Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:在 MX 系列路由器上配置静态 MAC 绕过身份验证

从 Junos OS 14.2 版开始,为了允许设备通过 802.1X 配置的接口访问 LAN,您可以在 MX 系列路由器上配置静态 MAC 旁路列表。静态 MAC 旁路列表(也称为排除列表)指定无需向认证服务器请求即可在路由器上允许的 MAC 地址。

您可以使用静态 MAC 跳过身份验证来允许连接未 802.1 X 启用的设备,例如打印机。如果根据静态MAC 地址列表比较MAC 地址主机的路由MAC 地址,将认证无响应主机并打开一个接口。

本示例介绍如何为两台打印机配置静态 MAC 绕过身份验证:

要求

此示例使用以下硬件和软件组件:

  • Junos OS 14.2 或更高版本,适用于在增强型 LAN 模式下运行的 MX240、MX480 或 MX960 路由器。

  • 一个路由器,充当认证者端口接入实体(PAE)。认证器 PAE 上的端口是控制门,用于阻止到达请求者和来自请求方的所有流量,直至其获得身份验证。

将服务器连接到路由器之前,请确保具备:

  • 在路由器上配置增强型 LAN 模式。

  • 在路由器上执行了基本桥接和 VLAN 配置。

  • RADIUS 认证服务器上的配置用户。

概述和拓扑

要允许打印机访问 LAN,请将其添加到静态 MAC 旁路列表中。此列表上的 MAC 地址无需通过 RADIUS 服务器的认证即可访问。

考虑一个用作认证器端口的 MX 系列路由器。它使用接口、ge-0/0/10 通过 IP 网络连接到 RADIUS 服务器。该路由器还将接口、ge-0/0/1 连接到使用接口、ge-0/0/20、接口、ge 和客户端(每个接口上为 a-0/0/2 和 ge-0/0/9)的集线器。

表 1显示的接口将配置为用于静态 MAC 身份验证。

表 1: 静态 MAC 身份验证配置拓扑的组件
财产 设置

路由器硬件

MX 系列路由器

VLAN 名称

default

到集成打印机/传真/复印机机器的连接(不需要 PoE)

ge-0/0/19,MAC 地址 00:04:0f:fd:ac:fe ge-0/0/20,MAC 地址00:04: ae: cd:23:5f

打印机与带 MAC 地址 00:04:0f:fd:ac:fe 已连接到接入接口 ge-0/0/19 。第二台打印机MAC 地址 00:04:ae:cd:23:5f 连接到接入接口 ge-0/0/20 。两台打印机都将添加到静态列表中并绕过 802.1 X 身份验证。

拓扑

配置

操作

CLI 快速配置

要快速配置静态 MAC 身份验证,请复制以下命令并将其粘贴到路由器的终端窗口中:

分步过程

配置静态 MAC 身份验证:

  1. 将 MAC 地址配置为 00:04:0f:fd:ac:fe00:04:ae:cd:23:5f 静态 MAC 地址:

  2. 配置 802.1 X 身份验证方法:

  3. 配置认证配置文件名称(访问配置文件名称)以用于认证:

    注:

    只有 802.1 X 客户端才需要访问配置文件配置,而不是静态 MAC 客户端。

成果

显示配置结果:

针对

要确认配置是否正常运行,请执行以下任务:

验证静态 MAC 绕过身份验证

用途

验证两台打印机的 MAC 地址是否均已配置且与正确接口相关联。

行动

使用操作模式命令:

含义

输出字段 MAC address 显示两个打印机的 MAC 地址。

输出字段显示,MAC 地址可通过接口连接到 Interface00:04:0f:fd:ac:fe LAN,MAC 地址 ge-0/0/19.0 可通过接口连接到 00:04:ae:cd:23:5fge-0/0/20.0 LAN。

发布历史记录表
版本
说明
14.2
从 Junos OS 版本14.2 开始,为了允许设备通过不经过身份验证的 802.1 X 配置接口访问您的 LAN,您可以在 MX 系列路由器上配置静态 MAC 旁路列表。