Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bypass MAC estático de autenticación 802.1X y MAC RADIUS

Junos OS le permite configurar el acceso a su LAN a través de interfaces configuradas por 802.1X sin autenticación, mediante la configuración de una lista de omisión MAC estática en el conmutador de la serie EX. La lista de omisión MAC estática, también conocida como lista de exclusión, especifica las direcciones MAC que se permiten en el conmutador sin enviar una solicitud a un servidor de autenticación. Para obtener más información, lea este tema.

Nota:

Si agrega una entrada de dirección MAC estática a la tabla de conmutación Ethernet, esto tiene el mismo efecto que agregar una dirección MAC a la lista de omisión MAC estática. Para obtener información sobre cómo configurar entradas de dirección MAC estáticas, consulte MAC Addresses.

Configuración de la omisión MAC estática de autenticación 802.1X y MAC RADIUS (procedimiento de CLI)

Puede configurar una lista de omisión MAC estática (a veces denominada lista de exclusión) en el conmutador para especificar direcciones MAC de dispositivos con acceso permitido a la LAN sin solicitudes de autenticación 802.1X o MAC RADIUS al servidor RADIUS.

Para configurar la lista de omisión MAC estática:

  • Especifique una dirección MAC para omitir la autenticación:

  • Configure un suplicante para omitir la autenticación si está conectada a través de una interfaz determinada:

  • Configure un suplicante para que se mueva a una VLAN específica después de autenticarla:

Ejemplo: Configuración de bypass MAC estático de autenticación 802.1X y MAC RADIUS en un conmutador de la serie EX

Para permitir que los dispositivos accedan a su LAN a través de interfaces configuradas por 802.1X sin autenticación, puede configurar una lista de omisión MAC estática en el conmutador de la serie EX. La lista de omisión MAC estática, también conocida como lista de exclusión, especifica las direcciones MAC que se permiten en el conmutador sin enviar una solicitud a un servidor de autenticación.

Puede usar la omisión de autenticación mac estática para permitir la conexión de dispositivos que no están habilitados para 802.1X, como las impresoras. Si se compara la dirección MAC de un host y se hace coincidir con la lista de direcciones MAC estáticas, el host no responde se autentica y se abre una interfaz para ella.

En este ejemplo, se describe cómo configurar la omisión de autenticación mac estática para dos impresoras:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a conmutadores QFX5100.

  • Junos OS versión 9.0 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX que actúa como una entidad de acceso de puerto de autenticador (PAE). Los puertos del AUTENTICADOR PAE forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentifican.

Antes de configurar la omisión de autenticación mac estática, asegúrese de tener lo siguiente:

Descripción general y topología

Para permitir que las impresoras accedan a la LAN, agréguelas a la lista de omisión mac estática. Se permite el acceso a las direcciones MAC de esta lista sin autenticación desde el servidor RADIUS.

Figura 1 muestra las dos impresoras conectadas al EX4200.

Nota:

Esta figura también se aplica a los conmutadores QFX5100.

Figura 1: Topología para la omisión de autenticación estática macTopología para la omisión de autenticación estática mac

Las interfaces que se muestran en Tabla 1 se configurarán para la omisión de autenticación mac estática.

Tabla 1: Componentes de la topología de configuración de autenticación de omisión mac estática
Propiedad Configuración

Hardware del conmutador

EX4200, 24 puertos Gigabit Ethernet: 16 puertos no PoE y 8 puertos PoE (ge-0/0/0 a través ge-0/0/23)

Nombre de VLAN

default

Conexiones a máquinas de impresora/fax/copiadora integradas (no se requiere PoE)

ge-0/0/19, dirección MAC 00:04:0f:fd:ac:fe ge-0/0/20, dirección MAC 00:04:ae:cd:23:5f

La impresora con la dirección MAC 00:04:0f:fd:ac:fe está conectada a la interfaz ge-0/0/19de acceso. Una segunda impresora con la dirección MAC 00:04:ae:cd:23:5f está conectada a la interfaz ge-0/0/20de acceso. Ambas impresoras se agregarán a la lista estática y omitirán la autenticación 802.1X.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la lista de omisión MAC estática, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Configure la lista de omisión MAC estática:

  1. Configure direcciones 00:04:0f:fd:ac:fe MAC y 00:04:ae:cd:23:5f como direcciones MAC estáticas:

  2. Configure el método de autenticación 802.1X:

  3. Configure el nombre del perfil de autenticación (nombre del perfil de acceso) para usarlo para la autenticación:

    Nota:

    La configuración del perfil de acceso solo es necesaria para clientes 802.1X, no para clientes MAC estáticos.

Resultados

Muestra los resultados de la configuración:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar la omisión de autenticación estática de MAC

Propósito

Compruebe que las direcciones MAC de ambas impresoras estén configuradas y asociadas con las interfaces correctas.

Acción

Ejecute el comando del modo operativo:

Significado

El campo MAC address de salida muestra las direcciones MAC de las dos impresoras.

El campo Interface de salida muestra que la dirección 00:04:0f:fd:ac:fe MAC puede conectarse a la LAN a través de la interfaz ge-0/0/19.0 y que la dirección 00:04:ae:cd:23:5f MAC puede conectarse a la LAN a través de la interfaz ge-0/0/20.0.