Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Dérivation MAC statique de 802.1X et authentification RADIUS MAC

Junos OS vous permet de configurer l’accès à votre réseau lan via les interfaces configurées 802.1X sans authentification, en configurant une liste de dérivation MAC statique sur le commutateur EX Series réseau. La liste de dérivation MAC statique, également appelée liste d’exclusion,spécifie les adresses MAC autorisées sur le commutateur sans envoyer de demande à un serveur d’authentification. Pour plus d’informations, lisez ce sujet.

Configuration de la dérivation MAC statique de 802.1X et de l’authentification RADIUS MAC (CLI)

Vous pouvez configurer une liste de dérivation MAC statique (parfois appelée liste d’exclusion) sur le commutateur pour spécifier les adresses MAC des équipements autorisés au réseau sans 802.1X ou MAC RADIUS demandes d’authentification au serveur RADIUS.

Pour configurer la liste de dérivation MAC statique:

  • Indiquez une adresse MAC pour contourner l’authentification:

  • Configurez un demandeur pour contourner l’authentification s’il est connecté par une interface particulière:

  • Configurez un demandeur pour qu’il soit transféré vers un VLAN spécifique une fois qu’il est authentifié:

Exemple: Configuration de la dérivation MAC statique de 802.1X et de l’RADIUS MAC sur un EX Series commutateur

Pour permettre aux équipements d’accéder à votre réseau lan via les interfaces configurées 802.1X sans authentification, vous pouvez configurer une liste de dérivation MAC statique sur EX Series commutateur. La liste de dérivation MAC statique, également appelée liste d’exclusion,spécifie les adresses MAC autorisées sur le commutateur sans envoyer de demande à un serveur d’authentification.

Vous pouvez utiliser la dérivation de l’authentification MAC statique pour permettre la connexion aux équipements non 802.1X, tels que les imprimantes. Si l’adresse MAC d’un hôte est comparée à la liste d’adresses MAC statiques, l’hôte non répondeur est authentifié et une interface lui est ouverte.

Cet exemple décrit comment configurer la dérivation de l’authentification MAC statique pour deux imprimantes:

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants:

Remarque :

Cet exemple s’applique également QFX5100 commutateurs.

  • Junos OS version 9.0 ou ultérieure pour les EX Series commutateurs

  • Un commutateur EX Series agit comme une entité d’accès authentifiée authentifiée au port (PAE). Les ports du paE authentifié forment une porte de contrôle qui bloque l’ensemble du trafic à l’entrée et à l’sortie des demandeurs jusqu’à ce qu’ils soient authentifiés.

Avant de configurer la dérivation mac statique de l’authentification, assurez-vous d’avoir:

Présentation et topologie

Pour permettre aux imprimantes d’accéder au réseau LAN, ajoutez-les à la liste de dérivation MAC statique. Les adresses MAC de cette liste sont autorisées sans authentification RADIUS serveur.

Figure 1 montre les deux imprimantes connectées au EX4200.

Remarque :

Ce chiffre s’applique également QFX5100 commutateurs.

Figure 1 : Topologie pour la dérivation MAC statique de la configuration d’authentificationTopologie pour la dérivation MAC statique de la configuration d’authentification

Les interfaces affichées dans cette interface seront configurées pour une Tableau 1 dérivation de l’authentification MAC statique.

Tableau 1 : Composants de la topologie de configuration d’authentification dérivation MAC statique
Propriété Paramètres

Matériel de commutage

EX4200, 24 ports Gigabit Ethernet: 16 ports non-PoE et 8 ports PoE ge-0/0/0 (via ge-0/0/23 )

Nom du VLAN

default

Connexions à des machines imprimantes/fax/copieurs intégrées (aucun PoE requis)

ge-0/0/19, adresse MAC 00:04:0f:fd:ac:fe ge-0/0/20, adresse MAC 00:04:ae:cd:23:5f

L’imprimante avec l’adresse MAC 00:04:0f:fd:ac:fe est connectée à l’interface ge-0/0/19 d’accès. Une seconde imprimante avec l’adresse MAC 00:04:ae:cd:23:5f est connectée à l’interface ge-0/0/20 d’accès. Ces deux imprimantes sont ajoutées à la liste statique et contournent l’authentification 802.1X.

Topologie

Configuration

Procédure

CLI configuration rapide

Pour configurer rapidement la liste de dérivation MAC statique, copiez les commandes suivantes et collez-les dans la fenêtre de borne du commutateur:

Procédure étape par étape

Configurez la liste de dérivation MAC statique:

  1. Configurer les adresses MAC et 00:04:0f:fd:ac:fe00:04:ae:cd:23:5f les adresses MAC statiques:

  2. Configurer la méthode d’authentification 802.1X:

  3. Configurez le nom du profil d’authentification (nom du profil d’accès) à utiliser pour l’authentification:

    Remarque :

    La configuration du profil d’accès est requise uniquement pour les clients 802.1X et non pour les clients MAC statiques.

Résultats

Afficher les résultats de la configuration:

Vérification

Pour vérifier que la configuration fonctionne correctement, exécutez les tâches suivantes:

Vérification de la dérivation de l’authentification MAC statique

But

Vérifiez que les adresses MAC des deux imprimantes sont configurées et associées aux interfaces correctes.

Action

Numéro de commande du mode opérationnel:

Sens

Le champ de MAC address sortie affiche les adresses MAC des deux imprimantes.

Le champ de sortie indique que l’adresse MAC peut se connecter au réseau LAN via l’interface et que celle-ci peut se connecter au réseau par le biais Interface00:04:0f:fd:ac:fe de ge-0/0/19.000:04:ae:cd:23:5f l’interface. ge-0/0/20.0