Autenticación MAC RADIUS
Puede controlar el acceso a la red a través de un conmutador mediante varios métodos de autenticación diferentes. Los conmutadores Junos OS admiten 802.1X, MAC RADIUS y portal cautivo como métodos de autenticación para dispositivos que requieren conectarse a una red.
Puede configurar la autenticación MAC RADIUS en las interfaces del conmutador a las que están conectados los hosts para proporcionar acceso LAN. Para obtener más información, lea este tema.
Configuración de la autenticación MAC RADIUS (procedimiento de la CLI)
Puede permitir el acceso LAN a dispositivos que no estén habilitados para 802.1X configurando la autenticación MAC RADIUS en las interfaces del conmutador a las que están conectados los hosts.
También puede permitir que dispositivos no habilitados para 802.1X accedan a la LAN configurando su dirección MAC para la omisión MAC estática de autenticación.
Puede configurar la autenticación MAC RADIUS en una interfaz que también permita la autenticación 802.1X, o puede configurar cualquiera de los métodos de autenticación solos.
Si tanto MAC RADIUS como la autenticación 802.1X están habilitadas en la interfaz, el conmutador envía primero al host tres solicitudes EAPoL al host. Si no hay respuesta del host, el conmutador envía la dirección MAC del host al servidor RADIUS para comprobar si se trata de una dirección MAC permitida. Si la dirección MAC está configurada según lo permitido en el servidor RADIUS, el servidor RADIUS envía un mensaje al conmutador que indica que la dirección MAC es una dirección permitida y el conmutador abre el acceso LAN al host que no responde en la interfaz a la que está conectado.
Si la autenticación MAC RADIUS está configurada en la interfaz, pero la autenticación 802.1X no lo está (mediante la mac-radius restrict opción), el conmutador intenta autenticar la dirección MAC con el servidor RADIUS sin demora intentando primero la autenticación 802.1X.
Antes de configurar la autenticación MAC RADIUS, asegúrese de tener:
Acceso básico configurado entre el conmutador y el servidor RADIUS. Consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
Para configurar la autenticación MAC RADIUS mediante la CLI:
-
En el conmutador, configure las interfaces a las que están conectados los hosts que no responden para la autenticación MAC RADIUS y agregue el calificador para la interfaz ge-0/0/20 para que solo use la restrict autenticación MAC RADIUS:
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
-
En un servidor de autenticación RADIUS, cree perfiles de usuario para cada host que no responda utilizando la dirección MAC (sin dos puntos) del host que no responde como nombre de usuario y contraseña (aquí, las direcciones MAC son 00:04:0f:fd:ac:fe y 00:04:ae:cd:23:5f):
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
-
(Opcional) Configure una contraseña global para todas las autenticaciones MAC RADIUS, en lugar de utilizar la dirección MAC como contraseña (aquí la contraseña global es $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF):
[edit]# user@switch# edit protocols dot1x authenticator mac-radius password $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF
Consulte también
Ejemplo: Configuración de la autenticación MAC RADIUS en un conmutador de la serie EX
Para permitir que los hosts que no están habilitados para 802.1X accedan a una LAN, puede configurar la autenticación MAC RADIUS en las interfaces de conmutador a las que están conectados los hosts no habilitados para 802.1X. Cuando se configura la autenticación MAC RADIUS, el conmutador intentará autenticar el host con el servidor RADIUS utilizando la dirección MAC del host.
En este ejemplo se describe cómo configurar la autenticación MAC RADIUS para dos hosts no habilitados para 802.1X:
Requisitos
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Junos OS versión 9.3 o posterior para conmutadores de la serie EX.
Un conmutador de la serie EX que actúa como entidad de acceso de puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de configurar la autenticación MAC RADIUS, asegúrese de tener:
Acceso básico configurado entre el conmutador de la serie EX y el servidor RADIUS. Consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
Se realizó una configuración básica de puentes y VLAN en el conmutador. Consulte la documentación que describe la configuración de puentes básicos y una VLAN para el conmutador. Si utiliza un conmutador que admite el estilo de configuración Enhanced Layer 2 Software (ELS), consulte Ejemplo: Configuración de un puente básico y una VLAN para un conmutador de la serie EX compatible con ELS o ejemplo: Configuración de puentes básicos y una VLAN en conmutadores. Para todos los demás conmutadores, consulte Ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Nota:Para obtener más información sobre ELS, consulte: Uso de la CLI del software mejorado de capa 2
Se realizó la configuración básica de 802.1X. Consulte Configuración de la interfaz 802.1X (procedimiento de la CLI).
