Ejemplo: Configuración de la omisión MAC estática de la autenticación en un enrutador de la serie MX
A partir de Junos OS versión 14.2, para permitir que los dispositivos accedan a su LAN a través de interfaces configuradas para 802.1X sin autenticación, puede configurar una lista de omisión de MAC estática en el enrutador de la serie MX. La lista de omisión de MAC estática, también conocida como lista de exclusión, especifica las direcciones MAC que se permiten en el enrutador sin una solicitud a un servidor de autenticación.
Puede utilizar la omisión MAC estática de la autenticación para permitir la conexión de dispositivos que no están habilitados para 802.1X, como las impresoras. Si la dirección MAC de un host se compara y se compara con la lista de direcciones MAC estáticas, se autentica el host que no responde y se le abre una interfaz.
En este ejemplo se describe cómo configurar la omisión MAC estática de autenticación para dos impresoras:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 14.2 o posterior para enrutadores MX240, MX480 o MX960 que se ejecutan en modo LAN mejorado.
Un enrutador que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Antes de conectar el servidor al enrutador, asegúrese de que dispone de:
Se configuró el modo LAN mejorado en el enrutador.
Se realizó la configuración básica de puentes y VLAN en el enrutador.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
Para permitir que las impresoras accedan a la LAN, agréguelas a la lista de omisión de MAC estática. A las direcciones MAC de esta lista se les permite el acceso sin autenticación desde el servidor RADIUS.
Considere un enrutador de la serie MX que funciona como un puerto de autenticación. Se conecta mediante la interfaz, ge-0/0/10, a través de la red IP a un servidor RADIUS. El enrutador también está vinculado a una sala de conferencias que utiliza la interfaz, ge-0/0/1, a una impresora que utiliza la interfaz, ge-0/0/20, a un concentrador que utiliza la interfaz, ge-0/0/8, y a dos suplicantes o clientes a través de interfaces, ge-0/0/2 y ge-0/0/9 respectivamente.
Las interfaces que se muestran en Tabla 1 se configurarán para la autenticación MAC estática.
| Propiedad | Configuraciones |
|---|---|
Hardware del enrutador |
Enrutador serie MX |
Nombre de VLAN |
default |
Conexiones a impresoras/fax/copiadoras integradas (no requiere PoE) |
ge-0/0/19, dirección MAC 00:04:0f:fd:ac:fe ge-0/0/20, dirección MAC 00:04:ae:cd:23:5f |
La impresora con la dirección MAC 00:04:0f:fd:ac:fe está conectada a la interfaz ge-0/0/19de acceso. Una segunda impresora con la dirección MAC 00:04:ae:cd:23:5f está conectada a la interfaz ge-0/0/20de acceso. Ambas impresoras se agregarán a la lista estática y omitirán la autenticación 802.1X.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la autenticación MAC estática, copie los siguientes comandos y péguelos en la ventana del terminal del enrutador:
[edit] set protocols authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols authentication-access-control interface all supplicant multiple set protocols authentication-access-control authenticaton-profile-name profile1
Procedimiento paso a paso
Configure la autenticación MAC estática:
Configurar direcciones 00:04:0f:fd:ac:fe MAC y 00:04:ae:cd:23:5f como direcciones MAC estáticas:
[edit protocols] user@router# set authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Configure el método de autenticación 802.1X:
[edit protocols] user@router# set authentication-access-control interface all supplicant multiple
Configure el nombre del perfil de autenticación (nombre del perfil de acceso) que se usará para la autenticación:
[edit protocols] user@router# set authentication-access-control authentication-profile-name profile1
Nota:La configuración del perfil de acceso solo es necesaria para clientes 802.1X, no para clientes MAC estáticos.
Resultados
Mostrar los resultados de la configuración:
user@router> show
interfaces {
ge-0/0/19 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
ge-0/0/20 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
}
protocols {
authentication-access-control {
authentication-profile-name profile1;
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Verificación de la omisión MAC estática de la autenticación
Propósito
Verifique que la dirección MAC de ambas impresoras esté configurada y asociada con las interfaces correctas.
Acción
Utilice el comando del modo operativo:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Significado
El campo MAC address de salida muestra las direcciones MAC de las dos impresoras.
El campo Interface de salida muestra que la dirección 00:04:0f:fd:ac:fe MAC puede conectarse a la LAN a través de la interfaz ge-0/0/19.0 y que la dirección 00:04:ae:cd:23:5f MAC puede conectarse a la LAN a través de la interfaz ge-0/0/20.0.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.