Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurar a autenticação baseada em MAC e o MAC Authentication Bypass (MAB)

Siga estas etapas para configurar um dispositivo com fio para autenticar dispositivos com base em seus endereços MAC.

Você pode usar a autenticação MAC junto com a autenticação baseada em certificado ou credencial como uma camada adicional de segurança.

O Juniper Mist Access Assurance oferece suporte ao MAC Authentication Bypass (MAB) para controle uniforme de acesso em redes com e sem fio. Este tópico fornece um exemplo para configurar o MAB para um dispositivo com fio.

O exemplo mostra como criar uma autenticação MAC para um dispositivo com fio, além da autenticação EAP-TLS baseada em certificado. A tarefa também inclui as etapas para criar uma política de autenticação para um dispositivo com fio que não dá suporte ao ponto 1x (como um hub Phillips).

Pré-requisitos

Configurar a autenticação baseada em MAC para dispositivos com fio

Saiba como configurar e validar a autenticação baseada em MAC para dispositivos com fio assistindo aos seguintes vídeos:

Well, what about wired devices? How do we authenticate an authorized wired client? Well, it turns out we could do it right here in the same place. So we could create a couple of more rules. So we can say OK, if we look at wired devices that are using certificates to authenticate , we could just call this rule wired certificate authentication. We can effectively apply the same matching criteria as for wireless. There's no difference whatsoever here.

On the right-hand side, we'll decide where we want to move these devices after authentication and the right policy match. And finally, what about non-.1x capable devices on the wired side? So for example, I have here a Phillips hub that does not support .1x. How can I authenticate a Phillips app? So I could create a label for the Phillips device. The label will be client list. And I'll just say approved Phillips app. And I'll just put the MAC address of that device in. Oh. And you could put a list of MAC addresses. You can put the list of Mac OUIs. And remember that all of these labels that I'm creating in the UI - they're all available through the REST API. So there is always an endless possibility of integration with existing, say, inventory management systems that can just put all the new device MAC addresses in those lists for authentication and authorization.

So we'll just click Create. Create this label. And we'll create a rule. We'll call it approved Phillips devices. And here we are matching on wired devices that are doing MAC address authentication bypass that are part of this client list label. And in this case, we will move them to - well, I don't want to move them to Corp VLAN. That's not what I want. I will create an IoT VLAN. And in our case, that's going to be VLAN 3000. And I'm going to add this to an IoT VLAN. And now, we have our authentication policies configuration done.

OK, so how do we validate, right? So we've connected a couple of clients to the switch. One is a laptop that's doing .1x using certificate. Another one is the Phillips Hue app. That doesn't do any .1x, and just doing MAC authentication. So we could see those two clients are connected.

Let's take a look at the laptop one. So we could click on the port. We see that there is a client with a username flashing up. Let's take a look at the wired client insights. And what we can see here is that the user has been authenticated. You could see the port up and down events from the switch side. We see all the authentication phases, same as we saw in the wireless side. The client trusts the server. The server trusts the client certificate. We get all the metadata here. We then are saying client access is allowed. And voila. We matched the same authentication policy rule. Great. So now, we know that this part is working.

Now, we go to switch back. And let's look at the Philips device. That device is not doing any form of .1x authentication. So let's just take a look at the wired client insights. Yeah, and we are seeing that here the user is authenticated. And there is a client access allowed event here as well. And in this case, the authentication type is Mac address bypass - the MAC address that we've added to the client list. And voila. We are matching the right approved Phillips device rule.

