Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:在 MX 系列路由器上配置身份验证的静态 MAC 旁路

从 Junos OS 14.2 版开始,要允许设备通过 802.1X 配置的接口访问您的 LAN,无需身份验证,您可以在 MX 系列路由器上配置静态 MAC 旁路列表。静态 MAC 绕过列表(也称为 排除列表)指定路由器上允许的 MAC 地址,而无需向身份验证服务器发出请求。

您可以使用身份验证的静态 MAC 旁路来允许连接未启用 802.1X 的设备,例如打印机。如果将主机的 MAC 地址与静态 MAC 地址列表进行比较和匹配,则会对无响应的主机进行身份验证并为其打开一个接口。

此示例介绍如何为两台打印机配置静态 MAC 绕过身份验证:

要求

此示例使用以下硬件和软件组件:

  • Junos OS 版本 14.2 或更高版本,适用于在增强型 LAN 模式下运行的 MX240、MX480 或 MX960 路由器。

  • 一台路由器充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的端口形成一个控制门,用于阻止进出请求方的所有流量,直到它们通过身份验证。

在将服务器连接到路由器之前,请确保您已:

  • 在路由器上配置了增强型 LAN 模式。

  • 已在路由器上执行基本桥接和VLAN配置。

  • RADIUS 身份验证服务器上配置的用户。

概述和拓扑

要允许打印机访问 LAN,请将其添加到静态 MAC 旁路列表中。允许访问此列表中的 MAC 地址,而无需从 RADIUS 服务器进行身份验证。

考虑用作身份验证器端口的 MX 系列路由器。它使用接口 ge-0/0/10 通过 IP 网络连接到 RADIUS 服务器。路由器还通过接口 ge-0/0/1 链接到会议室,使用接口 ge-0/0/20 连接到打印机,使用接口 ge-0/0/8 连接到集线器,并通过接口 ge-0/0/2 和 ge-0/0/9 链接到两个请求方或客户端。

中显示的 表 1 接口将配置为静态 MAC 身份验证。

表 1: 静态 MAC 身份验证配置拓扑的组件
属性 设置

路由器硬件

MX 系列路由器

VLAN 名称

default

连接到集成打印机/传真机/复印机(无需 PoE)

ge-0/0/19、MAC 地址 00:04:0f:fd:ac:fe ge-0/0/20、MAC 地址 00:04:ae:cd:23:5f

MAC 地址为 00:04:0f:fd:ac:fe 的打印机已连接到访问接口 。ge-0/0/19 MAC 地址为 00:04:ae:cd:23:5f 的第二台打印机连接到接入接口 。ge-0/0/20 两台打印机都将添加到静态列表中,并绕过 802.1X 身份验证。

拓扑

配置

程序

CLI 快速配置

要快速配置静态 MAC 身份验证,请复制以下命令并将其粘贴到路由器终端窗口中:

分步过程

配置静态 MAC 身份验证:

  1. 将 MAC 地址和静态 MAC 地址配置为静态 MAC 地址:00:04:0f:fd:ac:fe00:04:ae:cd:23:5f

  2. 配置 802.1X 身份验证方法:

  3. 配置用于身份验证的身份验证配置文件名称(访问配置文件名称):

    注:

    只有 802.1X 客户端需要配置访问配置文件,静态 MAC 客户端不需要配置。

成果

显示配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证身份验证的静态 MAC 绕过

目的

验证两台打印机的 MAC 地址是否已配置并与正确的接口关联。

操作

使用操作模式命令:

意义

输出字段 显示两台打印机的 MAC 地址。MAC address

输出字段 显示 MAC 地址 可以通过接口 连接到 LAN,并且 MAC 地址 可以通过接口 连接到 LAN。Interface00:04:0f:fd:ac:fege-0/0/19.000:04:ae:cd:23:5fge-0/0/20.0

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
14.2
从 Junos OS 14.2 版开始,要允许设备通过 802.1X 配置的接口访问您的 LAN,无需身份验证,您可以在 MX 系列路由器上配置静态 MAC 旁路列表。