Bypass MAC estático de autenticação 802.1X e MAC RADIUS autenticação
O Junos OS permite configurar o acesso à sua LAN por meio de interfaces configuradas com 802.1X sem autenticação, configurando uma lista de bypass MAC estático no switch da Série EX. A lista de bypass MAC estático, também conhecida como lista de exclusão, especifica os endereços MAC permitidos no switch sem enviar uma solicitação a um servidor de autenticação. Para obter mais informações, leia este tópico.
Configuração de bypass MAC estático de 802.1X e mac RADIUS autenticação (procedimento CLI)
Você pode configurar uma lista de bypass MAC estático (às vezes chamada de lista de exclusão) no switch para especificar endereços MAC de dispositivos autorizados a acesso à LAN sem solicitações de autenticação 802.1X ou MAC RADIUS ao servidor RADIUS.
Para configurar a lista de bypass MAC estático:
Especifique um endereço MAC para burlar a autenticação:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
Configure um súplico para burlar a autenticação se estiver conectado por meio de uma interface específica:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
Configure um súplico para ser transferido para uma VLAN específica depois que ele for autenticado:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
Consulte também
Exemplo: Configuração de bypass MAC estático de 802.1X e autenticação RADIUS MAC em um Switch da Série EX
Para permitir que dispositivos acessem sua LAN por meio de interfaces configuradas com 802.1X sem autenticação, você pode configurar uma lista de bypass MAC estático no switch da Série EX. A lista de bypass MAC estático, também conhecida como lista de exclusão, especifica os endereços MAC permitidos no switch sem enviar uma solicitação a um servidor de autenticação.
Você pode usar o bypass MAC estático da autenticação para permitir a conexão de dispositivos que não sejam habilitados para 802.1X, como impressoras. Caso o endereço MAC de um host seja comparado e compare-se à lista de endereços MAC estático, o host não responsivo é autenticado e uma interface aberta para ele.
Este exemplo descreve como configurar um bypass mac estático de autenticação para duas impressoras:
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Este exemplo também se aplica a QFX5100 switches.
Junos OS Release 9.0 ou mais tarde para switches da Série EX
Um switch série EX que atua como uma entidade de acesso de porta autenticador (PAE). As portas do PAE autenticador formam um portal de controle que bloqueia todo o tráfego de e para súplicas até que sejam autenticadas.
Antes de configurar o bypass de autenticação MAC estático, certifique-se de que tem:
Realizamos a configuração básica de ponte e VLAN no switch. Consulte a documentação que descreve a configuração de pontes básicas e uma VLAN para o switch. Se você está usando um switch que aceita o estilo de configuração do Software de Camada 2 Aprimorado (ELS), consulte Exemplo: Configuração de bridging básico e uma VLAN para um switch da série EX com suporte ou exemplo de ELS: Configuração de pontes básicas e uma VLAN nos switches. Para todos os outros switches, consulte Exemplo: Configuração de bridging básico e uma VLAN para um Switch da Série EX.
Para saber mais sobre ELS, consulte: Usando a CLI de software de Camada 2 aprimorada.
Especificou as RADIUS do servidor e configurou um perfil de acesso no switch. Veja o exemplo: Conectar um servidor RADIUS para 802.1X a um switch da série EX.
Visão geral e topologia
Para permitir o acesso das impressoras à LAN, adicione-as à lista de bypass MAC estático. Os endereços MAC nesta lista têm acesso permitido sem autenticação do RADIUS servidor.
Figura 1 mostra as duas impressoras conectadas ao EX4200.
Essa figura também se aplica a QFX5100 switches.
As interfaces mostradas serão configuradas para o bypass Tabela 1 estático da autenticação do MAC.
| Propriedade | Configurações |
|---|---|
Hardware de switch |
EX4200, portas Ethernet de 24 Gigabits: 16 portas não PoE e 8 portas PoE |
Nome VLAN |
|
Conexões com máquinas integradas de impressora/fax/cópia (sem necessidade de PoE) |
|
A impressora com o endereço MAC 00:04:0f:fd:ac:fe está conectada à interface de ge-0/0/19 acesso. Uma segunda impressora com o endereço MAC 00:04:ae:cd:23:5f está conectada à interface de ge-0/0/20 acesso. Ambas as impressoras serão adicionadas à lista estática e burlarão a autenticação 802.1X.
Topologia
Configuração
Procedimento
Configuração rápida CLI
Para configurar rapidamente a lista de bypass MAC estático, copie os seguintes comandos e os confique na janela do terminal do switch:
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
Procedimento passo a passo
Configure a lista de bypass MAC estático:
Configure endereços MAC
00:04:0f:fd:ac:fee00:04:ae:cd:23:5fendereços MAC estáticos:[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Configure o método de autenticação 802.1X:
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
Configure o nome do perfil de autenticação (nome do perfil de acesso) a ser usado para autenticação:
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
Nota:A configuração do perfil de acesso é necessária apenas para clientes com 802,1X, não para clientes MAC estáticos.
Resultados
Exibir os resultados da configuração:
user@switch> show
interfaces {
ge-0/0/19 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
ge-0/0/20 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
}
protocols {
dot1x {
authenticator {
authentication-profile-name profile1
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
}
Verificação
Para confirmar se a configuração está funcionando corretamente, realize essas tarefas:
Verificação de bypass estático de autenticação mac
Propósito
Verificar se os endereços MAC das duas impressoras estão configurados e associados às interfaces corretas.
Ação
Emito o comando do modo operacional:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Significado
O campo de MAC address saída mostra os endereços MAC das duas impressoras.
O campo de saída mostra que o endereço MAC pode se conectar à LAN por meio da interface e que o endereço MAC pode se conectar à Interface LAN por meio da 00:04:0f:fd:ac:fege-0/0/19.000:04:ae:cd:23:5fge-0/0/20.0 interface.