Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Contournement MAC statique de 802.1X et authentification MAC RADIUS

Junos OS vous permet de configurer l’accès à votre réseau LAN via des interfaces configurées 802.1X sans authentification, en configurant une liste de contournement MAC statique sur le commutateur EX Series. La liste statique de contournement MAC, également appelée liste d’exclusion, spécifie les adresses MAC autorisées sur le commutateur sans envoyer de demande à un serveur d’authentification. Pour plus d’informations, lisez ce sujet.

REMARQUE :

Si vous ajoutez une entrée d’adresse MAC statique à la table de commutation Ethernet, cela a le même effet que l’ajout d’une adresse MAC à la liste de contournement MAC statique. Pour plus d’informations sur la configuration des entrées d’adresses MAC statiques, reportez-vous à la section MAC Addresses.

Configuration du contournement MAC statique de 802.1X et de l’authentification MAC RADIUS (procédure CLI)

Vous pouvez configurer une liste de contournement MAC statique (parfois appelée liste d’exclusion) sur le commutateur pour spécifier les adresses MAC des équipements autorisés à accéder au LAN sans demande d’authentification 802.1X ou MAC RADIUS au serveur RADIUS.

Pour configurer la liste de contournement MAC statique :

  • Spécifiez une adresse MAC pour contourner l’authentification :

  • Configurez un demandeur pour contourner l’authentification s’il est connecté via une interface particulière :

  • Configurez un demandeur pour qu’il soit déplacé vers un VLAN spécifique après son authentification :

Exemple : Configuration du contournement MAC statique de 802.1X et de l’authentification MAC RADIUS sur un commutateur EX Series

Pour permettre aux équipements d’accéder à votre réseau LAN via des interfaces configurées 802.1X sans authentification, vous pouvez configurer une liste de contournement MAC statique sur le commutateur EX Series. La liste statique de contournement MAC, également appelée liste d’exclusion, spécifie les adresses MAC autorisées sur le commutateur sans envoyer de demande à un serveur d’authentification.

Vous pouvez utiliser un contournement MAC statique de l’authentification pour autoriser la connexion pour les équipements qui ne sont pas compatibles 802.1X, tels que les imprimantes. Si l’adresse MAC d’un hôte est comparée et mise en correspondance avec la liste d’adresses MAC statique, l’hôte non-répondeur est authentifié et une interface est ouverte.

Cet exemple explique comment configurer un contournement MAC statique de l’authentification pour deux imprimantes :

Conditions préalables

Cet exemple utilise les composants logiciels et matériels suivants :

REMARQUE :

Cet exemple s’applique également aux commutateurs QFX5100.

  • Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series

  • Un commutateur EX Series agissant comme une entité d’accès aux ports d’authentificateur (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic vers et depuis les demandeurs jusqu’à ce qu’ils soient authentifiés.

Avant de configurer un contournement MAC statique de l’authentification, assurez-vous d’avoir :

Présentation et topologie

Pour permettre aux imprimantes d’accéder au LAN, ajoutez-les à la liste de contournement MAC statique. Les adresses MAC de cette liste sont autorisées à accéder sans authentification du serveur RADIUS.

Figure 1 affiche les deux imprimantes connectées à l’EX4200.

REMARQUE :

Ce chiffre s’applique également aux commutateurs QFX5100.

Figure 1 : Topologie pour la configuration statique de contournement MAC de l’authentificationTopologie pour la configuration statique de contournement MAC de l’authentification

Les interfaces indiquées dans Tableau 1 seront configurées pour contourner l’authentification MAC statique.

Tableau 1 : Composants de la topologie de configuration de contournement MAC statique de l’authentification
Propriété Paramètres

Matériel de commutation

EX4200, 24 ports Gigabit Ethernet : 16 ports non PoE et 8 ports PoE (ge-0/0/0 via ge-0/0/23)

Nom du VLAN

default

Connexions aux imprimantes/fax/copieurs intégrées (aucun PoE requis)

ge-0/0/19, adresse MAC 00:04:0f:fd:ac:fe ge-0/0/20, adresse MAC 00:04:ae:cd:23:5f

L’imprimante dont l’adresse MAC est 00:04:0f:fd:ac:fe est connectée à l’interface ge-0/0/19d’accès . Une deuxième imprimante avec l’adresse MAC 00:04:ae:cd:23:5f est connectée à l’interface ge-0/0/20d’accès . Les deux imprimantes seront ajoutées à la liste statique et contourneront l’authentification 802.1X.

topologie

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement la liste de contournement MAC statique, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Configurez la liste statique de contournement MAC :

  1. Configurez les adresses 00:04:0f:fd:ac:fe MAC et 00:04:ae:cd:23:5f en tant qu’adresses MAC statiques :

  2. Configurez la méthode d’authentification 802.1X :

  3. Configurez le nom du profil d’authentification (nom du profil d’accès) à utiliser pour l’authentification :

    REMARQUE :

    La configuration du profil d’accès est requise uniquement pour les clients 802.1X, pas pour les clients MAC statiques.

Résultats

Affichez les résultats de la configuration :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérification du contournement statique de l’authentification MAC

But

Vérifiez que les adresses MAC des deux imprimantes sont configurées et associées aux interfaces appropriées.

Action

Commande du mode opérationnel :

Sens

Le champ MAC address de sortie affiche les adresses MAC des deux imprimantes.

Le champ Interface de sortie montre que l’adresse 00:04:0f:fd:ac:fe MAC peut se connecter au LAN via l’interface ge-0/0/19.0 et que l’adresse 00:04:ae:cd:23:5f MAC peut se connecter au LAN via l’interface ge-0/0/20.0.