Dérivation MAC statique de 802.1X et authentification RADIUS MAC
Junos OS vous permet de configurer l’accès à votre réseau lan via les interfaces configurées 802.1X sans authentification, en configurant une liste de dérivation MAC statique sur le commutateur EX Series réseau. La liste de dérivation MAC statique, également appelée liste d’exclusion,spécifie les adresses MAC autorisées sur le commutateur sans envoyer de demande à un serveur d’authentification. Pour plus d’informations, lisez ce sujet.
Configuration de la dérivation MAC statique de 802.1X et de l’authentification RADIUS MAC (CLI)
Vous pouvez configurer une liste de dérivation MAC statique (parfois appelée liste d’exclusion) sur le commutateur pour spécifier les adresses MAC des équipements autorisés au réseau sans 802.1X ou MAC RADIUS demandes d’authentification au serveur RADIUS.
Pour configurer la liste de dérivation MAC statique:
Indiquez une adresse MAC pour contourner l’authentification:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
Configurez un demandeur pour contourner l’authentification s’il est connecté par une interface particulière:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
Configurez un demandeur pour qu’il soit transféré vers un VLAN spécifique une fois qu’il est authentifié:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
Voir également
Exemple: Configuration de la dérivation MAC statique de 802.1X et de l’RADIUS MAC sur un EX Series commutateur
Pour permettre aux équipements d’accéder à votre réseau lan via les interfaces configurées 802.1X sans authentification, vous pouvez configurer une liste de dérivation MAC statique sur EX Series commutateur. La liste de dérivation MAC statique, également appelée liste d’exclusion,spécifie les adresses MAC autorisées sur le commutateur sans envoyer de demande à un serveur d’authentification.
Vous pouvez utiliser la dérivation de l’authentification MAC statique pour permettre la connexion aux équipements non 802.1X, tels que les imprimantes. Si l’adresse MAC d’un hôte est comparée à la liste d’adresses MAC statiques, l’hôte non répondeur est authentifié et une interface lui est ouverte.
Cet exemple décrit comment configurer la dérivation de l’authentification MAC statique pour deux imprimantes:
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants:
Cet exemple s’applique également QFX5100 commutateurs.
Junos OS version 9.0 ou ultérieure pour les EX Series commutateurs
Un commutateur EX Series agit comme une entité d’accès authentifiée authentifiée au port (PAE). Les ports du paE authentifié forment une porte de contrôle qui bloque l’ensemble du trafic à l’entrée et à l’sortie des demandeurs jusqu’à ce qu’ils soient authentifiés.
Avant de configurer la dérivation mac statique de l’authentification, assurez-vous d’avoir:
Exécuté un pontage de base et une configuration VLAN sur le commutateur. Consultez la documentation décrivent la configuration d’un pontage de base et un VLAN pour votre commutateur. Si vous utilisez un commutateur qui prend en charge le style de configuration ELS (Enhanced Layer 2 Software), consultez l’exemple: Configuration d’un pontage de base et d’un VLAN pour EX Series avec la prise en charge ELS ou exemple: Configuration d’un pontage de base et d’un VLAN sur les commutateurs. Pour tous les autres commutateurs, consultez l’exemple: Configuration d’un pontage de base et d’un VLAN pour EX Series commutateur.
Pour en savoir plus sur ELS, consultez: Utilisation du logiciel Enhanced Layer 2 Software CLI.
A spécifié les connexions RADIUS serveur et configuré un profil d’accès sur le commutateur. Voir l’exemple: Connexion d’RADIUS serveur 802.1X à un EX Series réseau .
Présentation et topologie
Pour permettre aux imprimantes d’accéder au réseau LAN, ajoutez-les à la liste de dérivation MAC statique. Les adresses MAC de cette liste sont autorisées sans authentification RADIUS serveur.
Figure 1 montre les deux imprimantes connectées au EX4200.
Ce chiffre s’applique également QFX5100 commutateurs.
Les interfaces affichées dans cette interface seront configurées pour une Tableau 1 dérivation de l’authentification MAC statique.
| Propriété | Paramètres |
|---|---|
Matériel de commutage |
EX4200, 24 ports Gigabit Ethernet: 16 ports non-PoE et 8 ports PoE |
Nom du VLAN |
|
Connexions à des machines imprimantes/fax/copieurs intégrées (aucun PoE requis) |
|
L’imprimante avec l’adresse MAC 00:04:0f:fd:ac:fe est connectée à l’interface ge-0/0/19 d’accès. Une seconde imprimante avec l’adresse MAC 00:04:ae:cd:23:5f est connectée à l’interface ge-0/0/20 d’accès. Ces deux imprimantes sont ajoutées à la liste statique et contournent l’authentification 802.1X.
Topologie
Configuration
Procédure
CLI configuration rapide
Pour configurer rapidement la liste de dérivation MAC statique, copiez les commandes suivantes et collez-les dans la fenêtre de borne du commutateur:
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
Procédure étape par étape
Configurez la liste de dérivation MAC statique:
Configurer les adresses MAC et
00:04:0f:fd:ac:fe00:04:ae:cd:23:5fles adresses MAC statiques:[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Configurer la méthode d’authentification 802.1X:
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
Configurez le nom du profil d’authentification (nom du profil d’accès) à utiliser pour l’authentification:
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
Remarque :La configuration du profil d’accès est requise uniquement pour les clients 802.1X et non pour les clients MAC statiques.
Résultats
Afficher les résultats de la configuration:
user@switch> show
interfaces {
ge-0/0/19 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
ge-0/0/20 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
}
protocols {
dot1x {
authenticator {
authentication-profile-name profile1
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, exécutez les tâches suivantes:
Vérification de la dérivation de l’authentification MAC statique
But
Vérifiez que les adresses MAC des deux imprimantes sont configurées et associées aux interfaces correctes.
Action
Numéro de commande du mode opérationnel:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Sens
Le champ de MAC address sortie affiche les adresses MAC des deux imprimantes.
Le champ de sortie indique que l’adresse MAC peut se connecter au réseau LAN via l’interface et que celle-ci peut se connecter au réseau par le biais Interface00:04:0f:fd:ac:fe de ge-0/0/19.000:04:ae:cd:23:5f l’interface. ge-0/0/20.0