Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von MAC-basierter Authentifizierung und MAC Authentication Bypass (MAB)

Führen Sie die folgenden Schritte aus, um ein kabelgebundenes Gerät so zu konfigurieren, dass Geräte anhand ihrer MAC-Adressen authentifiziert werden.

Sie können die MAC-Authentifizierung zusammen mit der zertifikatbasierten oder anmeldeinformationsbasierten Authentifizierung als zusätzliche Sicherheitsebene verwenden.

Juniper Mist Access Assurance unterstützt MAB (MAC Authentication Bypass) für eine einheitliche Zugriffssteuerung in kabelgebundenen und drahtlosen Netzwerken. Dieses Thema enthält ein Beispiel für die Konfiguration von MAB für ein kabelgebundenes Gerät.

Das Beispiel zeigt, wie Sie zusätzlich zur zertifikatbasierten EAP-TLS-Authentifizierung eine MAC-Authentifizierung für ein kabelgebundenes Gerät erstellen. Die Aufgabe umfasst auch die Schritte zum Erstellen einer Authentifizierungsrichtlinie für ein kabelgebundenes Gerät, das dot 1x nicht unterstützt (z. B. ein Phillips-Hub).

Voraussetzungen

Konfigurieren der MAC-basierten Authentifizierung für kabelgebundene Geräte

In den folgenden Videos erfahren Sie, wie Sie die MAC-basierte Authentifizierung für kabelgebundene Geräte konfigurieren und validieren:

Well, what about wired devices? How do we authenticate an authorized wired client? Well, it turns out we could do it right here in the same place. So we could create a couple of more rules. So we can say OK, if we look at wired devices that are using certificates to authenticate , we could just call this rule wired certificate authentication. We can effectively apply the same matching criteria as for wireless. There's no difference whatsoever here.

On the right-hand side, we'll decide where we want to move these devices after authentication and the right policy match. And finally, what about non-.1x capable devices on the wired side? So for example, I have here a Phillips hub that does not support .1x. How can I authenticate a Phillips app? So I could create a label for the Phillips device. The label will be client list. And I'll just say approved Phillips app. And I'll just put the MAC address of that device in. Oh. And you could put a list of MAC addresses. You can put the list of Mac OUIs. And remember that all of these labels that I'm creating in the UI - they're all available through the REST API. So there is always an endless possibility of integration with existing, say, inventory management systems that can just put all the new device MAC addresses in those lists for authentication and authorization.

So we'll just click Create. Create this label. And we'll create a rule. We'll call it approved Phillips devices. And here we are matching on wired devices that are doing MAC address authentication bypass that are part of this client list label. And in this case, we will move them to - well, I don't want to move them to Corp VLAN. That's not what I want. I will create an IoT VLAN. And in our case, that's going to be VLAN 3000. And I'm going to add this to an IoT VLAN. And now, we have our authentication policies configuration done.

OK, so how do we validate, right? So we've connected a couple of clients to the switch. One is a laptop that's doing .1x using certificate. Another one is the Phillips Hue app. That doesn't do any .1x, and just doing MAC authentication. So we could see those two clients are connected.

Let's take a look at the laptop one. So we could click on the port. We see that there is a client with a username flashing up. Let's take a look at the wired client insights. And what we can see here is that the user has been authenticated. You could see the port up and down events from the switch side. We see all the authentication phases, same as we saw in the wireless side. The client trusts the server. The server trusts the client certificate. We get all the metadata here. We then are saying client access is allowed. And voila. We matched the same authentication policy rule. Great. So now, we know that this part is working.

Now, we go to switch back. And let's look at the Philips device. That device is not doing any form of .1x authentication. So let's just take a look at the wired client insights. Yeah, and we are seeing that here the user is authenticated. And there is a client access allowed event here as well. And in this case, the authentication type is Mac address bypass - the MAC address that we've added to the client list. And voila. We are matching the right approved Phillips device rule.

Führen Sie die folgenden Schritte aus, um die MAC-basierte Authentifizierung in einem Netzwerk mithilfe des Juniper Mist Portals einzurichten:

