Bypass MAC estático de autenticação 802.1X e MAC RADIUS
O Junos OS permite configurar o acesso à sua LAN por meio de interfaces configuradas por 802.1X sem autenticação, configurando uma lista de bypass MAC estática no switch da Série EX. A lista de bypass mac estático, também conhecida como lista de exclusão, especifica endereços MAC que são permitidos no switch sem enviar uma solicitação a um servidor de autenticação. Para obter mais informações, leia este tópico.
Se você adicionar uma entrada de endereço MAC estática à tabela de comutação Ethernet, isso tem o mesmo efeito que adicionar um endereço MAC à lista de desvios MAC estático. Para obter informações sobre a configuração de entradas de endereço MAC estáticas, consulte MAC Addresses.
Configuração de bypass MAC estático de 802.1X e autenticação MAC RADIUS (procedimento de CLI)
Você pode configurar uma lista de bypass MAC estática (às vezes chamada de lista de exclusão) no switch para especificar endereços MAC de dispositivos permitidos de acesso à LAN sem solicitações de autenticação 802.1X ou MAC RADIUS para o servidor RADIUS.
Para configurar a lista de desvios de MAC estática:
Especifique um endereço MAC para evitar a autenticação:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
Configure uma súplica para evitar a autenticação se ela estiver conectada por uma interface específica:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
Configure um suplicante a ser transferido para um VLAN específico depois de autenticado:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
Consulte também
Exemplo: Configuração de bypass MAC estático de 802.1X e autenticação MAC RADIUS em um switch da Série EX
Para permitir que os dispositivos acessem sua LAN por meio de interfaces configuradas por 802.1X sem autenticação, você pode configurar uma lista de bypass MAC estática no switch da Série EX. A lista de bypass mac estático, também conhecida como lista de exclusão, especifica endereços MAC que são permitidos no switch sem enviar uma solicitação a um servidor de autenticação.
Você pode usar o bypass de autenticação mac estático para permitir a conexão para dispositivos que não estão habilitados para 802.1X, como impressoras. Se o endereço MAC de um host for comparado e combinado com a lista de endereços MAC estático, o host não responsável é autenticado e uma interface aberta para ele.
Este exemplo descreve como configurar o bypass mac estático de autenticação para duas impressoras:
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Esse exemplo também se aplica aos switches QFX5100.
Junos OS Versão 9.0 ou posterior para switches da Série EX
Um switch da Série EX atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Antes de configurar o bypass de autenticação mac estático, certifique-se de que tem:
Realizou a ponte básica e a configuração de VLAN no switch. Veja a documentação que descreve a configuração da ponte básica e um VLAN para o seu switch. Se você estiver usando um switch que oferece suporte ao estilo de configuração de Software de Camada 2 (ELS) aprimorado, veja exemplo: Configuração de ponte básica e um VLAN para um switch da Série EX com suporte ou exemplo de ELS: Configurando a ponte básica e um VLAN em switches. Para todos os outros switches, veja Exemplo: Configurando a ponte básica e um VLAN para um switch da Série EX.
Para obter mais informações sobre ELS, veja: Usando o CLI de software de Camada 2 aprimorado.
Especificou as conexões do servidor RADIUS e configurou um perfil de acesso no switch. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
Visão geral e topologia
Para permitir que as impressoras tenham acesso à LAN, adicione-as à lista de bypass MAC estática. Os endereços MAC nesta lista têm acesso permitido sem autenticação do servidor RADIUS.
Figura 1 mostra as duas impressoras conectadas ao EX4200.
Esse número também se aplica aos switches QFX5100.
As interfaces mostradas Tabela 1 serão configuradas para um bypass mac estático de autenticação.
| Propriedade | Configurações |
|---|---|
Hardware do switch |
EX4200, 24 portas Ethernet Gigabit: 16 portas não PoE e 8 portas PoE ( |
Nome de VLAN |
|
Conexões com máquinas integradas de impressora/fax/copiadora (sem necessidade de PoE) |
|
A impressora com o endereço MAC 00:04:0f:fd:ac:fe está conectada à interface ge-0/0/19de acesso. Uma segunda impressora com o endereço MAC 00:04:ae:cd:23:5f está conectada à interface ge-0/0/20de acesso. Ambas as impressoras serão adicionadas à lista estática e contornarão a autenticação 802.1X.
Topologia
Configuração
Procedimento
Configuração rápida de CLI
Para configurar rapidamente a lista de desvios MAC estático, copie os seguintes comandos e cole-os na janela do terminal do switch:
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
Procedimento passo a passo
Configure a lista de desvios de MAC estático:
Configure endereços
00:04:0f:fd:ac:feMAC e00:04:ae:cd:23:5fcomo endereços MAC estáticos:[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Configure o método de autenticação 802.1X:
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
Configure o nome do perfil de autenticação (nome do perfil de acesso) para ser usado para autenticação:
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
Nota:A configuração do perfil de acesso é necessária apenas para clientes 802.1X, não para clientes MAC estáticos.
Resultados
Exibir os resultados da configuração:
user@switch> show
interfaces {
ge-0/0/19 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
ge-0/0/20 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
}
protocols {
dot1x {
authenticator {
authentication-profile-name profile1
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando o bypass de autenticação do MAC estático
Propósito
Verifique se os endereços MAC de ambas as impressoras estão configurados e associados às interfaces corretas.
Ação
Emitimos o comando do modo operacional:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Significado
O campo MAC address de saída mostra os endereços MAC das duas impressoras.
O campo Interface de saída mostra que o endereço 00:04:0f:fd:ac:fe MAC pode se conectar à LAN por meio da interface ge-0/0/19.0 e que o endereço 00:04:ae:cd:23:5f MAC pode se conectar à LAN por meio da interface ge-0/0/20.0.