Auf gerouteten Schnittstellen können Kunden MAC-Adressen mit einem RADIUS-Server abgleichen, um 802.1x für LAN-Geräte zu umgehen, die keine 802.1x-Authentifizierung unterstützen. MAB vereinfacht den IT-Betrieb, spart Zeit und verbessert die Skalierbarkeit, da Kunden nicht mehr jede MAC-Adresse, die möglicherweise eine Authentifizierung benötigt, manuell konfigurieren müssen.

Voraussetzungen

  • Ein RADIUS-Server muss konfiguriert und zum Edge hinzugefügt werden. Weitere Informationen finden Sie unter Konfigurieren von Authentifizierungsdiensten.
  • Der RADIUS-Server muss über eine Liste von MAC-Adressen verfügen, die umgangen werden müssen, um die MAB-Funktion nutzen zu können.
  • RADIUS-Authentifizierung muss über ein VLAN auf der gerouteten oder geswitchten Schnittstelle eines Edge entweder auf Profil- oder Edge-Ebene konfiguriert werden.
Hinweis: Ab Version 5.2.0 wird RADIUS-basierte MAB auch für VLANs zur Verwendung auf geswitchten Ports unterstützt. Die Funktion weist die folgende Einschränkung auf, wenn sie mit einem VLAN für einen geswitchten Port verwendet wird:
  • L2-Datenverkehr löst RADIUS MAB nicht aus.
  • L2-Datenverkehr wird auf Linux-basierten Switches erst weitergeleitet, wenn gerouteter Datenverkehr erkannt wird. Hardware-Switches filtern bereits keinen reinen L2-Datenverkehr. Diese Einschränkung bleibt unverändert.
  • Wenn kein gerouteter Datenverkehr beobachtet wird und RADIUS MAB eine Zeitüberschreitung (Standardwert ist 30 Minuten) aufweist, wird der L2-Datenverkehr erneut blockiert.
  • Zusätzliche Hooks zum Überprüfen des 802.1x-Status für selbstbestimmte Pakete können zu Leistungsbeeinträchtigungen führen, wenn 802.1x aktiviert ist.
  • Selbstbestimmter und vollständig von Linux verwalteter Datenverkehr wird vor der 802.1x-Authentifizierung (DHCP, DNS, SSH usw.) nicht mehr gefiltert.

Aktivieren von MAB für geroutete Schnittstelle

  1. Klicken Sie im SD-WAN-Dienst des Unternehmensportals auf Konfigurieren (Configure) > Edges.
  2. Klicken Sie auf den Link zu einem Edge oder auf den Link Anzeigen (View) in der Spalte Gerät (Device) des Edge. Die Konfigurationsoptionen für den ausgewählten Edge werden auf der Registerkarte Gerät (Device) angezeigt.
  3. Klicken Sie in der Kategorie Konnektivität (Connectivity) auf Schnittstellen (Interfaces) und erweitern Sie die Option.
  4. Im Abschnitt Schnittstellen (Interfaces) werden die verschiedenen Schnittstellentypen angezeigt, die für den ausgewählten Edge verfügbar sind.
  5. Klicken Sie auf die Schnittstelle (Interface), um die geroutete Schnittstelle zu bearbeiten, die für RADIUS-Authentifizierung konfiguriert ist.
  6. Bestätigen Sie auf dem Bildschirm „Schnittstellen bearbeiten (Interfaces Edit)“, dass RADIUS-Authentifizierung (RADIUS Authentication) konfiguriert ist, und aktivieren Sie dann das Kontrollkästchen RADIUS-basierte MAB (Mac-Authentifizierungsumgehung) aktivieren (Enable RADIUS based MAB (MAC Address Authentication Bypass)).
  7. Klicken Sie auf Speichern (Save) und kehren Sie zur Seite Gerät (Device ) zurück.
  8. Klicken Sie in der unteren rechten Ecke auf Änderungen speichern (Save Changes), um Ihre Konfiguration anzuwenden.

Aktivieren von MAB für geswitchten Port mithilfe eines VLANs

  1. Klicken Sie im SD-WAN-Dienst des Unternehmensportals auf Konfigurieren (Configure) > Edges.
  2. Klicken Sie auf den Link zu einem Edge oder auf den Link Anzeigen (View) in der Spalte Gerät (Device) des Edge. Die Konfigurationsoptionen für den ausgewählten Edge werden auf der Registerkarte Gerät (Device) angezeigt.
  3. Klicken Sie in der Kategorie Konnektivität (Connectivity) auf VLAN und erweitern Sie das Feld.
  4. Im Abschnitt VLAN werden die für den ausgewählten Edge konfigurierten VLANs angezeigt.
  5. Klicken Sie auf VLAN, um das VLAN zu bearbeiten und für RADIUS-Authentifizierung zu konfigurieren.
  6. Bestätigen Sie auf dem Bildschirm „Schnittstellen bearbeiten (Interfaces Edit)“, dass RADIUS-Authentifizierung (RADIUS Authentication) konfiguriert ist, und aktivieren Sie dann das Kontrollkästchen RADIUS-basierte MAB (Mac-Authentifizierungsumgehung) aktivieren (Enable RADIUS based MAB (MAC Address Authentication Bypass)).
  7. Klicken Sie auf FERTIG (DONE) und kehren Sie zur Seite Gerät (Device) zurück.
  8. Klicken Sie in der Kategorie Konnektivität (Connectivity) auf Schnittstellen (Interfaces) und erweitern Sie die Option.
  9. Im Abschnitt Schnittstellen (Interfaces) werden die verschiedenen Schnittstellentypen angezeigt, die für den ausgewählten Edge verfügbar sind.
  10. Klicken Sie auf Schnittstelle (Interface), um die geswitchte Schnittstelle zu bearbeiten, damit das für RADIUS konfigurierte VLAN zugewiesen werden kann.
  11. Klicken Sie nach dem Hinzufügen des VLAN auf SPEICHERN (SAVE) und kehren Sie zur Seite Gerät (Device) zurück.
  12. Klicken Sie in der unteren rechten Ecke auf Änderungen speichern (Save Changes), um Ihre Konfiguration anzuwenden.