Bypass MAC estático de autenticación 802.1X y MAC RADIUS
Junos OS le permite configurar el acceso a la LAN a través de interfaces configuradas por 802.1X sin autenticación, mediante la configuración de una lista de omisión de MAC estática en el conmutador de la serie EX. La lista de omisión de MAC estática, también conocida como lista de exclusión, especifica las direcciones MAC que se permiten en el conmutador sin enviar una solicitud a un servidor de autenticación. Para obtener más información, lea este tema.
Si agrega una entrada de dirección MAC estática a la tabla de conmutación Ethernet, esto tiene el mismo efecto que agregar una dirección MAC a la lista de omisión MAC estática. Para obtener más información sobre cómo configurar entradas de dirección MAC estáticas, consulte MAC Addresses.
Configuración de la derivación mac estática de 802.1X y autenticación MAC RADIUS (procedimiento de CLI)
Puede configurar una lista de omisión DE MAC estática (a veces llamada lista de exclusión) en el conmutador para especificar direcciones MAC de dispositivos con acceso a la LAN sin solicitudes de autenticación 802.1X o MAC RADIUS al servidor RADIUS.
Para configurar la lista de omisión de MAC estática:
Especifique una dirección MAC para omitir la autenticación:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
Configure un suplicante para omitir la autenticación si está conectado a través de una interfaz determinada:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
Configure un suplicante para que se mueva a una VLAN específica después de autenticarse:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
Consulte también
Ejemplo: Configuración de la derivación mac estática de autenticación 802.1X y MAC RADIUS en un conmutador de la serie EX
Para permitir que los dispositivos accedan a su LAN a través de interfaces configuradas por 802.1X sin autenticación, puede configurar una lista de omisión DE MAC estática en el conmutador de la serie EX. La lista de omisión de MAC estática, también conocida como lista de exclusión, especifica las direcciones MAC que se permiten en el conmutador sin enviar una solicitud a un servidor de autenticación.
Puede usar la autenticación de omisión de MAC estática para permitir la conexión para dispositivos que no estén habilitados con la 802.1X, como las impresoras. Si se compara la dirección MAC de un host y se hace coincidir con la lista de direcciones MAC estáticas, el host que no responde se autentica y se abre una interfaz para él.
En este ejemplo, se describe cómo configurar la omisión de autenticación de MAC estática para dos impresoras:
Requisitos
En este ejemplo, se usan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Junos OS versión 9.0 o posterior para conmutadores serie EX
Un conmutador de la serie EX que actúa como una entidad de acceso a puerto (PAE) de autenticador. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Antes de configurar la omisión de autenticación de MAC estática, asegúrese de que tiene lo siguiente:
Realizó puentes básicos y configuración de VLAN en el conmutador. Consulte la documentación que describe la configuración de puentes básicos y una VLAN para el conmutador. Si utiliza un conmutador compatible con el estilo de configuración Enhanced Layer 2 Software (ELS), consulte ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX con soporte ELS o ejemplo: Configurar puentes básicos y una VLAN en conmutadores. Para todos los demás conmutadores, consulte ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Para obtener más información acerca de ELS, consulte: Uso de la CLI de software de capa 2 mejorada.
Especificó las conexiones del servidor RADIUS y configuró un perfil de acceso en el conmutador. Vea el ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
Descripción general y topología
Para permitir que las impresoras accedan a la LAN, añádalas a la lista de omisión de MAC estática. Se permite el acceso a las direcciones MAC de esta lista sin autenticación del servidor RADIUS.
Figura 1 muestra las dos impresoras conectadas al EX4200.
Esta figura también se aplica a los conmutadores QFX5100.
Las interfaces que se muestran en Tabla 1 se configurarán para la omisión estática mac de autenticación.
| Propiedad | Configuración |
|---|---|
Hardware del conmutador |
EX4200, 24 puertos Gigabit Ethernet: 16 puertos que no son PoE y 8 puertos PoE ( |
Nombre de VLAN |
|
Conexiones a impresoras/faxes/copiadoras integradas (no se requiere PoE) |
|
La impresora con la dirección MAC 00:04:0f:fd:ac:fe está conectada a la interfaz ge-0/0/19de acceso. Una segunda impresora con la dirección MAC 00:04:ae:cd:23:5f está conectada para acceder a la interfaz ge-0/0/20. Ambas impresoras se agregarán a la lista estática y se omitirá la autenticación 802.1X.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la lista de omisión de MAC estática, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
Procedimiento paso a paso
Configure la lista de omisión de MAC estática:
Configure direcciones
00:04:0f:fd:ac:feMAC y00:04:ae:cd:23:5fcomo direcciones MAC estáticas:[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
Configure el método de autenticación 802.1X:
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
Configure el nombre del perfil de autenticación (nombre de perfil de acceso) para usar para la autenticación:
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
Nota:La configuración del perfil de acceso solo es necesaria para los clientes 802.1X, no para los clientes MAC estáticos.
Resultados
Mostrar los resultados de la configuración:
user@switch> show
interfaces {
ge-0/0/19 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
ge-0/0/20 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
}
protocols {
dot1x {
authenticator {
authentication-profile-name profile1
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar la omisión de autenticación de MAC estática
Propósito
Verifique que las direcciones MAC de ambas impresoras estén configuradas y asociadas con las interfaces correctas.
Acción
Emita el comando del modo operativo:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
Significado
El campo MAC address de salida muestra las direcciones MAC de las dos impresoras.
El campo Interface de salida muestra que la dirección 00:04:0f:fd:ac:fe MAC puede conectarse a la LAN mediante interfaz ge-0/0/19.0 y que la dirección 00:04:ae:cd:23:5f MAC puede conectarse a la LAN a través de la interfaz ge-0/0/20.0.