Ejemplo: Configuración de la omisión de autenticación mac estática en un enrutador serie MX
A partir de Junos OS versión 14.2, para permitir que los dispositivos accedan a su LAN a través de interfaces configuradas por 802.1X sin autenticación, puede configurar una lista de omisión MAC estática en el enrutador de la serie MX. La lista de omisión de MAC estática, también conocida como lista de exclusión, especifica las direcciones MAC que se permiten en el enrutador sin una solicitud a un servidor de autenticación.
Puede usar la autenticación de omisión de MAC estática para permitir la conexión para dispositivos que no estén habilitados con la 802.1X, como las impresoras. Si se compara la dirección MAC de un host y se hace coincidir con la lista de direcciones MAC estáticas, el host que no responde se autentica y se abre una interfaz para él.
En este ejemplo, se describe cómo configurar la omisión de autenticación de MAC estática para dos impresoras:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 14.2 o posterior para enrutadores MX240, MX480 o MX960 que se ejecutan en modo LAN mejorado.
Un enrutador que actúa como entidad de acceso a puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Antes de conectar el servidor al enrutador, asegúrese de que tiene lo siguiente:
Configurado el modo LAN mejorado en el enrutador.
Realizó puentes básicos y configuración de VLAN en el enrutador.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
Para permitir que las impresoras accedan a la LAN, añádalas a la lista de omisión de MAC estática. Se permite el acceso a las direcciones MAC de esta lista sin autenticación del servidor RADIUS.
Considere un enrutador de la serie MX que funcione como un puerto de autenticación. Se conecta mediante la interfaz ge-0/0/10 a través de la red IP a un servidor RADIUS. El enrutador también está vinculado a una sala de conferencias mediante la interfaz, ge-0/0/1, a una impresora que usa la interfaz, ge-0/0/20, a un concentrador que usa la interfaz, ge-0/0/8, y a dos suplicantes o clientes a través de interfaces, ge-0/0/2 y ge-0/0/9 respectivamente.
Las interfaces que se muestran en Tabla 1 se configurarán para la autenticación MAC estática.
| Propiedad | Configuración |
|---|---|
Hardware del enrutador |
enrutador serie MX |
Nombre de VLAN |
default |
Conexiones a impresoras/faxes/copiadoras integradas (no se requiere PoE) |
ge-0/0/19, dirección MAC 00:04:0f:fd:ac:fe ge-0/0/20, dirección MAC 00:04:ae:cd:23:5f |
La impresora con la dirección MAC 00:04:0f:fd:ac:fe está conectada a la interfaz ge-0/0/19de acceso. Una segunda impresora con la dirección MAC 00:04:ae:cd:23:5f está conectada para acceder a la interfaz ge-0/0/20. Ambas impresoras se agregarán a la lista estática y se omitirá la autenticación 802.1X.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la autenticación MAC estática, copie los siguientes comandos y péguelos en la ventana terminal del enrutador:
[edit] set protocols authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols authentication-access-control interface all supplicant multiple set protocols authentication-access-control authenticaton-profile-name profile1
Procedimiento paso a paso
Configurar la autenticación MAC estática:
Configure direcciones 00:04:0f:fd:ac:fe MAC y 00:04:ae:cd:23:5f como direcciones MAC estáticas:
[edit protocols] user@router# set authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Configure el método de autenticación 802.1X:
[edit protocols] user@router# set authentication-access-control interface all supplicant multiple
Configure el nombre del perfil de autenticación (nombre de perfil de acceso) para usar para la autenticación:
[edit protocols] user@router# set authentication-access-control authentication-profile-name profile1
Nota:La configuración del perfil de acceso solo es necesaria para los clientes 802.1X, no para los clientes MAC estáticos.
Resultados
Mostrar los resultados de la configuración:
user@router> show
interfaces {
ge-0/0/19 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
ge-0/0/20 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
}
protocols {
authentication-access-control {
authentication-profile-name profile1;
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar la omisión de autenticación de MAC estática
Propósito
Compruebe que la dirección MAC de ambas impresoras está configurada y asociada con las interfaces correctas.
Acción
Utilice el comando de modo operativo:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Significado
El campo MAC address de salida muestra las direcciones MAC de las dos impresoras.
El campo Interface de salida muestra que la dirección 00:04:0f:fd:ac:fe MAC puede conectarse a la LAN mediante interfaz ge-0/0/19.0 y que la dirección 00:04:ae:cd:23:5f MAC puede conectarse a la LAN a través de la interfaz ge-0/0/20.0.