Contournement MAC statique de 802.1X et authentification MAC RADIUS
Junos OS vous permet de configurer l’accès à votre réseau local via des interfaces configurées 802.1X sans authentification, en configurant une liste de contournement MAC statique sur le commutateur EX Series. La liste de contournement MAC statique, également connue sous le nom de liste d’exclusion, spécifie les adresses MAC autorisées sur le commutateur sans envoyer de demande à un serveur d’authentification. Pour plus d’informations, consultez cette rubrique.
Si vous ajoutez une entrée d’adresse MAC statique à la table de commutation Ethernet, cela a le même effet que d’ajouter une adresse MAC à la liste de contournement MAC statique. Pour plus d’informations sur la configuration des entrées d’adresse MAC statiques, reportez-vous à la section MAC Addresses.
Configuration du contournement MAC statique de 802.1X et de l’authentification MAC RADIUS (procédure CLI)
Vous pouvez configurer une liste de contournement MAC statique (parfois appelée liste d’exclusion) sur le commutateur pour spécifier les adresses MAC des périphériques autorisés à accéder au réseau local sans demandes d’authentification 802.1X ou MAC RADIUS au serveur RADIUS.
Pour configurer la liste de contournement MAC statique :
Spécifiez une adresse MAC pour contourner l’authentification :
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
Configurez un demandeur pour contourner l’authentification s’il est connecté via une interface particulière :
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
Configurez un demandeur pour qu’il soit déplacé vers un VLAN spécifique une fois qu’il est authentifié :
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
Voir également
Exemple : Configuration du contournement MAC statique de 802.1X et de l’authentification MAC RADIUS sur un commutateur EX Series
Pour permettre aux périphériques d’accéder à votre réseau local via des interfaces configurées 802.1X sans authentification, vous pouvez configurer une liste de contournement MAC statique sur le commutateur EX Series. La liste de contournement MAC statique, également connue sous le nom de liste d’exclusion, spécifie les adresses MAC autorisées sur le commutateur sans envoyer de demande à un serveur d’authentification.
Vous pouvez utiliser le contournement MAC statique de l’authentification pour autoriser la connexion de périphériques qui ne sont pas compatibles 802.1X, tels que les imprimantes. Si l’adresse MAC d’un hôte est comparée et comparée à la liste d’adresses MAC statique, l’hôte non réactif est authentifié et une interface est ouverte pour lui.
Cet exemple décrit comment configurer le contournement MAC statique de l’authentification pour deux imprimantes :
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Cet exemple s’applique également aux commutateurs QFX5100.
Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series faisant office d’entité d’accès au port d’authentification (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Avant de configurer le contournement de l’authentification MAC statique, assurez-vous d’avoir :
Effectuez le pontage de base et la configuration VLAN sur le commutateur - effectué. Consultez la documentation décrivant la configuration d’un pontage de base et d’un VLAN pour votre commutateur. Si vous utilisez un commutateur qui prend en charge le style de configuration ELS (Enhanced L2 Software), reportez-vous à la section Exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS ou exemple : Mise en place d’un pontage de base et d’un VLAN sur les commutateurs. Pour tous les autres commutateurs, reportez-vous à la section Exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series.
Pour en savoir plus sur ELS, voir : à l’aide de la CLI logicielle de couche 2 améliorée.
Spécifiez les connexions du serveur RADIUS et configurez un profil d’accès sur le commutateur - effectué. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
Vue d’ensemble et topologie
Pour permettre aux imprimantes d’accéder au réseau local, ajoutez-les à la liste de contournement MAC statique. Les adresses MAC de cette liste sont autorisées à accéder sans authentification à partir du serveur RADIUS.
Figure 1 montre les deux imprimantes connectées à l’EX4200.
Ce chiffre s’applique également aux commutateurs QFX5100.
Les interfaces illustrées dans Tableau 1 seront configurées pour le contournement MAC statique de l’authentification.
Propriété | Paramètres |
---|---|
Matériel de commutation |
EX4200, 24 ports Ethernet Gigabit : 16 ports non-PoE et 8 ports PoE ( |
Nom du VLAN |
|
Connexions à des imprimantes/télécopieurs/photocopieurs intégrés (pas de PoE requis) |
|
L’imprimante avec l’adresse MAC 00 :04 :0f :fd :ac :fe est connectée à l’interface ge-0/0/19
d’accès . Une deuxième imprimante avec l’adresse MAC 00 :04 :ae :cd :23 :5f est connectée à l’interface ge-0/0/20
d’accès. Les deux imprimantes seront ajoutées à la liste statique et contourneront l’authentification 802.1X.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la liste de dérivation MAC statique, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
Procédure étape par étape
Configurez la liste de contournement MAC statique :
Configurez les adresses MAC et
00:04:ae:cd:23:5f
en tant qu’adresses00:04:0f:fd:ac:fe
MAC statiques :[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Configurez la méthode d’authentification 802.1X :
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
Configurez le nom du profil d’authentification (nom du profil d’accès) à utiliser pour l’authentification :
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
REMARQUE :La configuration du profil d’accès n’est requise que pour les clients 802.1X, et non pour les clients MAC statiques.
Résultats
Affichez les résultats de la configuration :
user@switch> show interfaces { ge-0/0/19 { unit 0 { family ethernet-switching { vlan members default; } } } ge-0/0/20 { unit 0 { family ethernet-switching { vlan members default; } } } } protocols { dot1x { authenticator { authentication-profile-name profile1 static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]; interface { all { supplicant multiple; } } } } }
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification du contournement de l’authentification MAC statique
But
Vérifiez que les adresses MAC des deux imprimantes sont configurées et associées aux interfaces appropriées.
Action
Exécutez la commande du mode opérationnel :
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Sens
Le champ MAC address
de sortie affiche les adresses MAC des deux imprimantes.
Le champ Interface
de sortie indique que l’adresse MAC peut se connecter au réseau local via l’interface et que l’adresse MAC 00:04:ae:cd:23:5f
00:04:0f:fd:ac:fe
peut se connecter au réseau local via l’interface ge-0/0/19.0
ge-0/0/20.0
.