Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bypass MAC estático de autenticação 802.1X e MAC RADIUS

O Junos OS permite configurar o acesso à sua LAN por meio de interfaces configuradas por 802.1X sem autenticação, configurando uma lista de bypass MAC estática no switch da Série EX. A lista de bypass mac estático, também conhecida como lista de exclusão, especifica endereços MAC que são permitidos no switch sem enviar uma solicitação a um servidor de autenticação. Para obter mais informações, leia este tópico.

Nota:

Se você adicionar uma entrada de endereço MAC estática à tabela de comutação Ethernet, isso tem o mesmo efeito que adicionar um endereço MAC à lista de desvios MAC estático. Para obter informações sobre a configuração de entradas de endereço MAC estáticas, consulte MAC Addresses.

Configuração de bypass MAC estático de 802.1X e autenticação MAC RADIUS (procedimento de CLI)

Você pode configurar uma lista de bypass MAC estática (às vezes chamada de lista de exclusão) no switch para especificar endereços MAC de dispositivos permitidos de acesso à LAN sem solicitações de autenticação 802.1X ou MAC RADIUS para o servidor RADIUS.

Para configurar a lista de desvios de MAC estática:

  • Especifique um endereço MAC para evitar a autenticação:

  • Configure uma súplica para evitar a autenticação se ela estiver conectada por uma interface específica:

  • Configure um suplicante a ser transferido para um VLAN específico depois de autenticado:

Exemplo: Configuração de bypass MAC estático de 802.1X e autenticação MAC RADIUS em um switch da Série EX

Para permitir que os dispositivos acessem sua LAN por meio de interfaces configuradas por 802.1X sem autenticação, você pode configurar uma lista de bypass MAC estática no switch da Série EX. A lista de bypass mac estático, também conhecida como lista de exclusão, especifica endereços MAC que são permitidos no switch sem enviar uma solicitação a um servidor de autenticação.

Você pode usar o bypass de autenticação mac estático para permitir a conexão para dispositivos que não estão habilitados para 802.1X, como impressoras. Se o endereço MAC de um host for comparado e combinado com a lista de endereços MAC estático, o host não responsável é autenticado e uma interface aberta para ele.

Este exemplo descreve como configurar o bypass mac estático de autenticação para duas impressoras:

Requisitos

Este exemplo usa os seguintes componentes de software e hardware:

Nota:

Esse exemplo também se aplica aos switches QFX5100.

  • Junos OS Versão 9.0 ou posterior para switches da Série EX

  • Um switch da Série EX atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.

Antes de configurar o bypass de autenticação mac estático, certifique-se de que tem:

Visão geral e topologia

Para permitir que as impressoras tenham acesso à LAN, adicione-as à lista de bypass MAC estática. Os endereços MAC nesta lista têm acesso permitido sem autenticação do servidor RADIUS.

Figura 1 mostra as duas impressoras conectadas ao EX4200.

Nota:

Esse número também se aplica aos switches QFX5100.

Figura 1: Topologia para o bypass estático mac da configuração de autenticaçãoTopologia para o bypass estático mac da configuração de autenticação

As interfaces mostradas Tabela 1 serão configuradas para um bypass mac estático de autenticação.

Tabela 1: Componentes do bypass mac estático da topologia de configuração de autenticação
Propriedade Configurações

Hardware do switch

EX4200, 24 portas Ethernet Gigabit: 16 portas não PoE e 8 portas PoE (ge-0/0/0 através ge-0/0/23)

Nome de VLAN

default

Conexões com máquinas integradas de impressora/fax/copiadora (sem necessidade de PoE)

ge-0/0/19, endereço MAC 00:04:0f:fd:ac:fe ge-0/0/20, endereço MAC 00:04:ae:cd:23:5f

A impressora com o endereço MAC 00:04:0f:fd:ac:fe está conectada à interface ge-0/0/19de acesso. Uma segunda impressora com o endereço MAC 00:04:ae:cd:23:5f está conectada à interface ge-0/0/20de acesso. Ambas as impressoras serão adicionadas à lista estática e contornarão a autenticação 802.1X.

Topologia

Configuração

Procedimento

Configuração rápida de CLI

Para configurar rapidamente a lista de desvios MAC estático, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento passo a passo

Configure a lista de desvios de MAC estático:

  1. Configure endereços 00:04:0f:fd:ac:fe MAC e 00:04:ae:cd:23:5f como endereços MAC estáticos:

  2. Configure o método de autenticação 802.1X:

  3. Configure o nome do perfil de autenticação (nome do perfil de acesso) para ser usado para autenticação:

    Nota:

    A configuração do perfil de acesso é necessária apenas para clientes 802.1X, não para clientes MAC estáticos.

Resultados

Exibir os resultados da configuração:

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando o bypass de autenticação do MAC estático

Propósito

Verifique se os endereços MAC de ambas as impressoras estão configurados e associados às interfaces corretas.

Ação

Emitimos o comando do modo operacional:

Significado

O campo MAC address de saída mostra os endereços MAC das duas impressoras.

O campo Interface de saída mostra que o endereço 00:04:0f:fd:ac:fe MAC pode se conectar à LAN por meio da interface ge-0/0/19.0 e que o endereço 00:04:ae:cd:23:5f MAC pode se conectar à LAN por meio da interface ge-0/0/20.0.