Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Статическое обход MAC 802.1X и аутентификация MAC RADIUS MAC

Junos OS позволяет настроить доступ к локальной сети через интерфейсы, настроенные по 802.1X без аутентификации, путем настройки статического списка обхода MAC на коммутаторе серии EX. Статический список обхода MAC, также известный как список исключения,определяет MAC-адреса, разрешенные на коммутаторе без отправки запроса на сервер аутентификации. Дополнительные сведения можно получить на этом тему.

Настройка статического обхода MAC 802.1X и RADIUS MAC-интерфейс командной строки аутентификации)

На коммутаторе можно настроить статический список обхода MAC (иногда называемый списком исключения), чтобы указать MAC-адреса устройств, которые имеют доступ к LAN без запросов аутентификации 802.1X или MAC RADIUS серверу RADIUS.

Для настройки статического списка обхода MAC::

  • Указание MAC-адрес аутентификации:

  • Настройте необходимое устройство для обхода аутентификации, если он подключен через определенный интерфейс:

  • Настройте необходимое устройство для перенастройки в определенную VLAN после аутентификации:

Примере: Настройка статического обхода MAC 802.1X и аутентификации MAC RADIUS MAC на коммутаторе серии EX

Чтобы разрешить устройствам получать доступ к локальной сети через интерфейсы, настроенные на 802.1X без аутентификации, можно настроить статический список обхода MAC на коммутаторе серии EX. Статический список обхода MAC, также известный как список исключения,определяет MAC-адреса, разрешенные на коммутаторе без отправки запроса на сервер аутентификации.

Чтобы разрешить подключение устройств, не включенных в 802.1X, например, принтеров, можно использовать статическое обход аутентификации MAC. Если сравнивается MAC-адрес хоста и сравнивается со MAC-адрес статического MAC-адрес, аутентификация нереактивного хоста и для него открыт интерфейс.

В данном примере описана настройка статического обхода аутентификации MAC для двух принтеров:

Требования

В данном примере используются следующие программные и аппаратные компоненты:

Прим.:

Этот пример также применим и к QFX5100 коммутаторам.

  • Junos OS версии 9.0 или более поздней версии для коммутаторов серии EX

  • Один коммутатор серии EX, выступая в качестве объекта доступа к аутентификации порта (PAE). Порты на аутентиаторе PAE формируют контрольный шлюз, который блокирует весь трафик к и отпродатантам до аутентификации.

Перед настройкой статического обхода аутентификации MAC необходимо убедиться в том, что есть:

Обзор и топология

Чтобы разрешить доступ принтеров к локальной сети, добавьте их в статический список обхода MAC. MAC-адресам из этого списка разрешен доступ без аутентификации с RADIUS сервера.

Рис. 1 показывает два принтера, подключенных к EX4200.

Прим.:

Этот рисунок также относится к QFX5100 коммутаторам.

Рис. 1: Топология для статического обхода MAC аутентификацииТопология для статического обхода MAC аутентификации

Интерфейсы, показанные на этом Табл. 1 интерфейсе, будут настроены для статического обхода аутентификации MAC.

Табл. 1: Компоненты статического обхода MAC топологии конфигурации аутентификации
Свойство Параметры

Оборудование коммутатора

EX4200 24 порта Gigabit Ethernet: 16 нестандартных PoE и 8 PoE портов ge-0/0/0ge-0/0/23 (через)

Имя сети VLAN

default

Подключения к интегрированным принтерам/факсам/компьютерам-копироваторам (не PoE необходимости)

ge-0/0/19, MAC-адрес:04:0f:fd:ac:fe ge-0/0/20, MAC-адрес:00:04:ae:cd:23:5f

Принтер с MAC-адрес 00:04:0f:fd:ac:fe подключен к интерфейсу ge-0/0/19 доступа. Второй принтер с MAC-адрес 00:04:ae:cd:23:5f подключен к интерфейсу ge-0/0/20 доступа. Оба принтера будут добавлены в статический список и не смогут использовать аутентификацию 802.1X.

Топологии

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить статический список обхода MAC, скопируйте следующие команды и включите их в окно терминала коммутатора:

Пошаговая процедура

Настройка статического списка обхода MAC:

  1. Настройте MAC-адреса 00:04:0f:fd:ac:fe и в 00:04:ae:cd:23:5f качестве статических MAC-адресов:

  2. Настройка метода аутентификации 802.1X:

  3. Настройте имя профиля аутентификации (имя профиля доступа), чтобы использовать его для аутентификации:

    Прим.:

    Настройка профиля доступа требуется только для клиентов 802.1X, а не для статических MAC-клиентов.

Результаты

Отобразить результаты настройки:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка статического обхода аутентификации MAC

Цель

Убедитесь, что MAC-адреса обоих принтеров настроены и связаны с правильными интерфейсами.

Действий

Вдай команду operational mode:

Смысл

В поле MAC address выходных данных показаны MAC-адреса двух принтеров.

В поле выходных данных показано MAC-адрес интерфейс может подключаться к локальной сети через интерфейс, а MAC-адрес к локальной сети Interface00:04:0f:fd:ac:fe через ge-0/0/19.000:04:ae:cd:23:5fge-0/0/20.0 интерфейс.