En las interfaces enrutadas, los clientes pueden comprobar las direcciones MAC en un servidor RADIUS para omitir 802.1x para los dispositivos LAN que no admiten la autenticación 802.1x. MAB simplifica las operaciones de TI, ahorra tiempo y mejora la escalabilidad, ya que ya no requiere que los clientes configuren manualmente cada dirección MAC que necesita autenticación.
Requisitos previos
- Se debe configurar y agregar un servidor de RADIUS a Edge. Consulte Configurar servicios de autenticación.
- El servidor RADIUS debe tener una lista de direcciones MAC que se deben omitir para aprovechar la función MAB.
- La autenticación RADIUS debe configurarse en la interfaz enrutada o la interfaz conmutada de una instancia de Edge, ya sea en el nivel de perfil o de Edge por medio de una VLAN.
Nota: A partir de la versión 5.2.0, la MAB basada en RADIUS también es compatible con redes VLAN para su uso en puertos conmutados. La función tiene la siguiente limitación cuando se utiliza con una VLAN para un puerto conmutado:
- El tráfico de capa 2 no activará MAB de RADIUS.
- El tráfico de capa 2 no se reenviará en conmutadores basados en Linux hasta que se vea el tráfico enrutado. Los conmutadores de hardware ya no filtran el tráfico nativo de capa 2 y esta limitación permanece sin cambios.
- Si no se observa tráfico enrutado y se agota el tiempo de espera de MAB de RADIUS (el valor predeterminado es 30 minutos), el tráfico de capa 2 se bloqueará de nuevo.
- Los enlaces adicionales para comprobar el estado de 802.1x en busca de paquetes autoatribuidos pueden degradar el rendimiento cuando 802.1x está habilitado.
- El tráfico destinado a sí mismo y administrado en su totalidad por Linux ya no se filtrará antes de la autenticación 802.1x (DHCP, DNS, SSH, etc.).
Activación de MAB para la interfaz enrutada
- En el servicio SD-WAN del portal de empresas, haga clic en .
- Haga clic en el vínculo a una instancia de Edge o haga clic en el vínculo Ver (View) en la columna Dispositivo (Device) de la instancia de Edge. Las opciones de configuración de la instancia de Edge seleccionada se muestran en la pestaña Dispositivo (Device).
- En la categoría Conectividad (Connectivity), haga clic en Interfaces.
- La sección Interfaces muestra los diferentes tipos de interfaces disponibles para la instancia de Edge seleccionada.
- Haga clic en Interfaces para editar la interfaz enrutada que está configurada para la autenticación RADIUS.
- En la pantalla Editar (Edit) de las interfaces, confirme que Autenticación RADIUS (RADIUS Authentication) esté configurada y, a continuación, seleccione la casilla de verificación para Habilitar MAB basado en RADIUS (omisión de autenticación de direcciones Mac) Enable RADIUS based MAB (MAC Address Authentication Bypass).
- Haga clic en Guardar (Save) y vuelva a la página Dispositivo (Device).
- Haga clic en Guardar cambios (Save Changes) en la esquina inferior derecha para aplicar la configuración.
Activar MAB para el puerto conmutado mediante una VLAN
- En el servicio SD-WAN del portal de empresas, haga clic en .
- Haga clic en el vínculo a una instancia de Edge o haga clic en el vínculo Ver (View) en la columna Dispositivo (Device) de la instancia de Edge. Las opciones de configuración de la instancia de Edge seleccionada se muestran en la pestaña Dispositivo (Device).
- En la categoría Conectividad (Connectivity), haga clic en VLAN para expandir esa opción.
- La sección VLAN muestra la VLAN configurada para la instancia de Edge seleccionada.
- Haga clic en la VLAN para editarla y configurarla para la autenticación RADIUS.
- En la pantalla Editar (Edit) de las interfaces, confirme que Autenticación RADIUS (RADIUS Authentication) esté configurada y, a continuación, seleccione la casilla de verificación para Habilitar MAB basado en RADIUS (omisión de autenticación de direcciones Mac) Enable RADIUS based MAB (MAC Address Authentication Bypass).
- Haga clic en LISTO (DONE) y vuelva a la página Dispositivo (Device).
- De nuevo en la categoría Conectividad (Connectivity), haga clic y expanda Interfaces.
- La sección Interfaces muestra los diferentes tipos de interfaces disponibles para la instancia de Edge seleccionada.
- Haga clic en la interfaz para editar la interfaz conmutada, de modo que pueda asignar la VLAN configurada para RADIUS.
- Una vez que haya agregado la VLAN, haga clic en GUARDAR (SAVE) y vuelva a la página Dispositivo (Device).
- Haga clic en Guardar cambios (Save Changes) en la esquina inferior derecha para aplicar la configuración.