示例:在 MX 系列路由器上配置身份验证的静态 MAC 旁路
从 Junos OS 14.2 版开始,要允许设备通过 802.1X 配置的接口访问您的 LAN,无需身份验证,您可以在 MX 系列路由器上配置静态 MAC 旁路列表。静态 MAC 绕过列表(也称为 排除列表)指定路由器上允许的 MAC 地址,而无需向身份验证服务器发出请求。
您可以使用身份验证的静态 MAC 旁路来允许连接未启用 802.1X 的设备,例如打印机。如果将主机的 MAC 地址与静态 MAC 地址列表进行比较和匹配,则会对无响应的主机进行身份验证并为其打开一个接口。
此示例介绍如何为两台打印机配置静态 MAC 绕过身份验证:
要求
此示例使用以下硬件和软件组件:
Junos OS 版本 14.2 或更高版本,适用于在增强型 LAN 模式下运行的 MX240、MX480 或 MX960 路由器。
一台路由器充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的端口形成一个控制门,用于阻止进出请求方的所有流量,直到它们通过身份验证。
在将服务器连接到路由器之前,请确保您已:
在路由器上配置了增强型 LAN 模式。
已在路由器上执行基本桥接和VLAN配置。
RADIUS 身份验证服务器上配置的用户。
概述和拓扑
要允许打印机访问 LAN,请将其添加到静态 MAC 旁路列表中。允许访问此列表中的 MAC 地址,而无需从 RADIUS 服务器进行身份验证。
考虑用作身份验证器端口的 MX 系列路由器。它使用接口 ge-0/0/10 通过 IP 网络连接到 RADIUS 服务器。路由器还通过接口 ge-0/0/1 链接到会议室,使用接口 ge-0/0/20 连接到打印机,使用接口 ge-0/0/8 连接到集线器,并通过接口 ge-0/0/2 和 ge-0/0/9 链接到两个请求方或客户端。
中显示的 表 1 接口将配置为静态 MAC 身份验证。
| 属性 | 设置 |
|---|---|
路由器硬件 |
MX 系列路由器 |
VLAN 名称 |
default |
连接到集成打印机/传真机/复印机(无需 PoE) |
ge-0/0/19、MAC 地址 00:04:0f:fd:ac:fe ge-0/0/20、MAC 地址 00:04:ae:cd:23:5f |
MAC 地址为 00:04:0f:fd:ac:fe 的打印机已连接到访问接口 ge-0/0/19。MAC 地址为 00:04:ae:cd:23:5f 的第二台打印机连接到接入接口 ge-0/0/20。两台打印机都将添加到静态列表中,并绕过 802.1X 身份验证。
拓扑学
配置
程序
CLI 快速配置
要快速配置静态 MAC 身份验证,请复制以下命令并将其粘贴到路由器终端窗口中:
[edit] set protocols authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols authentication-access-control interface all supplicant multiple set protocols authentication-access-control authenticaton-profile-name profile1
分步过程
配置静态 MAC 身份验证:
将 MAC 地址 00:04:0f:fd:ac:fe 和 00:04:ae:cd:23:5f 静态 MAC 地址配置为静态 MAC 地址:
[edit protocols] user@router# set authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
配置 802.1X 身份验证方法:
[edit protocols] user@router# set authentication-access-control interface all supplicant multiple
配置用于身份验证的身份验证配置文件名称(访问配置文件名称):
[edit protocols] user@router# set authentication-access-control authentication-profile-name profile1
注:只有 802.1X 客户端需要配置访问配置文件,静态 MAC 客户端不需要配置。
结果
显示配置结果:
user@router> show
interfaces {
ge-0/0/19 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
ge-0/0/20 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
}
protocols {
authentication-access-control {
authentication-profile-name profile1;
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证身份验证的静态 MAC 绕过
目的
验证两台打印机的 MAC 地址是否已配置并与正确的接口关联。
操作
使用操作模式命令:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
意义
输出字段 MAC address 显示两台打印机的 MAC 地址。
输出字段 Interface 显示 MAC 地址 00:04:0f:fd:ac:fe 可以通过接口 ge-0/0/19.0 连接到 LAN,并且 MAC 地址 00:04:ae:cd:23:5f 可以通过接口 ge-0/0/20.0连接到 LAN。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。