Sur les interfaces routées, les clients peuvent vérifier les adresses MAC par rapport à un serveur RADIUS pour contourner l'authentification 802.1x pour les périphériques LAN qui ne prennent pas en charge l'authentification 802.1x. L'association d'adresses MAC simplifie les opérations informatiques, économise du temps et améliore l'évolutivité en n'exigeant plus que les clients configurent manuellement chaque adresse MAC qui peut nécessiter une authentification.

Conditions préalables

  • Vous devez configurer le serveur RADIUS et l'ajouter au dispositif Edge. Reportez-vous à la section Configurer les services d'authentification.
  • Le serveur RADIUS doit disposer d'une liste d'adresses MAC à contourner pour bénéficier de la fonctionnalité MAB.
  • L'authentification RADIUS doit être configurée sur l'interface routée ou commutée d'un dispositif Edge via un VLAN, soit au niveau du profil, soit au niveau du dispositif Edge.
Note : À partir de la version 5.2.0, le MAB basé sur RADIUS est également pris en charge pour les VLAN sur les ports commutés. La fonctionnalité présente la limitation suivante lorsqu'elle est utilisée avec un VLAN pour un port commuté :
  • Le trafic L2 ne déclenche pas le MAB RADIUS.
  • Le trafic L2 ne sera pas transféré sur les commutateurs basés sur Linux tant que le trafic routé ne sera pas visible. Les commutateurs matériels ne filtrent pas encore le trafic L2 pur, et cette limitation reste inchangée.
  • Si aucun trafic routé n'est observé et que le RADIUS MAB expire (30 minutes par défaut), le trafic L2 sera à nouveau bloqué.
  • Des hooks supplémentaires permettant de vérifier l'état 802.1x des paquets à destination automatique peuvent entraîner une dégradation des performances lorsque la norme 802.1x est activée.
  • Le trafic destiné à être autogéré et géré entièrement par Linux ne sera plus filtré avant l'authentification 802.1x (DHCP, DNS, SSH, etc.).

Activation du MAB pour l'interface routée

  1. Dans le service SD-WAN du portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).
  2. Cliquez sur le lien d'accès à un dispositif Edge ou sur le lien Afficher (View) dans la colonne Périphérique (Device) du dispositif Edge. Les options de configuration du dispositif Edge sélectionné s'affichent dans l'onglet Périphérique (Device).
  3. Dans la catégorie Connectivité (Connectivity), cliquez sur l'option Interfaces et développez-la.
  4. La section Interfaces affiche les différents types d'interfaces disponibles pour le dispositif Edge sélectionné.
  5. Cliquez sur Interface pour modifier l'interface routée configurée pour l'authentification RADIUS.
  6. Sur l'écran Modifier (Edit) des interfaces, vérifiez que l'option Authentification RADIUS (RADIUS Authentication) est configurée, puis cochez la case pour Activer le contournement d'authentification MAC (Mac Authentication Bypass, MAB) basé sur RADIUS [Enable RADIUS based MAB (MAC Address Authentication Bypass)].
  7. Cliquez sur Enregistrer (Save) et revenez à la page Périphérique (Device).
  8. Cliquez Enregistrer les modifications (Save Changes) dans le coin inférieur droit pour appliquer votre configuration.

Activation de MAB pour le port commuté à l'aide d'un VLAN

  1. Dans le service SD-WAN du portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).
  2. Cliquez sur le lien d'accès à un dispositif Edge ou sur le lien Afficher (View) dans la colonne Périphérique (Device) du dispositif Edge. Les options de configuration du dispositif Edge sélectionné s'affichent dans l'onglet Périphérique (Device).
  3. Dans la catégorie Connectivité (Connectivity), cliquez sur VLAN et développez-le.
  4. La section VLAN affiche les VLAN configurés pour le dispositif Edge sélectionné.
  5. Cliquez sur le VLAN pour le modifier et le configurer pour l'authentification RADIUS.
  6. Sur l'écran Modifier (Edit) des interfaces, vérifiez que l'option Authentification RADIUS (RADIUS Authentication) est configurée, puis cochez la case pour Activer le contournement d'authentification MAC (Mac Authentication Bypass, MAB) basé sur RADIUS [Enable RADIUS based MAB (MAC Address Authentication Bypass)].
  7. Cliquez sur TERMINÉ (DONE) et revenez à la page Périphérique (Device).
  8. De retour dans la catégorie Connectivité (Connectivity), développez Interfaces.
  9. La section Interfaces affiche les différents types d'interfaces disponibles pour le dispositif Edge sélectionné.
  10. Cliquez sur Interface pour modifier l'interface commutée et attribuer le VLAN configuré pour RADIUS.
  11. Une fois le VLAN ajouté, cliquez sur ENREGISTRER (SAVE) et revenez à la page Périphérique (Device).
  12. Cliquez Enregistrer les modifications (Save Changes) dans le coin inférieur droit pour appliquer votre configuration.