Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

802.1 X 和 MAC RADIUS 身份验证的静态 MAC 旁路

通过在 EX 系列交换机上配置静态 MAC 旁路列表,Junos OS 允许您通过在不进行身份验证的情况下配置对 LAN 的 802.1 X 配置接口的访问。静态 MAC 旁路列表又称为排除列表,用于指定在不向认证服务器发送请求的情况下允许在交换机上使用的 MAC 地址。有关更多信息,请阅读本主题。

配置 802.1 X 和 MAC RADIUS 身份验证的静态 MAC 旁路(CLI 过程)

您可以在交换机上配置静态 MAC 跳过列表(有时称为排除列表),以指定允许访问 LAN 的设备的 MAC 地址,而不使用 802.1 X 或 MAC RADIUS 对 RADIUS 服务器的身份验证请求。

要配置静态 MAC 绕过列表:

  • 指定绕过身份验证的 MAC 地址:

  • 将请求者配置为在通过特定接口连接时绕过身份验证:

  • 将请求方配置为在身份验证后移动到特定 VLAN:

示例:在 EX 系列交换机上为 802.1 X 和 MAC RADIUS 身份验证配置静态 MAC 旁路

要允许设备通过 802.1 X 配置的接口访问您的 LAN 而不进行身份验证,您可以在 EX 系列交换机上配置静态 MAC 旁路列表。静态 MAC 旁路列表又称为排除列表,用于指定在不向认证服务器发送请求的情况下允许在交换机上使用的 MAC 地址。

您可以使用静态 MAC 跳过身份验证来允许连接未 802.1 X 启用的设备,例如打印机。如果根据静态 MAC 地址列表对主机的 MAC 地址进行比较和匹配,则未响应的主机将经过身份验证,并为其打开一个接口。

本示例介绍如何为两台打印机配置静态 MAC 绕过身份验证:

要求

此示例使用以下软件和硬件组件:

注:

此示例也适用于 QFX5100 交换机。

  • EX 系列交换机 Junos OS 发行9.0 或更高版本

  • 一个 EX 系列交换机充当认证者端口接入实体(PAE)。认证器 PAE 上的端口是控制门,用于阻止到达请求者和来自请求方的所有流量,直至其获得身份验证。

在配置静态 MAC 旁路身份验证之前,请确保您已:

概述和拓扑

要允许打印机访问 LAN,请将其添加到静态 MAC 旁路列表中。此列表上的 MAC 地址无需通过 RADIUS 服务器的认证即可访问。

图 1显示了连接到 EX4200 的两台打印机。

注:

本图也适用于 QFX5100 交换机。

图 1: 身份验证配置的静态 MAC 绕过拓扑身份验证配置的静态 MAC 绕过拓扑

表 1显示的接口将配置为用于静态 MAC 旁路身份验证。

表 1: 静态 MAC 跳过身份验证配置拓扑的组件
财产 设置

交换机硬件

EX4200,24个千兆位以太网端口:16 个非PoE端口和 8 PoE端口( ge-0/0/0ge-0/0/23

VLAN 名称

default

到集成打印机/传真/复印机机器的连接(不需要 PoE)

ge-0/0/19,MAC 地址 00:04:0f:fd:ac:fe

ge-0/0/20,MAC 地址00:04: ae: cd:23:5f

打印机与带 MAC 地址 00:04:0f:fd:ac:fe 已连接到访问接口 ge-0/0/19 。第二台打印机MAC 地址 00:04:ae:cd:23:5f 连接到接入接口 ge-0/0/20 。两台打印机都将添加到静态列表中并绕过 802.1 X 身份验证。

拓扑

配置

操作

CLI 快速配置

要快速配置静态 MAC 旁路列表,请复制以下命令并将其粘贴到交换机端子窗口中:

分步过程

配置静态 MAC 绕过列表:

  1. 将 MAC 地址配置为 00:04:0f:fd:ac:fe00:04:ae:cd:23:5f 静态 MAC 地址:

  2. 配置 802.1 X 身份验证方法:

  3. 配置认证配置文件名称(访问配置文件名称)以用于认证:

    注:

    只有 802.1 X 客户端才需要访问配置文件配置,而不是静态 MAC 客户端。

成果

显示配置结果:

针对

要确认配置是否正常运行,请执行以下任务:

验证静态 MAC 绕过身份验证

用途

验证两台打印机的 MAC 地址是否均已配置且与正确接口相关联。

行动

发出操作模式命令:

含义

输出字段 MAC address 显示两个打印机的 MAC 地址。

输出字段显示,MAC 地址可通过接口连接到 Interface00:04:0f:fd:ac:fege-0/0/19.000:04:ae:cd:23:5f LAN,MAC 地址可通过接口连接到 ge-0/0/20.0 LAN。