  1. Erstellen Sie Authentifizierungsrichtlinien.
    1. Wählen Sie im linken Menü des Juniper Mist Portals die Option Organization > Access > Auth Policies aus.
      Erstellen Sie eine neue Regel, um Clients mit gültigen Zertifikaten Zugriff zu gewähren. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierungsrichtlinie.
      Abbildung 1: Erstellen einer Authentifizierungsrichtlinie für einen kabelgebundenen Client Create Auth Policy for Wired Client
      Definieren Sie eine Authentifizierungsrichtlinie mit den folgenden Details:
      1. Name: Geben Sie den Namen für die Richtlinie ein (z. B. Wired Cert Auth)
      2. Übereinstimmungskriterien: Wählen Sie EAP-TLS und Kabelgebunden aus.
      3. Richtlinie – Wählen Sie Zugelassen aus
      4. Richtlinienmaßnahme: Netzwerkzugriff zulässig
      5. Zugewiesenes VLAN – Corp-VLAN
  2. Um die Authentifizierung für ein Nicht-dot1.x-Gerät auf der LAN-Seite bereitzustellen, erstellen Sie eine neue Richtlinienbezeichnung.
    1. Wählen Sie auf der Seite Authentifizierungsrichtlinien die Option Bezeichnung erstellen aus, und geben Sie die Details ein.
      Abbildung 2: Bezeichnung für Nicht-Dot1x-Gerät Label for Non-Dot1x device
      Geben Sie die folgenden Informationen in die entsprechenden Felder ein:
      1. Beschriftungsname (Label Name) – Geben Sie den Namen der Beschriftung ein (Beispiel: Approved Phillips Hubs)
      2. Beschriftungstyp (Label Type) – Wählen Sie den Typ Client-Liste aus
      3. Label-Werte: Geben Sie die MAC-Adresse des Geräts ein
  3. Erstellen Sie eine neue Authentifizierungsrichtlinie.
    1. Klicken Sie auf Regel hinzufügen, um eine neue Regel zu erstellen.
      Verwenden Sie in dieser Regel die Bezeichnung, die Sie im vorherigen Schritt für Nicht-dot1x-Geräte erstellt haben. Verwenden Sie in dieser Regel die Bezeichnung, die Sie im vorherigen Schritt für ein Nicht-dot1x-Gerät erstellt haben.
      Abbildung 3: Authentifizierungsrichtlinie für Nicht-Dot1X-Geräte Authentication Policy for Non-Dot1X devices
      Geben Sie die folgenden Informationen in die entsprechenden Felder ein:
      1. Name: Geben Sie den Namen ein. Beispiel: Zugelassene Phillips-Geräte.
      2. Übereinstimmungskriterien: Wählen Sie "Approved Phillips Hubs", "MAB (MAC Authentication Bypass)" und "Wired" aus.
      3. Richtlinie: Wählen Sie Zugelassen aus.
      4. Richtlinienaktion: Wählen Sie Netzwerkzugriff zulässig aus.
      5. Zugewiesene Richtlinien: Wählen Sie IoT-VLAN aus.
      Jetzt haben Sie eine Richtlinie für die Authentifizierung von Nicht-dot1X-Geräten erstellt.
  4. Konfigurieren Sie den Switch so, dass die Authentifizierung durchgeführt wird.
    1. Wählen Sie im linken Menü des Juniper Mist Portals die Option Organisation > kabelgebundene >-Switch-Vorlagen aus.
    2. Klicken Sie auf der Seite "Switch-Vorlagen" entweder auf eine vorhandene Vorlage, um die zugehörige Konfigurationsseite zu öffnen, oder klicken Sie in der oberen rechten Ecke der Seite auf "Vorlage erstellen", um eine Vorlage zu erstellen.
    3. Wählen Sie im Abschnitt Authentifizierungsserver die Option Mist Auth als Authentifizierungsserver aus.
    4. Scrollen Sie nach unten zum Abschnitt Portprofil, und geben Sie die Details ein.
      Abbildung 4: Portprofiloptionen Port Profile Options
      Geben Sie die erforderlichen Informationen ein oder wählen Sie die gewünschten Optionen in den folgenden Feldern aus:
      1. Name: Geben Sie einen Namen ein (z. B. secure-port).
      2. Modus: Wählen Sie Zugriff aus.
      3. Aktivieren Sie die Optionen dot1x-Authentifizierung verwenden und MAC-Authentifizierung verwenden . Wenn das Client-Gerät 802.1X unterstützt, führt der Switch-Port eine 802.1X-Authentifizierung durch. Wenn das Client-Gerät 802.1X nicht unterstützt, führt der Switch-Port eine MAC-Authentifizierung durch.
      4. STP-Edge: Wählen Sie Jaaus, um den Port als STP-Edge-Port (Spanning Tree Protocol) zu konfigurieren. Mit dieser Einstellung wird sichergestellt, dass der Port als Edge-Port behandelt wird.

      In diesem Beispiel werden die Standardwerte für die übrigen Felder verwendet.

    5. Weisen Sie jedem Port des Switches, auf den die angeschlossenen kabelgebundenen Clients Netzwerkzugriff benötigen, ein Portprofil zu.

      Klicken Sie im Abschnitt Select Switches Configuration (Switches-Konfiguration auswählen) auf der Registerkarte Port Config (Portkonfiguration) auf Add Port Range , um einem Port ein Portprofil zuzuordnen.

      Abbildung 5: Zuweisen eines Portprofils zu Portbereichen auf einem Switch Assign Port Profile to Port Ranges on a Switch

      Geben Sie eine Port-ID ein, und wählen Sie das Konfigurationsprofil aus, das Sie im vorherigen Schritt erstellt haben.

    6. Klicken Sie auf Speichern.

Jetzt ist Ihr Netzwerk bereit, Clients sicher zu authentifizieren. Die Juniper Mist Cloud überprüft die Clientzertifikate und gewährt Zugriff und Autorisierung basierend auf der Konfiguration der Authentifizierungsrichtlinie.

Sie können die zugeordneten Clients im Juniper Mist Portal anzeigen.

  • Wählen Sie Clients > kabelgebundene Clients aus, um Client-Details anzuzeigen
  • Wählen Sie > Servicelevels > Insights überwachen aus, um Clientereignisse anzuzeigen.

Siehe auch