Contournement MAC statique de 802.1X et authentification MAC RADIUS
Junos OS vous permet de configurer l’accès à votre réseau LAN via des interfaces configurées 802.1X sans authentification, en configurant une liste de contournement MAC statique sur le commutateur EX Series. La liste statique de contournement MAC, également appelée liste d’exclusion, spécifie les adresses MAC autorisées sur le commutateur sans envoyer de demande à un serveur d’authentification. Pour plus d’informations, lisez ce sujet.
Si vous ajoutez une entrée d’adresse MAC statique à la table de commutation Ethernet, cela a le même effet que l’ajout d’une adresse MAC à la liste de contournement MAC statique. Pour plus d’informations sur la configuration des entrées d’adresses MAC statiques, reportez-vous à la section MAC Addresses.
Configuration du contournement MAC statique de 802.1X et de l’authentification MAC RADIUS (procédure CLI)
Vous pouvez configurer une liste de contournement MAC statique (parfois appelée liste d’exclusion) sur le commutateur pour spécifier les adresses MAC des équipements autorisés à accéder au LAN sans demande d’authentification 802.1X ou MAC RADIUS au serveur RADIUS.
Pour configurer la liste de contournement MAC statique :
Spécifiez une adresse MAC pour contourner l’authentification :
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
Configurez un demandeur pour contourner l’authentification s’il est connecté via une interface particulière :
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
Configurez un demandeur pour qu’il soit déplacé vers un VLAN spécifique après son authentification :
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
Voir également
Exemple : Configuration du contournement MAC statique de 802.1X et de l’authentification MAC RADIUS sur un commutateur EX Series
Pour permettre aux équipements d’accéder à votre réseau LAN via des interfaces configurées 802.1X sans authentification, vous pouvez configurer une liste de contournement MAC statique sur le commutateur EX Series. La liste statique de contournement MAC, également appelée liste d’exclusion, spécifie les adresses MAC autorisées sur le commutateur sans envoyer de demande à un serveur d’authentification.
Vous pouvez utiliser un contournement MAC statique de l’authentification pour autoriser la connexion pour les équipements qui ne sont pas compatibles 802.1X, tels que les imprimantes. Si l’adresse MAC d’un hôte est comparée et mise en correspondance avec la liste d’adresses MAC statique, l’hôte non-répondeur est authentifié et une interface est ouverte.
Cet exemple explique comment configurer un contournement MAC statique de l’authentification pour deux imprimantes :
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Cet exemple s’applique également aux commutateurs QFX5100.
Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series agissant comme une entité d’accès aux ports d’authentificateur (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic vers et depuis les demandeurs jusqu’à ce qu’ils soient authentifiés.
Avant de configurer un contournement MAC statique de l’authentification, assurez-vous d’avoir :
Effectué un pontage de base et une configuration VLAN sur le commutateur. Consultez la documentation qui décrit la configuration du pontage de base et d’un VLAN pour votre commutateur. Si vous utilisez un commutateur qui prend en charge le style de configuration ELS (Enhanced Layer 2 Software), consultez l’exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS ou par exemple : Configuration du pontage de base et d’un VLAN sur les commutateurs. Pour tous les autres commutateurs, voir exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series.
Pour en savoir plus sur ELS, voir : À l’aide de l’interface cli logicielle de couche 2 améliorée.
Spécifiez les connexions au serveur RADIUS et configurez un profil d’accès sur le commutateur. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
Présentation et topologie
Pour permettre aux imprimantes d’accéder au LAN, ajoutez-les à la liste de contournement MAC statique. Les adresses MAC de cette liste sont autorisées à accéder sans authentification du serveur RADIUS.
Figure 1 affiche les deux imprimantes connectées à l’EX4200.
Ce chiffre s’applique également aux commutateurs QFX5100.
Les interfaces indiquées dans Tableau 1 seront configurées pour contourner l’authentification MAC statique.
| Propriété | Paramètres |
|---|---|
Matériel de commutation |
EX4200, 24 ports Gigabit Ethernet : 16 ports non PoE et 8 ports PoE ( |
Nom du VLAN |
|
Connexions aux imprimantes/fax/copieurs intégrées (aucun PoE requis) |
|
L’imprimante dont l’adresse MAC est 00:04:0f:fd:ac:fe est connectée à l’interface ge-0/0/19d’accès . Une deuxième imprimante avec l’adresse MAC 00:04:ae:cd:23:5f est connectée à l’interface ge-0/0/20d’accès . Les deux imprimantes seront ajoutées à la liste statique et contourneront l’authentification 802.1X.
topologie
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement la liste de contournement MAC statique, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
Procédure étape par étape
Configurez la liste statique de contournement MAC :
Configurez les adresses
00:04:0f:fd:ac:feMAC et00:04:ae:cd:23:5fen tant qu’adresses MAC statiques :[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Configurez la méthode d’authentification 802.1X :
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
Configurez le nom du profil d’authentification (nom du profil d’accès) à utiliser pour l’authentification :
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
REMARQUE :La configuration du profil d’accès est requise uniquement pour les clients 802.1X, pas pour les clients MAC statiques.
Résultats
Affichez les résultats de la configuration :
user@switch> show
interfaces {
ge-0/0/19 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
ge-0/0/20 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
}
protocols {
dot1x {
authenticator {
authentication-profile-name profile1
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification du contournement statique de l’authentification MAC
But
Vérifiez que les adresses MAC des deux imprimantes sont configurées et associées aux interfaces appropriées.
Action
Commande du mode opérationnel :
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Sens
Le champ MAC address de sortie affiche les adresses MAC des deux imprimantes.
Le champ Interface de sortie montre que l’adresse 00:04:0f:fd:ac:fe MAC peut se connecter au LAN via l’interface ge-0/0/19.0 et que l’adresse 00:04:ae:cd:23:5f MAC peut se connecter au LAN via l’interface ge-0/0/20.0.