Use as etapas a seguir para configurar a autenticação baseada em MAC em uma rede usando o portal da Juniper Mist:

  1. Crie políticas de autenticação.
    1. No menu à esquerda do portal Juniper Mist, selecione Organização > Acesso > Políticas de Autenticação.
      Crie uma nova regra para fornecer acesso a clientes com certificados válidos. Consulte Configurar política de autenticação.
      Figura 1: Criar política de autenticação para cliente Create Auth Policy for Wired Client com fio
      Defina uma política de autenticação com os seguintes detalhes:
      1. Nome — Insira o nome da política (por exemplo: Autenticação de certificado com fio)
      2. Critérios de correspondência — Selecione EAP-TLS e com fio.
      3. Política — Selecione Permitido
      4. Ação de política — acesso à rede permitido
      5. VLAN atribuída — VLAN corporativa
  2. Para fornecer autenticação para um dispositivo não dot1.x no lado da LAN, crie um novo rótulo de política.
    1. Na página Políticas de Autenticação, selecione Criar Rótulo e insira os detalhes.
      Figura 2: Rótulo para dispositivo Label for Non-Dot1x device não Dot1x
      Insira as seguintes informações nos respectivos campos:
      1. Nome do rótulo — Insira o nome do rótulo (exemplo: Hubs Phillips aprovados)
      2. Tipo de rótulo — Selecione o tipo Lista de clientes
      3. Valores de rótulo — Insira o endereço MAC do dispositivo
  3. Crie uma nova política de autenticação.
    1. Clique em Adicionar regra para criar uma nova regra.
      Nesta regra, use o rótulo criado na etapa anterior para um dispositivo não dot1x.
      Figura 3: Política de autenticação para dispositivos Authentication Policy for Non-Dot1X devices não Dot1X
      Insira as seguintes informações nos respectivos campos:
      1. Nome — Insira o nome. Exemplo: dispositivos Phillips aprovados.
      2. Critérios de correspondência — Selecione Hubs Phillips aprovados, MAB (MAC Authentication Bypass) e Com fio.
      3. Política — Selecione Permitido.
      4. Ação de política — Selecione Acesso à rede permitido.
      5. Políticas atribuídas — Selecione VLAN de IoT.
      Agora você criou uma política para autenticar dispositivos não dot1X.
  4. Configure o switch para executar a autenticação.
    1. No menu à esquerda do portal Juniper Mist, selecione Organização > modelos de switch > com fio.
    2. Na página Alternar modelos, clique em um modelo existente para abrir sua página de configuração ou clique em Criar modelo no canto superior direito da página para criar um modelo.
    3. Na seção Servidores de Autenticação, selecione Mist Auth como o servidor de autenticação.
    4. Role para baixo até a seção Port Profile e insira os detalhes.
      Figura 4: Opções Port Profile Options de perfil de porta
      Insira as informações necessárias ou selecione as opções necessárias nos seguintes campos:
      1. Nome — Insira um nome (por exemplo: secure-port).
      2. Modo — Selecione Acesso.
      3. Habilite as opções Usar autenticação dot1x e Usar autenticação MAC . Se o dispositivo cliente for compatível com 802.1X, a porta do switch executará a autenticação 802.1X. Se o dispositivo cliente não for compatível com 802.1X, a porta do switch executará a autenticação MAC.
      4. Borda do STP — Selecione Simpara configurar a porta como uma porta de borda do Spanning Tree Protocol (STP). Essa configuração garante que a porta seja tratada como uma porta de borda.

      Este exemplo usa os valores padrão para os campos restantes.

    5. Atribua um perfil de porta a cada porta do switch onde os clientes com fio conectados exigem acesso à rede.

      Na seção Selecionar Configuração de Switches, na guia Configuração de Porta, clique em Adicionar Intervalo de Portas para associar um perfil de porta a uma porta.

      Figura 5: Atribuir perfil de porta a intervalos de portas em um switch Assign Port Profile to Port Ranges on a Switch

      Insira um ID de porta e selecione o perfil de configuração que você criou na etapa anterior.

    6. Clique em Salvar.

Agora sua rede está pronta para autenticar clientes com segurança. A nuvem Juniper Mist verifica os certificados do cliente e concede acesso e autorização com base na configuração da política de autenticação.

Você pode visualizar os clientes associados no portal Juniper Mist.

  • Selecione Clientes > Clientes com fio para ver os detalhes do cliente
  • Selecione Monitorar > níveis de serviço > Insights para exibir os eventos do cliente.

Veja também