Auf dieser Seite
Beispiel: Konfigurieren der statischen MAC-Umgehung der Authentifizierung auf einem Router der MX-Serie
Ab Junos OS Version 14.2 können Sie eine statische MAC-Umgehungsliste auf dem Router der MX-Serie konfigurieren, damit Geräte über 802.1X konfigurierte Schnittstellen ohne Authentifizierung auf Ihr LAN zugreifen können. Die statische MAC-Umgehungsliste, die auch als Ausschlussliste bezeichnet wird, gibt MAC-Adressen an, die auf dem Router ohne Anforderung an einen Authentifizierungsserver zulässig sind.
Sie können statische MAC-Umgehung der Authentifizierung verwenden, um die Verbindung für Geräte zu ermöglichen, die nicht 802.1X-fähig sind, z. B. Drucker. Wenn die MAC-Adresse eines Hosts verglichen und mit der statischen MAC-Adressenliste abgeglichen wird, wird der nicht reagierende Host authentifiziert und eine Schnittstelle für ihn geöffnet.
In diesem Beispiel wird die Konfiguration der statischen MAC-Umgehung der Authentifizierung für zwei Drucker beschrieben:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 14.2 oder höher für Router MX240, MX480 oder MX960, die im erweiterten LAN-Modus ausgeführt werden.
Ein Router fungiert als Authentifikator-Portzugriffs-Entität (PAE). Die Ports auf dem Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert werden.
Bevor Sie den Server mit dem Router verbinden, stellen Sie sicher, dass Sie Folgendes haben:
Konfiguration des erweiterten LAN-Modus auf dem Router.
Grundlegende Bridging- und VLAN-Konfiguration auf dem Router durchgeführt.
Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver.
Übersicht und Topologie
Um Druckern den Zugriff auf das LAN zu erlauben, fügen Sie sie der statischen MAC-Umgehungsliste hinzu. Den MAC-Adressen in dieser Liste ist der Zugriff ohne Authentifizierung vom RADIUS-Server erlaubt.
Stellen Sie sich einen Router der MX-Serie vor, der als Authentifikator-Port fungiert. Er ist über die Schnittstelle ge-0/0/10 über das IP-Netzwerk mit einem RADIUS-Server verbunden. Der Router ist auch mit einem Konferenzraum über die Schnittstelle ge-0/0/1 mit einem Drucker über die Schnittstelle ge-0/0/20 mit einem Hub über die Schnittstelle ge-0/0/8 und mit zwei Supplicants oder Clients über Schnittstellen verbunden, ge-0/0/2 und ge-0/0/9.
Die angezeigten Tabelle 1 Schnittstellen werden für die statische MAC-Authentifizierung konfiguriert.
| Eigenschaft | Einstellungen |
|---|---|
Router-Hardware |
Router der MX-Serie |
VLAN-Name |
default |
Verbindungen zu integrierten Drucker-/Fax-/Kopierern (kein PoE erforderlich) |
ge-0/0/19, MAC-Adresse 00:04:0f:fd:ac:fe ge-0/0/20, MAC-Adresse 00:04:ae:cd:23:5f |
Der Drucker mit der MAC-Adresse 00:04:0f:fd:ac:fe ist mit der Zugriffsschnittstelle ge-0/0/19verbunden. Ein zweiter Drucker mit der MAC-Adresse 00:04:ae:cd:23:5f ist an die Zugangsschnittstelle ge-0/0/20angeschlossen. Beide Drucker werden zur statischen Liste hinzugefügt und umgehen die 802.1X-Authentifizierung.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um die statische MAC-Authentifizierung schnell zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in das Router-Terminalfenster ein:
[edit] set protocols authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols authentication-access-control interface all supplicant multiple set protocols authentication-access-control authenticaton-profile-name profile1
Schritt-für-Schritt-Verfahren
Konfigurieren Sie die statische MAC-Authentifizierung:
Konfigurieren Sie MAC-Adressen 00:04:0f:fd:ac:fe und 00:04:ae:cd:23:5f als statische MAC-Adressen:
[edit protocols] user@router# set authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Konfigurieren Sie die 802.1X-Authentifizierungsmethode:
[edit protocols] user@router# set authentication-access-control interface all supplicant multiple
Konfigurieren Sie den Authentifizierungsprofilnamen (Zugriffsprofilnamen), der für die Authentifizierung verwendet werden soll:
[edit protocols] user@router# set authentication-access-control authentication-profile-name profile1
HINWEIS:Die Konfiguration des Zugriffsprofils ist nur für 802.1X-Clients erforderlich, nicht für statische MAC-Clients.
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@router> show
interfaces {
ge-0/0/19 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
ge-0/0/20 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
}
protocols {
authentication-access-control {
authentication-profile-name profile1;
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfung statischer MAC-Umgehung der Authentifizierung
Zweck
Stellen Sie sicher, dass die MAC-Adresse für beide Drucker konfiguriert und mit den richtigen Schnittstellen verknüpft ist.
Aktion
Verwenden Sie den Betriebsmodus-Befehl:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Bedeutung
Das Ausgabefeld MAC address zeigt die MAC-Adressen der beiden Drucker.
Das Ausgangsfeld Interface zeigt, dass die MAC-Adresse 00:04:0f:fd:ac:fe über Schnittstelle ge-0/0/19.0 mit dem LAN verbunden werden kann und dass die MAC-Adresse 00:04:ae:cd:23:5f über Schnittstelle ge-0/0/20.0mit dem LAN verbunden werden kann.