Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Omisión de MAC estática de 802.1 X y MAC RADIUS de autenticación

Junos OS le permite configurar el acceso a la LAN a través de interfaces configuradas con 802.1 X sin autenticación, configurando una lista de omisión de MAC estática en el conmutador de la serie EX. La lista de omisión de MAC estática, también conocida como lista de exclusión, especifica direcciones MAC que se permiten en el conmutador sin enviar una solicitud a un servidor de autenticación. Para obtener más información, lea este tema.

Configuración de la omisión de MAC estática de 802.1 X y MAC RADIUS Authentication (procedimiento de CLI)

Puede configurar una lista de omisión de MAC estática (en ocasiones denominada lista de exclusión) en el conmutador para especificar direcciones MAC de dispositivos que permitan el acceso a la LAN sin 802.1 X o MAC RADIUS solicitudes de autenticación al servidor RADIUS.

Para configurar la lista de omisión de MAC estática:

  • Especifique una dirección MAC para omitir la autenticación:

  • Configure un suplicante para eludir la autenticación si se conecta a través de una interfaz determinada:

  • Configure un suplicante para que se mueva a una VLAN específica después de autenticarse:

Ejemplo Configuración de la omisión de MAC estática de la autenticación de 802.1 X y MAC RADIUS en un conmutador de serie EX

Para permitir que los dispositivos tengan acceso a la LAN a través de interfaces configuradas con 802.1 X sin autenticación, puede configurar una lista de omisión de MAC estática en el conmutador de la serie EX. La lista de omisión de MAC estática, también conocida como lista de exclusión, especifica direcciones MAC que se permiten en el conmutador sin enviar una solicitud a un servidor de autenticación.

Puede usar la omisión de MAC estática de la autenticación para permitir la conexión para dispositivos que no están habilitados para 802.1 X, como las impresoras. Si la dirección MAC de un host se compara y hace coincidir con la lista de direcciones MAC estáticas, el host no responsable se autentica y se abre una interfaz para ella.

En este ejemplo se describe cómo configurar la omisión de MAC estática de autenticación para dos impresoras:

Aplicables

En este ejemplo se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a conmutadores QFX5100.

  • Junos OS versión 9,0 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX que actúe como una entidad de acceso a puertos (PAE) del autenticador. Los puertos del autenticador PAE forman una puerta de control que bloquea todo el tráfico entrante y no de los suplicantes hasta que se autentiquen.

Antes de configurar la omisión de autenticación de MAC estática, asegúrese de que tiene:

Descripción general y topología

Para permitir que las impresoras tengan acceso a la LAN, agréguelas a la lista de omisión de MAC estática. Las direcciones MAC de esta lista tienen permiso de acceso sin autenticación del servidor RADIUS.

Figura 1muestra las dos impresoras conectadas a la EX4200.

Nota:

Esta cifra también se aplica a los conmutadores QFX5100.

Figura 1: Topología para omisión de MAC estática de la configuración de autenticaciónTopología para omisión de MAC estática de la configuración de autenticación

Las interfaces que se Tabla 1 muestran en se configurarán para la omisión de autenticación de Mac estática.

Tabla 1: Componentes de la omisión de MAC estática de la topología de configuración de autenticación
Inspector Configuraciones

Cambiar el hardware

EX4200 24 puertos Gigabit Ethernet: 16 puertos no PoE puertos y 8 puertos PoE puertos ( ge-0/0/0 a ge-0/0/23 través )

Nombre de VLAN

default

Conexiones a equipos integrados de impresora/fax/copiadora (no se requiere PoE)

ge-0/0/19, dirección MAC 00:04:0f:df:ac:fe ge-0/0/20, Dirección MAC 00:04: AE: CD: 23:5F

La impresora con la dirección MAC 00:04:0f:df:ac:fe está conectada a la interfaz de ge-0/0/19 acceso. Una segunda impresora con la dirección MAC 00:04:ae:cd:23:5f está conectada a la interfaz de ge-0/0/20 acceso. Ambas impresoras se agregarán a la lista estática y omitirán la autenticación de 802.1 X.

Topología

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente la lista de omisión de MAC estática, copie los siguientes comandos y péguelos en la ventana del conmutador de terminal:

Procedimiento paso a paso

Configure la lista de omisión de MAC estática:

  1. Configure las direcciones MAC 00:04:0f:fd:ac:fe y como direcciones MAC 00:04:ae:cd:23:5f estáticas:

  2. Configure el método de autenticación 802.1 X:

  3. Configure el nombre del perfil de autenticación (nombre del perfil de acceso) para usarlo en autenticación:

    Nota:

    La configuración del perfil de acceso solo es necesaria para clientes 802.1 X, no para clientes de MAC estáticos.

Resultados

Mostrar los resultados de la configuración:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobación de la omisión de autenticación de MAC estática

Purpose

Compruebe que las direcciones MAC de ambas impresoras están configuradas y asociadas con las interfaces correctas.

Intervención

Emita el comando modo de funcionamiento:

Efectos

El campo de MAC address salida muestra las direcciones MAC de las dos impresoras.

El campo de salida muestra que la dirección MAC se puede conectar a la LAN a través de la interfaz y que la dirección MAC se puede conectar a Interface00:04:0f:fd:ac:fe la ge-0/0/19.000:04:ae:cd:23:5f LAN mediante la ge-0/0/20.0 interfaz.