Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren der statischen MAC-Umgehung der Authentifizierung auf einem Router der MX-Serie

Ab Junos OS Version 14.2 können Sie auf dem Router der MX-Serie eine statische MAC-Bypass-Liste konfigurieren, damit Geräte über 802.1X-konfigurierte Schnittstellen ohne Authentifizierung auf Ihr LAN zugreifen können. Die statische MAC-Bypass-Liste, die auch als Ausschlussliste bezeichnet wird, gibt MAC-Adressen an, die auf dem Router ohne Anforderung an einen Authentifizierungsserver zulässig sind.

Sie können die statische MAC-Umgehung der Authentifizierung verwenden, um eine Verbindung für Geräte zuzulassen, die nicht 802.1X-fähig sind, z. B. Drucker. Wenn die MAC-Adresse eines Hosts mit der statischen MAC-Adressliste verglichen und abgeglichen wird, wird der nicht reagierende Host authentifiziert und eine Schnittstelle für ihn geöffnet.

In diesem Beispiel wird beschrieben, wie die statische MAC-Umgehung der Authentifizierung für zwei Drucker konfiguriert wird:

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Junos OS Version 14.2 oder höher für MX240-, MX480- oder MX960-Router, die im erweiterten LAN-Modus ausgeführt werden.

  • Ein Router, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Ports der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.

Bevor Sie den Server mit dem Router verbinden, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Erweiterter LAN-Modus auf dem Router konfiguriert.

  • Grundlegende Bridging- und VLAN-Konfiguration auf dem Router durchgeführt.

  • Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver.

Übersicht und Topologie

Um Druckern den Zugriff auf das LAN zu erlauben, fügen Sie sie der statischen MAC-Bypass-Liste hinzu. Den MAC-Adressen in dieser Liste ist der Zugriff ohne Authentifizierung vom RADIUS-Server gestattet.

Stellen Sie sich einen Router der MX-Serie vor, der als Authentifikator-Port fungiert. Er ist über die Schnittstelle ge-0/0/10 über das IP-Netzwerk mit einem RADIUS-Server verbunden. Der Router ist auch mit einem Konferenzraum über die Schnittstelle ge-0/0/1, mit einem Drucker über die Schnittstelle ge-0/0/20, mit einem Hub über die Schnittstelle ge-0/0/8 und mit zwei Supplicants oder Clients über die Schnittstellen ge-0/0/2 bzw. ge-0/0/9 verbunden.

Die in Tabelle 1 gezeigten Schnittstellen sind für die statische MAC-Authentifizierung konfiguriert.

Tabelle 1: Komponenten der Konfigurationstopologie für die statische MAC-Authentifizierung
Eigenschaft Einstellungen

Router-Hardware

Router der MX-Serie

VLAN-Name

default

Anschlüsse an integrierte Drucker-/Fax-/Kopierergeräte (kein PoE erforderlich)

ge-0/0/19, MAC-Adresse 00:04:0f:fd:ac:fe ge-0/0/20, MAC-Adresse 00:04:ae:cd:23:5f

Der Drucker mit der MAC-Adresse 00:04:0f:fd:ac:fe ist mit der Zugriffsschnittstelle verbunden.ge-0/0/19 Ein zweiter Drucker mit der MAC-Adresse 00:04:ae:cd:23:5f wird an die Zugangsschnittstelle angeschlossen.ge-0/0/20 Beide Drucker werden der statischen Liste hinzugefügt und umgehen die 802.1X-Authentifizierung.

Topologie

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um die statische MAC-Authentifizierung schnell zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Terminalfenster des Routers ein:

Schritt-für-Schritt-Anleitung

Konfigurieren der statischen MAC-Authentifizierung:

  1. Konfigurieren Sie MAC-Adressen und als statische MAC-Adressen:00:04:0f:fd:ac:fe00:04:ae:cd:23:5f

  2. Konfigurieren Sie die 802.1X-Authentifizierungsmethode:

  3. Konfigurieren Sie den Namen des Authentifizierungsprofils (Name des Zugriffsprofils), der für die Authentifizierung verwendet werden soll:

    HINWEIS:

    Die Konfiguration des Zugriffsprofils ist nur für 802.1X-Clients erforderlich, nicht für statische MAC-Clients.

Ergebnisse

Zeigen Sie die Ergebnisse der Konfiguration an:

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:

Überprüfen der statischen MAC-Umgehung der Authentifizierung

Zweck

Stellen Sie sicher, dass die MAC-Adresse für beide Drucker konfiguriert und den richtigen Schnittstellen zugeordnet ist.

Was

Verwenden Sie den Befehl operational mode:

Bedeutung

Das Ausgabefeld zeigt die MAC-Adressen der beiden Drucker an.MAC address

Das Ausgabefeld zeigt an, dass die MAC-Adresse über die Schnittstelle mit dem LAN verbunden werden kann und dass die MAC-Adresse über die Schnittstelle mit dem LAN verbunden werden kann.Interface00:04:0f:fd:ac:fege-0/0/19.000:04:ae:cd:23:5fge-0/0/20.0

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
14.2
Ab Junos OS Version 14.2 können Sie auf dem Router der MX-Serie eine statische MAC-Bypass-Liste konfigurieren, damit Geräte über 802.1X-konfigurierte Schnittstellen ohne Authentifizierung auf Ihr LAN zugreifen können.