802.1X 的静态 MAC 旁路和 MAC RADIUS 身份验证
Junos OS 允许您通过在 EX 系列交换机上配置静态 MAC 旁路列表,通过 802.1X 配置的接口配置对 LAN 的访问,无需身份验证。静态 MAC 绕过列表(也称为 排除列表)指定交换机上允许的 MAC 地址,而无需向身份验证服务器发送请求。有关更多信息,请阅读本主题。
如果将静态 MAC 地址条目添加到以太网交换表,这与将 MAC 地址添加到静态 MAC 旁路列表的效果相同。有关配置静态 MAC 地址条目的信息,请参见 MAC Addresses。
配置 802.1X 的静态 MAC 旁路和 MAC RADIUS 身份验证(CLI 过程)
您可以在交换机上配置静态 MAC 旁路列表(有时称为排除列表),以指定允许在没有向 RADIUS 服务器发出 802.1X 或 MAC RADIUS 身份验证请求的情况下访问 LAN 的设备的 MAC 地址。
要配置静态 MAC 绕过列表,请执行以下操作:
指定要绕过身份验证的 MAC 地址:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
配置请求方以绕过身份验证(如果它通过特定接口连接):
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
将请求方配置为在通过身份验证后移动到特定 VLAN:
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
另请参阅
示例:在 EX 系列交换机上配置 802.1X 的静态 MAC 旁路和 MAC RADIUS 身份验证
要允许设备通过 802.1X 配置的接口访问您的 LAN,无需身份验证,可以在 EX 系列交换机上配置静态 MAC 旁路列表。静态 MAC 绕过列表(也称为 排除列表)指定交换机上允许的 MAC 地址,而无需向身份验证服务器发送请求。
您可以使用身份验证的静态 MAC 旁路来允许连接未启用 802.1X 的设备,例如打印机。如果将主机的 MAC 地址与静态 MAC 地址列表进行比较和匹配,则会对无响应的主机进行身份验证并为其打开一个接口。
此示例介绍如何为两台打印机配置静态 MAC 绕过身份验证:
要求
此示例使用以下软件和硬件组件:
此示例也适用于QFX5100交换机。
适用于 EX 系列交换机的 Junos OS 9.0 或更高版本
一台 EX 系列交换机充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的端口形成一个控制门,用于阻止进出请求方的所有流量,直到它们通过身份验证。
在配置静态 MAC 绕过身份验证之前,请确保您已:
已在交换机上执行基本桥接和VLAN配置。请参阅描述为交换机设置基本桥接和 VLAN 的文档。如果您使用的交换机支持增强型第 2 层软件 (ELS) 配置样式,请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN 或 示例:在交换机上设置基本桥接和 VLAN。对于所有其他交换机,请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
有关 ELS 的更多信息,请参阅:使用增强型第 2 层软件 CLI。
指定RADIUS服务器连接并在交换机上配置访问配置文件。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
概述和拓扑
要允许打印机访问 LAN,请将其添加到静态 MAC 旁路列表中。允许访问此列表中的 MAC 地址,而无需从 RADIUS 服务器进行身份验证。
图 1 显示了连接到 EX4200 的两台打印机。
此数字也适用于QFX5100交换机。
中显示的 表 1 接口将配置为静态 MAC 绕过身份验证。
属性 | 设置 |
---|---|
交换机硬件 |
EX4200,24 个千兆以太网端口:16 个非 PoE 端口和 8 个 PoE 端口( |
VLAN 名称 |
|
连接到集成打印机/传真机/复印机(无需 PoE) |
|
MAC 地址为 00:04:0f:fd:ac:fe 的打印机已连接到访问接口 ge-0/0/19
。MAC 地址为 00:04:ae:cd:23:5f 的第二台打印机连接到接入接口 ge-0/0/20
。两台打印机都将添加到静态列表中,并绕过 802.1X 身份验证。
拓扑学
配置
程序
CLI 快速配置
要快速配置静态 MAC 旁路列表,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
分步过程
配置静态 MAC 绕过列表:
将 MAC 地址
00:04:0f:fd:ac:fe
和00:04:ae:cd:23:5f
静态 MAC 地址配置为静态 MAC 地址:[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
配置 802.1X 身份验证方法:
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
配置用于身份验证的身份验证配置文件名称(访问配置文件名称):
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
注:只有 802.1X 客户端需要配置访问配置文件,静态 MAC 客户端不需要配置。
结果
显示配置结果:
user@switch> show interfaces { ge-0/0/19 { unit 0 { family ethernet-switching { vlan members default; } } } ge-0/0/20 { unit 0 { family ethernet-switching { vlan members default; } } } } protocols { dot1x { authenticator { authentication-profile-name profile1 static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]; interface { all { supplicant multiple; } } } } }
验证
要确认配置工作正常,请执行以下任务:
验证身份验证的静态 MAC 绕过
目的
验证两台打印机的 MAC 地址是否已配置并与正确的接口关联。
操作
发出操作模式命令:
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
意义
输出字段 MAC address
显示两台打印机的 MAC 地址。
输出字段 Interface
显示 MAC 地址 00:04:0f:fd:ac:fe
可以通过接口 ge-0/0/19.0
连接到 LAN,并且 MAC 地址 00:04:ae:cd:23:5f
可以通过接口 ge-0/0/20.0
连接到 LAN。