Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bypass MAC estático de autenticação 802.1X e MAC RADIUS autenticação

O Junos OS permite configurar o acesso à sua LAN por meio de interfaces configuradas com 802.1X sem autenticação, configurando uma lista de bypass MAC estático no switch da Série EX. A lista de bypass MAC estático, também conhecida como lista de exclusão, especifica os endereços MAC permitidos no switch sem enviar uma solicitação a um servidor de autenticação. Para obter mais informações, leia este tópico.

Configuração de bypass MAC estático de 802.1X e mac RADIUS autenticação (procedimento CLI)

Você pode configurar uma lista de bypass MAC estático (às vezes chamada de lista de exclusão) no switch para especificar endereços MAC de dispositivos autorizados a acesso à LAN sem solicitações de autenticação 802.1X ou MAC RADIUS ao servidor RADIUS.

Para configurar a lista de bypass MAC estático:

  • Especifique um endereço MAC para burlar a autenticação:

  • Configure um súplico para burlar a autenticação se estiver conectado por meio de uma interface específica:

  • Configure um súplico para ser transferido para uma VLAN específica depois que ele for autenticado:

Exemplo: Configuração de bypass MAC estático de 802.1X e autenticação RADIUS MAC em um Switch da Série EX

Para permitir que dispositivos acessem sua LAN por meio de interfaces configuradas com 802.1X sem autenticação, você pode configurar uma lista de bypass MAC estático no switch da Série EX. A lista de bypass MAC estático, também conhecida como lista de exclusão, especifica os endereços MAC permitidos no switch sem enviar uma solicitação a um servidor de autenticação.

Você pode usar o bypass MAC estático da autenticação para permitir a conexão de dispositivos que não sejam habilitados para 802.1X, como impressoras. Caso o endereço MAC de um host seja comparado e compare-se à lista de endereços MAC estático, o host não responsivo é autenticado e uma interface aberta para ele.

Este exemplo descreve como configurar um bypass mac estático de autenticação para duas impressoras:

Requisitos

Este exemplo usa os seguintes componentes de software e hardware:

Nota:

Este exemplo também se aplica a QFX5100 switches.

  • Junos OS Release 9.0 ou mais tarde para switches da Série EX

  • Um switch série EX que atua como uma entidade de acesso de porta autenticador (PAE). As portas do PAE autenticador formam um portal de controle que bloqueia todo o tráfego de e para súplicas até que sejam autenticadas.

Antes de configurar o bypass de autenticação MAC estático, certifique-se de que tem:

Visão geral e topologia

Para permitir o acesso das impressoras à LAN, adicione-as à lista de bypass MAC estático. Os endereços MAC nesta lista têm acesso permitido sem autenticação do RADIUS servidor.

Figura 1 mostra as duas impressoras conectadas ao EX4200.

Nota:

Essa figura também se aplica a QFX5100 switches.

Figura 1: Topologia para mac bypass estático da configuração de autenticaçãoTopologia para mac bypass estático da configuração de autenticação

As interfaces mostradas serão configuradas para o bypass Tabela 1 estático da autenticação do MAC.

Tabela 1: Componentes do BYPASS ESTÁTICO MAC da Topologia de Configuração de Autenticação
Propriedade Configurações

Hardware de switch

EX4200, portas Ethernet de 24 Gigabits: 16 portas não PoE e 8 portas PoE ge-0/0/0 (por ge-0/0/23 meio)

Nome VLAN

default

Conexões com máquinas integradas de impressora/fax/cópia (sem necessidade de PoE)

ge-0/0/19, endereço MAC 00:04:0f:fd:ac:fe ge-0/0/20, endereço MAC 00:04:ae:cd:23:5f

A impressora com o endereço MAC 00:04:0f:fd:ac:fe está conectada à interface de ge-0/0/19 acesso. Uma segunda impressora com o endereço MAC 00:04:ae:cd:23:5f está conectada à interface de ge-0/0/20 acesso. Ambas as impressoras serão adicionadas à lista estática e burlarão a autenticação 802.1X.

Topologia

Configuração

Procedimento

Configuração rápida CLI

Para configurar rapidamente a lista de bypass MAC estático, copie os seguintes comandos e os confique na janela do terminal do switch:

Procedimento passo a passo

Configure a lista de bypass MAC estático:

  1. Configure endereços MAC 00:04:0f:fd:ac:fe e 00:04:ae:cd:23:5f endereços MAC estáticos:

  2. Configure o método de autenticação 802.1X:

  3. Configure o nome do perfil de autenticação (nome do perfil de acesso) a ser usado para autenticação:

    Nota:

    A configuração do perfil de acesso é necessária apenas para clientes com 802,1X, não para clientes MAC estáticos.

Resultados

Exibir os resultados da configuração:

Verificação

Para confirmar se a configuração está funcionando corretamente, realize essas tarefas:

Verificação de bypass estático de autenticação mac

Propósito

Verificar se os endereços MAC das duas impressoras estão configurados e associados às interfaces corretas.

Ação

Emito o comando do modo operacional:

Significado

O campo de MAC address saída mostra os endereços MAC das duas impressoras.

O campo de saída mostra que o endereço MAC pode se conectar à LAN por meio da interface e que o endereço MAC pode se conectar à Interface LAN por meio da 00:04:0f:fd:ac:fege-0/0/19.000:04:ae:cd:23:5fge-0/0/20.0 interface.