Exemplo: Configuração do desvio de autenticação mac estático em um roteador da Série MX
A partir do Junos OS Release 14.2, para permitir que os dispositivos acessem sua LAN por meio de interfaces configuradas por 802.1X sem autenticação, você pode configurar uma lista de desvio MAC estática no roteador da Série MX. A lista de desvios MAC estática, também conhecida como lista de exclusão, especifica endereços MAC que são permitidos no roteador sem uma solicitação a um servidor de autenticação.
Você pode usar o desvio estático mac da autenticação para permitir a conexão para dispositivos que não estão habilitados para 802.1X, como impressoras. Se o endereço MAC de um host for comparado e combinado com a lista de endereços MAC estático, o host não responsável será autenticado e uma interface aberta para ele.
Este exemplo descreve como configurar o desvio de autenticação mac estático para duas impressoras:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Junos OS Versão 14.2 ou posterior para roteadores MX240, MX480 ou MX960 em execução no modo LAN aprimorado.
Um roteador atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Antes de conectar o servidor ao roteador, certifique-se de ter:
Modo LAN aprimorado configurado no roteador.
Realizou a ponte básica e a configuração de VLAN no roteador.
Usuários configurados no servidor de autenticação RADIUS.
Visão geral e topologia
Para permitir que as impressoras tenham acesso à LAN, adicione-as à lista de desvios MAC estáticos. Os endereços MAC desta lista têm acesso permitido sem autenticação do servidor RADIUS.
Considere um roteador da Série MX que funciona como uma porta autenticadora. Ele está conectado usando a interface, ge-0/0/10, pela rede IP a um servidor RADIUS. O roteador também está vinculado a uma sala de conferência usando a interface, ge-0/0/1, a uma impressora usando a interface, ge-0/0/20, para um hub usando a interface, ge-0/0/8, e para dois suplicantes ou clientes em interfaces, ge-0/0/2 e ge-0/0/9, respectivamente.
As interfaces mostradas Tabela 1 serão configuradas para autenticação mac estática.
Propriedade | Configurações |
---|---|
Hardware do roteador |
Roteador da Série MX |
Nome da VLAN |
default |
Conexões a máquinas integradas de impressora/fax/copiadora (sem necessidade de PoE) |
ge-0/0/19, endereço MAC 00:04:0f:fd:ac:fe ge-0/0/20, endereço MAC 00:04:ae:cd:23:5f |
A impressora com o endereço MAC 00:04:0f:fd:ac:fe está conectada à interface de acesso.ge-0/0/19 Uma segunda impressora com o endereço MAC 00:04:ae:cd:23:5f está conectada à interface de acesso.ge-0/0/20 Ambas as impressoras serão adicionadas à lista estática e ignorarão a autenticação 802.1X.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a autenticação MAC estática, copie os seguintes comandos e cole-os na janela de terminal do roteador:
[edit] set protocols authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols authentication-access-control interface all supplicant multiple set protocols authentication-access-control authenticaton-profile-name profile1
Procedimento passo a passo
Configure a autenticação MAC estática:
Configure endereços MAC e endereços MAC estáticos:00:04:0f:fd:ac:fe00:04:ae:cd:23:5f
[edit protocols] user@router# set authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Configure o método de autenticação 802.1X:
[edit protocols] user@router# set authentication-access-control interface all supplicant multiple
Configure o nome do perfil de autenticação (nome do perfil de acesso) para ser usado para autenticação:
[edit protocols] user@router# set authentication-access-control authentication-profile-name profile1
Nota:A configuração do perfil de acesso é necessária apenas para 802.1X clientes, não para clientes MAC estáticos.
Resultados
Exibir os resultados da configuração:
user@router> show interfaces { ge-0/0/19 { unit 0 { family bridge { vlan-id 10; } } } ge-0/0/20 { unit 0 { family bridge { vlan-id 10; } } } } protocols { authentication-access-control { authentication-profile-name profile1; static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]; interface { all { supplicant multiple; } } } }
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando o desvio estático mac da autenticação
Propósito
Verifique se o endereço MAC para ambas as impressoras está configurado e associado com as interfaces corretas.
Ação
Use o comando do modo operacional:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Significado
O campo de saída mostra os endereços MAC das duas impressoras.MAC address
O campo de saída mostra que o endereço MAC pode se conectar à LAN através da interface e que o endereço MAC pode se conectar à LAN por meio da interface .Interface00:04:0f:fd:ac:fege-0/0/19.000:04:ae:cd:23:5fge-0/0/20.0
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.