Example: Configurando o bypass de autenticação mac estático em um roteador da Série MX
A partir do Junos OS Release 14.2, para permitir que os dispositivos acessem sua LAN por meio de interfaces configuradas por 802.1X sem autenticação, você pode configurar uma lista de desvios MAC estática no roteador da Série MX. A lista de desvios MAC estático, também conhecida como lista de exclusão, especifica endereços MAC que são permitidos no roteador sem uma solicitação a um servidor de autenticação.
Você pode usar o bypass mac estático de autenticação para permitir a conexão para dispositivos que não são habilitados para 802.1X, como impressoras. Se o endereço MAC de um host for comparado e combinado com a lista de endereços MAC estático, o host não responsável é autenticado e uma interface aberta para ele.
Este exemplo descreve como configurar o bypass mac estático de autenticação para duas impressoras:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Junos OS Versão 14.2 ou posterior para roteadores MX240, MX480 ou MX960 em execução em modo LAN aprimorado.
Um roteador atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Antes de conectar o servidor ao roteador, certifique-se de que tem:
Modo LAN aprimorado configurado no roteador.
Realizou a ponte básica e a configuração de VLAN no roteador.
Usuários configurados no servidor de autenticação RADIUS.
Visão geral e topologia
Para permitir que as impressoras acessem a LAN, adicione-as à lista de desvios MAC estático. Os endereços MAC desta lista têm acesso permitido sem autenticação do servidor RADIUS.
Considere um roteador da Série MX que funciona como uma porta autenticadora. Ele está conectado usando a interface, ge-0/0/10, sobre a rede IP a um servidor RADIUS. O roteador também está vinculado a uma sala de conferência usando a interface, ge-0/0/1, a uma impressora usando a interface, ge-0/0/20, para um hub usando a interface, ge-0/0/8, e a dois suplicantes ou clientes por interfaces, ge-0/0/2 e ge-0/0/9, respectivamente.
As interfaces mostradas Tabela 1 serão configuradas para autenticação de MAC estática.
| Propriedade | Configurações |
|---|---|
Hardware do roteador |
Roteador da Série MX |
Nome da VLAN |
default |
Conexões com máquinas integradas de impressora/fax/copiadora (sem necessidade de PoE) |
ge-0/0/19, endereço MAC 00:04:00:fd:ac:fe ge-0/0/20, endereço MAC 00:04:ae:cd:23:5f |
A impressora com o endereço MAC 00:04:0f:fd:ac:fe está conectada à interface ge-0/0/19de acesso. Uma segunda impressora com o endereço MAC 00:04:ae:cd:23:5f está conectada à interface ge-0/0/20de acesso. Ambas as impressoras serão adicionadas à lista estática e contornarão a autenticação 802.1X.
Topologia
Cópia de
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a autenticação estática do MAC, copie os seguintes comandos e cole-os na janela do terminal do roteador:
[edit] set protocols authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols authentication-access-control interface all supplicant multiple set protocols authentication-access-control authenticaton-profile-name profile1
Procedimento passo a passo
Configure a autenticação mac estática:
Configure endereços 00:04:0f:fd:ac:fe MAC e 00:04:ae:cd:23:5f endereços MAC estáticos:
[edit protocols] user@router# set authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Configure o método de autenticação 802.1X:
[edit protocols] user@router# set authentication-access-control interface all supplicant multiple
Configure o nome do perfil de autenticação (nome do perfil de acesso) para usar para autenticação:
[edit protocols] user@router# set authentication-access-control authentication-profile-name profile1
Nota:A configuração do perfil de acesso é necessária apenas para clientes 802.1X, não para clientes MAC estáticos.
Resultados
Exibir os resultados da configuração:
user@router> show
interfaces {
ge-0/0/19 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
ge-0/0/20 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
}
protocols {
authentication-access-control {
authentication-profile-name profile1;
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
Verificando o desvio de autenticação do MAC estático
Propósito
Verifique se o endereço MAC para ambas as impressoras está configurado e associado às interfaces corretas.
Ação
Use o comando do modo operacional:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Significado
O campo MAC address de saída mostra os endereços MAC das duas impressoras.
O campo Interface de saída mostra que o endereço 00:04:0f:fd:ac:fe MAC pode se conectar à LAN por meio da interface ge-0/0/19.0 e que o endereço 00:04:ae:cd:23:5f MAC pode se conectar à LAN por meio da interface ge-0/0/20.0.