Bypass MAC estático de autenticação MAC 802.1X e MAC RADIUS
O Junos OS permite configurar o acesso à sua LAN por meio de interfaces configuradas por 802.1X sem autenticação, configurando uma lista de desvios MAC estática no switch da Série EX. A lista de desvios MAC estática, também conhecida como lista de exclusão, especifica endereços MAC que são permitidos no switch sem enviar uma solicitação a um servidor de autenticação. Para obter mais informações, leia este tópico.
Se você adicionar uma entrada de endereço MAC estática à tabela de comutação Ethernet, isso tem o mesmo efeito que adicionar um endereço MAC à lista de desvios MAC estática. Para obter informações sobre a configuração de entradas de endereço MAC estáticas, consulte MAC Addresses.
Configuração de bypass MAC estático de 802.1X e autenticação MAC RADIUS (procedimento CLI)
Você pode configurar uma lista de desvios MAC estática (às vezes chamada de lista de exclusão) no switch para especificar endereços MAC de dispositivos permitidos de acesso à LAN sem solicitações de autenticação de 802.1X ou MAC RADIUS ao servidor RADIUS.
Para configurar a lista de desvios MAC estática:
Especifique um endereço MAC para ignorar a autenticação:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
Configure um suplicante para ignorar a autenticação se ele estiver conectado por uma interface específica:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
Configure um suplicante a ser transferido para uma VLAN específica depois de autenticado:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
Consulte também
Exemplo: Configuração de bypass MAC estático de 802.1X e autenticação MAC RADIUS em um switch da Série EX
Para permitir que os dispositivos acessem sua LAN por meio de interfaces configuradas por 802.1X sem autenticação, você pode configurar uma lista de desvios MAC estática no switch da Série EX. A lista de desvios MAC estática, também conhecida como lista de exclusão, especifica endereços MAC que são permitidos no switch sem enviar uma solicitação a um servidor de autenticação.
Você pode usar o desvio estático mac da autenticação para permitir a conexão para dispositivos que não estão habilitados para 802.1X, como impressoras. Se o endereço MAC de um host for comparado e combinado com a lista de endereços MAC estático, o host não responsável será autenticado e uma interface aberta para ele.
Este exemplo descreve como configurar o desvio de autenticação mac estático para duas impressoras:
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Este exemplo também se aplica a switches QFX5100.
Versão 9.0 ou posterior do Junos OS para switches da Série EX
Um switch da Série EX atua como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Antes de configurar o desvio de autenticação mac estático, certifique-se de ter:
Realizou a ponte básica e a configuração de VLAN no switch. Veja a documentação que descreve a configuração de pontes básicas e uma VLAN para o seu switch. Se você estiver usando um switch que ofereça suporte ao estilo de configuração do software de camada 2 (ELS) aprimorado, veja Exemplo: Configuração de pontes básicas e uma VLAN para um switch da Série EX com suporte ou exemplo de ELS: Configuração de pontes básicas e uma VLAN em switches. Para todos os outros switches, veja Exemplo: Configurando uma ponte básica e uma VLAN para um switch da Série EX.
Para saber mais sobre o ELS, veja: Usando o CLI de software de camada 2 aprimorado.Layer 2 Networking
Especificou as conexões do servidor RADIUS e configurou um perfil de acesso no switch. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
Visão geral e topologia
Para permitir que as impressoras tenham acesso à LAN, adicione-as à lista de desvios MAC estáticos. Os endereços MAC desta lista têm acesso permitido sem autenticação do servidor RADIUS.
Figura 1 mostra as duas impressoras conectadas ao EX4200.
Esse número também se aplica a switches QFX5100.
As interfaces mostradas serão configuradas para desvio estático mac de autenticação.Tabela 1
| Propriedade | Configurações |
|---|---|
Hardware do switch |
EX4200, 24 portas Ethernet Gigabit: 16 portas que não são PoE e 8 portas PoE ( até ) |
Nome da VLAN |
|
Conexões a máquinas integradas de impressora/fax/copiadora (sem necessidade de PoE) |
|
A impressora com o endereço MAC 00:04:0f:fd:ac:fe está conectada à interface de acesso.ge-0/0/19 Uma segunda impressora com o endereço MAC 00:04:ae:cd:23:5f está conectada à interface de acesso.ge-0/0/20 Ambas as impressoras serão adicionadas à lista estática e ignorarão a autenticação 802.1X.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a lista de desvios MAC estática, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
Procedimento passo a passo
Configure a lista de desvios MAC estáticos:
Configure endereços MAC e endereços MAC estáticos:
00:04:0f:fd:ac:fe00:04:ae:cd:23:5f[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Configure o método de autenticação 802.1X:
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
Configure o nome do perfil de autenticação (nome do perfil de acesso) para ser usado para autenticação:
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
Nota:A configuração do perfil de acesso é necessária apenas para 802.1X clientes, não para clientes MAC estáticos.
Resultados
Exibir os resultados da configuração:
user@switch> show
interfaces {
ge-0/0/19 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
ge-0/0/20 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
}
protocols {
dot1x {
authenticator {
authentication-profile-name profile1
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando o desvio estático mac da autenticação
Propósito
Verifique se os endereços MAC de ambas as impressoras estão configurados e associados com as interfaces corretas.
Ação
Emita o comando do modo operacional:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Significado
O campo de saída mostra os endereços MAC das duas impressoras.MAC address
O campo de saída mostra que o endereço MAC pode se conectar à LAN através da interface e que o endereço MAC pode se conectar à LAN por meio da interface .Interface00:04:0f:fd:ac:fege-0/0/19.000:04:ae:cd:23:5fge-0/0/20.0