Descripción general y topología
El control de acceso a la red basado en puerto 802.1X (PNAC) IEEE autentica y permite que los dispositivos accedan a una LAN si los dispositivos pueden comunicarse con el conmutador mediante el protocolo 802.1X (es decir, los dispositivos están habilitados para 802.1X). Para permitir que los dispositivos finales no habilitados para 802.1X accedan a la LAN, puede configurar la autenticación MAC RADIUS en las interfaces a las que están conectados los dispositivos finales. Cuando la dirección MAC del dispositivo final aparece en la interfaz, el conmutador consulta al servidor RADIUS para comprobar si se trata de una dirección MAC permitida. Si la dirección MAC del dispositivo final está configurada como permitida en el servidor RADIUS, el conmutador abre el acceso LAN al dispositivo final.
Puede configurar los métodos de autenticación MAC RADIUS y 802.1X en una interfaz configurada para varios suplicantes. Además, si una interfaz está conectada sólo a un host no habilitado para 802.1X, puede habilitar MAC RADIUS y no habilitar la autenticación 802.1X mediante la mac-radius restrict opción y, de este modo, evitar el retraso que se produce mientras el conmutador determina que el dispositivo no responde a los mensajes EAP.
Figura 1 muestra las dos impresoras conectadas al conmutador.
Esta cifra también se aplica a QFX5100 conmutadores.
Tabla 1 muestra los componentes del ejemplo para la autenticación MAC RADIUS.
| Propiedad | Configuraciones |
|---|---|
Hardware del conmutador |
Puertos EX4200 (ge-0/0/0 a ge-0/0/23) |
Nombre de VLAN |
ventas |
Conexiones a impresoras (no se requiere PoE) |
ge-0/0/19, dirección MAC 00040ffdacfe ge-0/0/20, dirección MAC 0004aecd235f |
Servidor RADIUS |
Conectado a la interfaz de encendido ge-0/0/10 |
La impresora con la dirección MAC 00040ffdacfe está conectada a la interfaz de acceso ge-0/0/19. Una segunda impresora con la dirección MAC 0004aecd235f está conectada a la interfaz de acceso ge-0/0/20. En este ejemplo, ambas interfaces están configuradas para la autenticación MAC RADIUS en el conmutador y las direcciones MAC (sin dos puntos) de ambas impresoras se configuran en el servidor RADIUS. La interfaz ge-0/0/20 está configurada para eliminar el retraso normal mientras el conmutador intenta la autenticación 802.1X; La autenticación MAC RADIUS está habilitada y la autenticación 802.1X está deshabilitada mediante la mac radius restrict opción.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la autenticación MAC RADIUS, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set protocols dot1x authenticator interface ge-0/0/19 mac-radius set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
También debe configurar las dos direcciones MAC como nombres de usuario y contraseñas en el servidor RADIUS, como se realiza en el paso 2 del procedimiento paso a paso.
Procedimiento paso a paso
Configure la autenticación MAC RADIUS en el conmutador y en el servidor RADIUS:
En el conmutador, configure las interfaces a las que están conectadas las impresoras para la autenticación MAC RADIUS y configure la opción restrict en la interfaz ge-0/0/20, de modo que sólo se utilice la autenticación MAC RADIUS:
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrictEn el servidor RADIUS, configure las direcciones MAC 00040ffdacfe y 0004aecd235f como nombres de usuario y contraseñas:
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
Resultados
Mostrar los resultados de la configuración en el conmutador:
user@switch> show configuration
protocols {
dot1x {
authenticator {
authentication-profile-name profile52;
interface {
ge-0/0/19.0 {
mac-radius;
}
ge-0/0/20.0 {
mac-radius {
restrict;
}
}
}
}
}
}
Verificación
Compruebe que los suplicantes estén autenticados:
Comprobación de que los suplicantes están autenticados
Propósito
Una vez configurados los suplicantes para la autenticación MAC RADIUS en el conmutador y en el servidor RADIUS, compruebe que estén autenticados y muestre el método de autenticación.
Acción
Mostrar información sobre las interfaces configuradas con 802.1X ge-0/0/19 y ge-0/0/20:
user@switch> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
user@switch> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user102, 00:04:ae:cd:23:5f
Operational state: Authenticated
Authentcation method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
La salida de ejemplo del show dot1x interface detail comando muestra la dirección MAC del dispositivo final conectado en el Supplicant campo. En la interfaz ge-0/0/19, la dirección MAC es 00:04:0f:fd:ac:fe, que es la dirección MAC de la primera impresora configurada para la autenticación MAC RADIUS. El Authentication method campo muestra el método de autenticación como Radius. En la interfaz ge-0/0/20, la dirección MAC es 00:04:ae:cd:23:5f, que es la dirección MAC de la segunda impresora configurada para la autenticación MAC RADIUS. El Authentication method campo muestra el método de autenticación como Radius.