Exemple : Configuration du contournement MAC statique de l’authentification sur un routeur MX Series
À partir de Junos OS version 14.2, pour permettre aux périphériques d’accéder à votre réseau local via des interfaces configurées 802.1X sans authentification, vous pouvez configurer une liste de dérivation MAC statique sur le routeur MX Series. La liste de contournement MAC statique, également connue sous le nom de liste d’exclusion, spécifie les adresses MAC autorisées sur le routeur sans demande à un serveur d’authentification.
Vous pouvez utiliser le contournement MAC statique de l’authentification pour autoriser la connexion de périphériques qui ne sont pas compatibles 802.1X, tels que les imprimantes. Si l’adresse MAC d’un hôte est comparée et comparée à la liste d’adresses MAC statique, l’hôte non réactif est authentifié et une interface est ouverte pour lui.
Cet exemple décrit comment configurer le contournement MAC statique de l’authentification pour deux imprimantes :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 14.2 ou ultérieure pour les routeurs MX240, MX480 ou MX960 exécutés en mode LAN amélioré.
Un routeur faisant office d’entité d’accès au port d’authentification (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Avant de connecter le serveur au routeur, assurez-vous d’avoir :
Configurez le mode LAN amélioré sur le routeur - effectué.
Effectuez le pontage de base et la configuration VLAN sur le routeur - effectué.
Utilisateurs configurés sur le serveur d’authentification RADIUS.
Vue d’ensemble et topologie
Pour permettre aux imprimantes d’accéder au réseau local, ajoutez-les à la liste de contournement MAC statique. Les adresses MAC de cette liste sont autorisées à accéder sans authentification à partir du serveur RADIUS.
Considérons un routeur MX Series qui fonctionne comme un port d’authentification. Il est connecté via l’interface ge-0/0/10 via le réseau IP à un serveur RADIUS. Le routeur est également relié à une salle de conférence à l’aide de l’interface ge-0/0/1, à une imprimante à l’aide de l’interface ge-0/0/20, à un concentrateur à l’aide de l’interface ge-0/0/8 et à deux suppliants ou clients via des interfaces, ge-0/0/2 et ge-0/0/9 respectivement.
Les interfaces illustrées dans Tableau 1 seront configurées pour l’authentification MAC statique.
| Propriété | Paramètres |
|---|---|
Matériel du routeur |
Routeur MX Series |
Nom du VLAN |
default |
Connexions à des imprimantes/télécopieurs/photocopieurs intégrés (pas de PoE requis) |
ge-0/0/19, Adresse MAC 00:04:0f :fd :ac :fe ge-0/0/20, Adresse MAC 00:04 :ae :cd :23:5f |
L’imprimante avec l’adresse MAC 00:04:0f :fd :ac :fe est connectée à l’interface ge-0/0/19d’accès . Une deuxième imprimante avec l’adresse MAC 00:04 :ae :cd :23:5f est connectée à l’interface ge-0/0/20d’accès. Les deux imprimantes seront ajoutées à la liste statique et contourneront l’authentification 802.1X.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement l’authentification MAC statique, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du routeur :
[edit] set protocols authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols authentication-access-control interface all supplicant multiple set protocols authentication-access-control authenticaton-profile-name profile1
Procédure étape par étape
Configurez l’authentification MAC statique :
Configurez les adresses 00:04:0f:fd:ac:fe MAC et 00:04:ae:cd:23:5f en tant qu’adresses MAC statiques :
[edit protocols] user@router# set authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Configurez la méthode d’authentification 802.1X :
[edit protocols] user@router# set authentication-access-control interface all supplicant multiple
Configurez le nom du profil d’authentification (nom du profil d’accès) à utiliser pour l’authentification :
[edit protocols] user@router# set authentication-access-control authentication-profile-name profile1
REMARQUE :La configuration du profil d’accès n’est requise que pour les clients 802.1X, et non pour les clients MAC statiques.
Résultats
Affichez les résultats de la configuration :
user@router> show
interfaces {
ge-0/0/19 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
ge-0/0/20 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
}
protocols {
authentication-access-control {
authentication-profile-name profile1;
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification du contournement de l’authentification MAC statique
But
Vérifiez que l’adresse MAC des deux imprimantes est configurée et associée aux interfaces appropriées.
Action
Utilisez la commande du mode opérationnel :
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Sens
Le champ MAC address de sortie affiche les adresses MAC des deux imprimantes.
Le champ Interface de sortie indique que l’adresse MAC 00:04:0f:fd:ac:fe peut se connecter au réseau local via l’interface ge-0/0/19.0 et que l’adresse MAC 00:04:ae:cd:23:5f peut se connecter au réseau local via l’interface ge-0/0/20.0.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.