Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Statische MAC-Bypass-Authentifizierung von 802.1X und MAC RADIUS Authentifizierung

Junos OS können Sie den Zugriff auf Ihr LAN über 802.1X-konfigurierte Schnittstellen ohne Authentifizierung konfigurieren, indem Sie eine statische MAC-Bypass-Liste auf dem Switch der EX-Serie konfigurieren. Die statische MAC-Bypass-Liste, auch als Ausschlussliste bezeichnet,gibt MAC-Adressen an, die auf dem Switch zulässig sind, ohne eine Anforderung an einen Authentifizierungsserver senden zu müssen. Weitere Informationen finden Sie in diesem Thema.

Anmerkung:

Wenn Sie der Ethernet-Switching-Tabelle einen statischen MAC-Adresseneintrag hinzufügen, hat dies den gleichen Effekt wie das Hinzufügen einer MAC-Adresse zur statischen MAC-Bypass-Liste. Informationen zum Konfigurieren statischer MAC-Adresseneinträge finden Sie MAC Addresses unter.

Konfigurieren des statischen MAC-Bypass von 802.1X und MAC RADIUS Authentifizierung (CLI Verfahren)

Sie können eine statische MAC-Bypass-Liste (manchmal auch als Ausschlussliste bezeichnet) auf dem Switch konfigurieren, um MAC-Adressen von Geräten anzugeben, die dem Zugriff auf das LAN ohne 802.1X- oder MAC RADIUS-Authentifizierungsanforderungen an den RADIUS-Server gestattet sind.

So konfigurieren Sie die statische MAC-Bypass-Liste:

  • Geben Sie eine MAC-Adresse zum Umgehen der Authentifizierung an:

  • Supplicant konfigurieren, um die Authentifizierung zu umgehen, wenn es über eine bestimmte Schnittstelle verbunden ist:

  • Konfigurieren Sie ein Supplicant, das in ein bestimmtes VLAN verschoben werden soll, nachdem es authentifiziert wurde:

Beispiel: Konfigurieren statischer MAC-Bypass von 802.1X und MAC RADIUS Authentifizierung auf einem Switch der EX-Serie

Um Geräten den Zugriff auf Ihr LAN über 802.1X-konfigurierte Schnittstellen ohne Authentifizierung zu ermöglichen, können Sie eine statische MAC-Bypass-Liste auf dem Switch der EX-Serie konfigurieren. Die statische MAC-Bypass-Liste, auch als Ausschlussliste bezeichnet,gibt MAC-Adressen an, die auf dem Switch zulässig sind, ohne eine Anforderung an einen Authentifizierungsserver senden zu müssen.

Sie können den statischen MAC-Bypass der Authentifizierung verwenden, um die Verbindung für Geräte zu ermöglichen, die nicht 802.1X-fähig sind, wie Drucker. Wenn die MAC-Adresse eines Hosts mit der statischen MAC-Adressliste verglichen und an sie abgestimmt wird, wird der nicht reagierende Host authentifiziert und eine Schnittstelle geöffnet.

In diesem Beispiel wird die Konfiguration statischer MAC-Umgehung der Authentifizierung für zwei Drucker beschrieben:

Anforderungen

In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:

Anmerkung:

Das Beispiel gilt auch für Switches QFX5100 Switches.

  • Junos OS 9.0 oder höher für Switches der EX-Serie

  • Ein Switch der EX-Serie, der als Authenfigurator portzugriffseinheit (PAE) agiert. Die Ports auf dem Authenfigurator-PAE bilden ein Steuerungsgategate, das den ganzen Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.

Bevor Sie die statische MAC-Umgehungsauthentifizierung konfigurieren, sollten Sie sicher sein, dass Sie:

Überblick und Topologie

Um Druckern den Zugriff auf das LAN zu ermöglichen, fügen Sie sie der statischen MAC-Bypass-Liste hinzu. Die MAC-Adressen in dieser Liste sind ohne Authentifizierung vom Server RADIUS Zugriffsberechtigungen.

Abbildung 1 zeigt die beiden mit dem Gerät verbundenen EX4200.

Anmerkung:

Diese Abbildung gilt auch für Switches QFX5100 Switches.

Abbildung 1: Topologie für statischen MAC Bypass der AuthentifizierungskonfigurationTopologie für statischen MAC Bypass der Authentifizierungskonfiguration

Die angezeigten Schnittstellen Tabelle 1 werden für den statischen MAC-Bypass der Authentifizierung konfiguriert.

Tabelle 1: Komponenten der statischen MAC-Umgehung der Authentifizierungskonfigurationstopologie
Eigenschaft Einstellungen

Switch-Hardware

EX4200, 24 Gigabit Ethernet-Ports: 16 Nicht-PoE-Ports und 8 PoE-Ports ( ge-0/0/0 bis ge-0/0/23 )

VLAN-Name

default

Verbindungen zu integrierten Druckern/Fax-/Druckergeräten (PoE erforderlich)

ge-0/0/19, MAC-Adresse 00:04:0f:fd:ac:fe ge-0/0/20, MAC-Adresse 00:04:ae:cd:23:5f

Der Drucker mit der MAC-Adresse 00:04:0f:fd:ac:fe ist mit der Zugriffsschnittstelle ge-0/0/19 verbunden. Ein zweiter Drucker mit der MAC-Adresse 00:04:ae:cd:23:5f ist mit der Zugriffsschnittstelle ge-0/0/20 verbunden. Beide Drucker werden der statischen Liste hinzugefügt und können die Authentifizierung nach 802.1X umgehen.

Topologie

Konfiguration

Verfahren

CLI-Konfiguration

Kopieren Sie die folgenden Befehle, um die statische MAC-Umgehungsliste schnell zu konfigurieren, und fügen Sie sie in das Switch-Terminal-Fenster ein:

Schritt-für-Schritt-Verfahren

Konfiguration der statischen MAC-Bypass-Liste:

  1. Konfigurieren Sie 00:04:0f:fd:ac:fe MAC-Adressen 00:04:ae:cd:23:5f und als statische MAC-Adressen:

  2. Konfigurieren Sie die 802.1X-Authentifizierungsmethode:

  3. Konfigurieren Sie den zur Authentifizierung zu verwendenden Namen des Authentifizierungsprofils (Access Profile Name):

    Anmerkung:

    Die Konfiguration des Zugriffsprofils ist nur für 802.1X-Clients erforderlich, nicht für statische MAC-Clients.

Ergebnisse

Zeigen Sie die Ergebnisse der Konfiguration an:

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfung des statischen MAC-Bypass der Authentifizierung

Zweck

Stellen Sie sicher, dass die MAC-Adressen beider Drucker konfiguriert und mit den richtigen Schnittstellen verknüpft sind.

Aktion

Geben Sie den Betriebsmodusbefehl aus:

Bedeutung

Das Ausgabefeld MAC address zeigt die MAC-Adressen der beiden Drucker an.

Das Ausgangsfeld zeigt, dass die MAC-Adresse über die Schnittstelle mit dem LAN verbunden werden kann und die MAC-Adresse über die Schnittstelle Interface mit dem LAN verbunden werden 00:04:0f:fd:ac:fege-0/0/19.000:04:ae:cd:23:5fge-0/0/20.0 kann.