在路由接口上,客户可以根据 RADIUS 服务器检查 MAC 地址,以绕过不支持 802.1x 身份验证的 LAN 设备的 802.1x。MAB 不再要求客户手动配置可能需要身份验证的每个 MAC 地址,从而简化了 IT 运营、节省了时间并增强了可扩展性。

必备条件

  • 必须配置一个 RADIUS 服务器并将其添加到 Edge 中。请参阅配置身份验证服务
  • RADIUS 服务器必须具有要绕过的 MAC 地址列表,才能利用 MAB 功能。
  • 必须在配置文件或 Edge 级别通过 VLAN 在 Edge 的路由接口或交换接口上配置 RADIUS 身份验证。
注: 从 5.2.0 版本开始,在交换端口上使用的 VLAN 也支持基于 RADIUS 的 MAB。当与交换端口的 VLAN 一起使用时,此功能具有以下限制:
  • L2 流量不会触发 RADIUS MAB。
  • 在发现路由流量之前,不会在基于 Linux 的交换机上转发 L2 流量。硬件交换机尚不筛选纯 L2 流量,此限制保持不变。
  • 如果未观察到任何路由流量,并且 RADIUS MAB 超时(默认为 30 分钟),将再次阻止 L2 流量。
  • 启用 802.1x 后,用于检查以自身为目标的数据包的 802.1x 状态的其他 hook 可能会导致性能下降。
  • 在 802.1x 身份验证(DHCP、DNS、ssh 等)之前,不再筛选以自身为目标且完全由 Linux 管理的流量。

激活路由接口的 MAB

  1. 在企业门户的 SD-WAN 服务中,单击配置 (Configure) > Edge (Edges)
  2. 单击指向某个 Edge 的链接,或者单击该 Edge 的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示选定 Edge 的配置选项。
  3. 连接 (Connectivity) 类别中,单击并展开接口 (Interfaces)
  4. 接口 (Interfaces) 部分显示可用于选定 Edge 的不同类型的接口。
  5. 单击接口 (Interface) 以编辑配置了 RADIUS 身份验证的路由接口。
  6. 在接口“编辑”(Edit) 屏幕上,确认已配置 RADIUS 身份验证 (RADIUS Authentication),然后选中启用基于 RADIUS 的 MAB (MAC 地址身份验证绕过) (Enable RADIUS based MAB (MAC Address Authentication Bypass)) 复选框。
  7. 单击保存 (Save) 并返回到设备 (Device) 页面。
  8. 单击右下角的保存更改 (Save Changes) 以应用您的配置。

激活使用 VLAN 的交换端口的 MAB

  1. 在企业门户的 SD-WAN 服务中,单击配置 (Configure) > Edge (Edges)
  2. 单击指向某个 Edge 的链接,或者单击该 Edge 的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示选定 Edge 的配置选项。
  3. 连接 (Connectivity) 类别中,单击并展开 VLAN
  4. VLAN 部分显示为选定 Edge 配置的 VLAN。
  5. 单击 VLAN 以编辑 VLAN,并配置 RADIUS 身份验证。
  6. 在接口“编辑”(Edit) 屏幕上,确认已配置 RADIUS 身份验证 (RADIUS Authentication),然后选中启用基于 RADIUS 的 MAB (MAC 地址身份验证绕过) (Enable RADIUS based MAB (MAC Address Authentication Bypsss)) 复选框。
  7. 单击完成 (DONE) 并返回到设备 (Device) 页面。
  8. 返回连接 (Connectivity) 类别,单击并展开接口 (Interfaces)
  9. 接口 (Interfaces) 部分显示可用于选定 Edge 的不同类型的接口。
  10. 单击接口 (Interface) 以编辑交换接口,以便您可以分配为 RADIUS 配置的 VLAN。
  11. 添加 VLAN 后,单击保存 (SAVE) 并返回到设备 (Device) 页面。
  12. 单击右下角的保存更改 (Save Changes) 以应用您的配置。