.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Enabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user102, 00:04:ae:cd:23:5f Operational state: Authenticated Authentcation method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds
意义
命令 show dot1x interface detail
的示例输出在现场显示连接的终端设备的 Supplicant MAC 地址。在接口 ge-0/0/19 上,MAC 地址为 00:04:0f:fd:ac:fe,这是为 MAC RADIUS 身份验证配置的第一台打印机的 MAC 地址。该 Authentication method 字段将身份验证方法 Radius显示为 。在接口 ge-0/0/20上,MAC 地址为 00:04:ae:cd:23:5f,这是为 MAC RADIUS 身份验证配置的第二台打印机的 MAC 地址。该 Authentication method 字段将身份验证方法 Radius显示为 。