Statische MAC-Umgehung der 802.1X- und MAC RADIUS-Authentifizierung
Mit Junos OS können Sie den Zugriff auf Ihr LAN über 802.1X-konfigurierte Schnittstellen ohne Authentifizierung konfigurieren, indem Sie eine statische MAC-Bypass-Liste auf dem Switch der EX-Serie konfigurieren. Die statische MAC-Bypass-Liste, die auch als Ausschlussliste bezeichnet wird, gibt MAC-Adressen an, die auf dem Switch zulässig sind, ohne eine Anforderung an einen Authentifizierungsserver zu senden. Weitere Informationen finden Sie in diesem Thema.
Wenn Sie der Ethernet-Switching-Tabelle einen statischen MAC-Adresseneintrag hinzufügen, hat dies den gleichen Effekt wie das Hinzufügen einer MAC-Adresse zur statischen MAC-Bypass-Liste. Informationen zum Konfigurieren statischer MAC-Adresseinträge finden Sie unter MAC Addresses.
Konfigurieren der statischen MAC-Umgehung von 802.1X und MAC RADIUS-Authentifizierung (CLI-Verfahren)
Sie können eine statische MAC-Bypass-Liste (manchmal auch als Ausschlussliste bezeichnet) auf dem Switch konfigurieren, um MAC-Adressen von Geräten anzugeben, die ohne 802.1X- oder MAC RADIUS-Authentifizierungsanforderungen an den RADIUS-Server auf das LAN zugreifen dürfen.
So konfigurieren Sie die statische MAC-Bypass-Liste:
Geben Sie eine MAC-Adresse an, um die Authentifizierung zu umgehen:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
Konfigurieren Sie einen Supplicant so, dass die Authentifizierung umgangen wird, wenn er über eine bestimmte Schnittstelle verbunden ist:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
Konfigurieren Sie einen Supplicant, der nach der Authentifizierung in ein bestimmtes VLAN verschoben werden soll:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
Siehe auch
Beispiel: Konfigurieren der statischen MAC-Umgehung von 802.1X und MAC RADIUS-Authentifizierung auf einem Switch der EX-Serie
Um Geräten den Zugriff auf Ihr LAN über 802.1X-konfigurierte Schnittstellen ohne Authentifizierung zu ermöglichen, können Sie eine statische MAC-Bypass-Liste auf dem Switch der EX-Serie konfigurieren. Die statische MAC-Bypass-Liste, die auch als Ausschlussliste bezeichnet wird, gibt MAC-Adressen an, die auf dem Switch zulässig sind, ohne eine Anforderung an einen Authentifizierungsserver zu senden.
Sie können die statische MAC-Umgehung der Authentifizierung verwenden, um eine Verbindung für Geräte zuzulassen, die nicht 802.1X-fähig sind, z. B. Drucker. Wenn die MAC-Adresse eines Hosts mit der statischen MAC-Adressliste verglichen und abgeglichen wird, wird der nicht reagierende Host authentifiziert und eine Schnittstelle für ihn geöffnet.
In diesem Beispiel wird beschrieben, wie die statische MAC-Umgehung der Authentifizierung für zwei Drucker konfiguriert wird:
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Dieses Beispiel gilt auch für QFX5100 Switches.
Junos OS Version 9.0 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Ports der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Bevor Sie die statische MAC-Umgehung der Authentifizierung konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Weitere Informationen finden Sie in der Dokumentation, in der das Einrichten von grundlegendem Bridging und einem VLAN für Ihren Switch beschrieben wird. Wenn Sie einen Switch verwenden, der den Konfigurationsstil Enhanced Layer 2 Software (ELS) unterstützt, finden Sie weitere Informationen unter Beispiel: Einrichten von Basic Bridging und einem VLAN für einen Switch der EX-Serie mit ELS-Unterstützung oder Beispiel: Einrichten von grundlegendem Bridging und einem VLAN auf Switches. Informationen zu allen anderen Switches finden Sie unter Beispiel: Einrichten eines grundlegenden Bridging und eines VLANs für einen Switch der EX-Serie.
Weitere Informationen zu ELS finden Sie unter: Verwenden der erweiterten Layer-2-Software-CLI.Layer 2 Networking
Sie haben die RADIUS-Serververbindungen angegeben und ein Zugriffsprofil auf dem Switch konfiguriert. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
Übersicht und Topologie
Um Druckern den Zugriff auf das LAN zu erlauben, fügen Sie sie der statischen MAC-Bypass-Liste hinzu. Den MAC-Adressen in dieser Liste ist der Zugriff ohne Authentifizierung vom RADIUS-Server gestattet.
Abbildung 1 zeigt die beiden Drucker, die an den EX4200 angeschlossen sind.
Diese Zahl gilt auch für QFX5100 Switches.
Die in gezeigten Schnittstellen sind für die statische MAC-Umgehung der Authentifizierung konfiguriert.Tabelle 1
| Eigenschaft | Einstellungen |
|---|---|
Switch-Hardware |
EX4200, 24 Gigabit-Ethernet-Ports: 16 Nicht-PoE-Ports und 8 PoE-Ports (durch ) |
VLAN-Name |
|
Anschlüsse an integrierte Drucker-/Fax-/Kopierergeräte (kein PoE erforderlich) |
|
Der Drucker mit der MAC-Adresse 00:04:0f:fd:ac:fe ist mit der Zugriffsschnittstelle verbunden.ge-0/0/19 Ein zweiter Drucker mit der MAC-Adresse 00:04:ae:cd:23:5f wird an die Zugangsschnittstelle angeschlossen.ge-0/0/20 Beide Drucker werden der statischen Liste hinzugefügt und umgehen die 802.1X-Authentifizierung.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um die statische MAC-Bypass-Liste schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
Schritt-für-Schritt-Anleitung
Konfigurieren Sie die statische MAC-Bypass-Liste:
Konfigurieren Sie MAC-Adressen und als statische MAC-Adressen:
00:04:0f:fd:ac:fe00:04:ae:cd:23:5f[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Konfigurieren Sie die 802.1X-Authentifizierungsmethode:
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
Konfigurieren Sie den Namen des Authentifizierungsprofils (Name des Zugriffsprofils), der für die Authentifizierung verwendet werden soll:
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
HINWEIS:Die Konfiguration des Zugriffsprofils ist nur für 802.1X-Clients erforderlich, nicht für statische MAC-Clients.
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch> show
interfaces {
ge-0/0/19 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
ge-0/0/20 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
}
protocols {
dot1x {
authenticator {
authentication-profile-name profile1
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
}
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen der statischen MAC-Umgehung der Authentifizierung
Zweck
Stellen Sie sicher, dass die MAC-Adressen beider Drucker konfiguriert und den richtigen Schnittstellen zugeordnet sind.
Was
Geben Sie den Befehl für den Betriebsmodus ein:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Bedeutung
Das Ausgabefeld zeigt die MAC-Adressen der beiden Drucker an.MAC address
Das Ausgabefeld zeigt an, dass die MAC-Adresse über die Schnittstelle mit dem LAN verbunden werden kann und dass die MAC-Adresse über die Schnittstelle mit dem LAN verbunden werden kann.Interface00:04:0f:fd:ac:fege-0/0/19.000:04:ae:cd:23:5fge-0/0/20.0