Auf dieser Seite
Beispiel: Konfigurieren der statischen MAC-Umgehung der Authentifizierung auf einem Router der MX-Serie
Ab Junos OS Version 14.2 können Sie auf dem Router der MX-Serie eine statische MAC-Bypass-Liste konfigurieren, damit Geräte über 802.1X-konfigurierte Schnittstellen ohne Authentifizierung auf Ihr LAN zugreifen können. Die statische MAC-Bypass-Liste, die auch als Ausschlusslistebezeichnet wird, gibt MAC-Adressen an, die auf dem Router ohne Anforderung an einen Authentifizierungsserver zulässig sind.
Sie können die statische MAC-Umgehung der Authentifizierung verwenden, um eine Verbindung für Geräte zuzulassen, die nicht 802.1X-fähig sind, z. B. Drucker. Wenn die MAC-Adresse eines Hosts mit der statischen MAC-Adressliste verglichen und abgeglichen wird, wird der nicht reagierende Host authentifiziert und eine Schnittstelle für ihn geöffnet.
In diesem Beispiel wird beschrieben, wie die statische MAC-Umgehung der Authentifizierung für zwei Drucker konfiguriert wird:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 14.2 oder höher für MX240-, MX480- oder MX960-Router, die im erweiterten LAN-Modus ausgeführt werden.
Ein Router, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Ports der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Bevor Sie den Server mit dem Router verbinden, stellen Sie sicher, dass Sie über Folgendes verfügen:
Erweiterter LAN-Modus auf dem Router konfiguriert.
Grundlegende Bridging- und VLAN-Konfiguration auf dem Router durchgeführt.
Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver.
Übersicht und Topologie
Um Druckern den Zugriff auf das LAN zu erlauben, fügen Sie sie der statischen MAC-Bypass-Liste hinzu. Den MAC-Adressen in dieser Liste ist der Zugriff ohne Authentifizierung vom RADIUS-Server gestattet.
Stellen Sie sich einen Router der MX-Serie vor, der als Authentifikator-Port fungiert. Er ist über die Schnittstelle ge-0/0/10 über das IP-Netzwerk mit einem RADIUS-Server verbunden. Der Router ist auch mit einem Konferenzraum über die Schnittstelle ge-0/0/1, mit einem Drucker über die Schnittstelle ge-0/0/20, mit einem Hub über die Schnittstelle ge-0/0/8 und mit zwei Supplicants oder Clients über die Schnittstellen ge-0/0/2 bzw. ge-0/0/9 verbunden.
Die in Tabelle 1 gezeigten Schnittstellen sind für die statische MAC-Authentifizierung konfiguriert.
| Eigentum | Einstellungen |
|---|---|
Router-Hardware |
Router der MX-Serie |
VLAN-Name |
default |
Anschlüsse an integrierte Drucker-/Fax-/Kopierergeräte (kein PoE erforderlich) |
ge-0/0/19, MAC-Adresse 00:04:0f:fd:ac:fe ge-0/0/20, MAC-Adresse 00:04:ae:cd:23:5f |
Der Drucker mit der MAC-Adresse 00:04:0f:fd:ac:fe ist mit der Zugriffsschnittstelle ge-0/0/19verbunden. Ein zweiter Drucker mit der MAC-Adresse 00:04:ae:cd:23:5f wird an die Zugangsschnittstelle ge-0/0/20angeschlossen. Beide Drucker werden der statischen Liste hinzugefügt und umgehen die 802.1X-Authentifizierung.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um die statische MAC-Authentifizierung schnell zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Terminalfenster des Routers ein:
[edit] set protocols authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols authentication-access-control interface all supplicant multiple set protocols authentication-access-control authenticaton-profile-name profile1
Schritt-für-Schritt-Anleitung
Konfigurieren der statischen MAC-Authentifizierung:
Konfigurieren Sie MAC-Adressen 00:04:0f:fd:ac:fe und 00:04:ae:cd:23:5f als statische MAC-Adressen:
[edit protocols] user@router# set authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Konfigurieren Sie die 802.1X-Authentifizierungsmethode:
[edit protocols] user@router# set authentication-access-control interface all supplicant multiple
Konfigurieren Sie den Namen des Authentifizierungsprofils (Name des Zugriffsprofils), der für die Authentifizierung verwendet werden soll:
[edit protocols] user@router# set authentication-access-control authentication-profile-name profile1
HINWEIS:Die Konfiguration des Zugriffsprofils ist nur für 802.1X-Clients erforderlich, nicht für statische MAC-Clients.
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@router> show
interfaces {
ge-0/0/19 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
ge-0/0/20 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
}
protocols {
authentication-access-control {
authentication-profile-name profile1;
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen der statischen MAC-Umgehung der Authentifizierung
Zweck
Stellen Sie sicher, dass die MAC-Adresse für beide Drucker konfiguriert und den richtigen Schnittstellen zugeordnet ist.
Action!
Verwenden Sie den Befehl operational mode:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Bedeutung
Das Ausgabefeld MAC address zeigt die MAC-Adressen der beiden Drucker an.
Das Ausgabefeld Interface zeigt an, dass die MAC-Adresse 00:04:0f:fd:ac:fe über die Schnittstelle ge-0/0/19.0 mit dem LAN verbunden werden kann und dass die MAC-Adresse 00:04:ae:cd:23:5f über die Schnittstelle ge-0/0/20.0mit dem LAN verbunden werden kann.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.