Σε δρομολογημένες διασυνδέσεις, οι πελάτες μπορούν να ελέγχουν τις διευθύνσεις MAC σε σχέση με έναν διακομιστή RADIUS, για να παρακάμψουν το 802.1x για συσκευές LAN που δεν υποστηρίζουν έλεγχο ταυτότητας 802.1x. Το MAB απλοποιεί τις λειτουργίες IT, εξοικονομεί χρόνο και βελτιώνει την επεκτασιμότητα, καθώς δεν απαιτεί πλέον από τους πελάτες να διαμορφώνουν με μη αυτόματο τρόπο κάθε διεύθυνση MAC που ενδέχεται να χρειάζεται έλεγχο ταυτότητας.

Προϋποθέσεις

  • Ένας διακομιστής RADIUS πρέπει να διαμορφωθεί και να προστεθεί στο Edge. Ανατρέξτε στο θέμα Διαμόρφωση υπηρεσιών ελέγχου ταυτότητας.
  • Ο διακομιστής RADIUS πρέπει να έχει μια λίστα διευθύνσεων MAC που πρέπει να παρακαμφθούν για να επωφεληθεί από τη δυνατότητα MAB.
  • Ο έλεγχος ταυτότητας RADIUS πρέπει να διαμορφωθεί σε δρομολογημένη διασύνδεση ή σε διασύνδεση μεταγωγής ενός Edge μέσω VLAN είτε σε επίπεδο προφίλ είτε σε επίπεδο Edge.
Σημείωση: Ξεκινώντας από την έκδοση 5.2.0, το MAB που βασίζεται σε RADIUS υποστηρίζεται επίσης για VLAN για χρήση σε θύρες μεταγωγής. Η δυνατότητα έχει τον ακόλουθο περιορισμό όταν χρησιμοποιείται με VLAN για μια θύρα μεταγωγής:
  • Η κυκλοφορία L2 δεν θα ενεργοποιήσει RADIUS MAB.
  • Η κυκλοφορία L2 δεν θα προωθηθεί σε διακόπτες που βασίζονται σε Linux μέχρι να εμφανιστεί η δρομολογημένη κυκλοφορία. Οι μεταγωγείς υλικού ήδη δεν φιλτράρουν την καθαρή κυκλοφορία L2 και αυτός ο περιορισμός παραμένει αμετάβλητος.
  • Εάν δεν παρατηρηθεί δρομολογημένη κυκλοφορία και λήξει το χρονικό όριο του RADIUS MAB (η προεπιλογή είναι 30 λεπτά), η κυκλοφορία L2 θα αποκλειστεί ξανά.
  • Πρόσθετα άγκιστρα για τον έλεγχο της κατάστασης 802.1x για πακέτα που προορίζονται για τον εαυτό τους μπορεί να προκαλέσουν υποβάθμιση της απόδοσης όταν είναι ενεργοποιημένη η κατάσταση 802.1x.
  • Η κυκλοφορία που προορίζεται για τον εαυτό της και η διαχείρισή της γίνεται εξ ολοκλήρου από Linux δεν θα φιλτράρεται πλέον πριν από τον έλεγχο ταυτότητας 802.1x (DHCP, DNS, ssh και ούτω καθεξής).

Ενεργοποίηση MAB για δρομολογημένη διασύνδεση

  1. Στην υπηρεσία SD-WAN της πύλης επιχείρησης, κάντε κλικ στις επιλογές Διαμόρφωση > Edge (Configure > Edges).
  2. Κάντε κλικ στη σύνδεση προς ένα Edge ή κάντε κλικ στη σύνδεση Προβολή (View) στη στήλη Συσκευή (Device) του Edge. Οι επιλογές διαμόρφωσης για το επιλεγμένο Edge εμφανίζονται στην καρτέλα Συσκευή (Device).
  3. Στην κατηγορία Συνδεσιμότητα (Connectivity), κάντε κλικ στην επιλογή Διασυνδέσεις (Interfaces) για να αναπτυχθεί.
  4. Η ενότητα Διασυνδέσει (Interfaces) εμφανίζει τους διάφορους τύπους διασυνδέσεων που είναι διαθέσιμοι για το επιλεγμένο Edge.
  5. Κάντε κλικ στη Διασύνδεση (Interface) για να επεξεργαστείτε τη δρομολογημένη διασύνδεση που έχει διαμορφωθεί για έλεγχο ταυτότητας RADIUS.
  6. Στην οθόνη επεξεργασίας διασυνδέσεων επιβεβαιώστε ότι έχει διαμορφωθεί ο Έλεγχος ταυτότητας RADIUS (RADIUS Authentication) και, στη συνέχεια, επιλέξτε το πλαίσιο ελέγχου για Ενεργοποίηση MAB που βασίζεται RADIUS (παράκαμψη ελέγχου ταυτότητας Mac) [Enable RADIUS based MAB (MAC Address Authentication Bypass)].
  7. Κάντε κλικ στην επιλογή Αποθήκευση (Save) και επιστρέψτε στη σελίδα Συσκευή (Device).
  8. κάντε κλικ στην Αποθήκευση αλλαγών (Save Changes) στην κάτω δεξιά γωνία για να εφαρμόσετε τη διαμόρφωσή σας.

Ενεργοποίηση MAB για θύρα μεταγωγής με χρήση VLAN

  1. Στην υπηρεσία SD-WAN της πύλης επιχείρησης, κάντε κλικ στις επιλογές Διαμόρφωση > Edge (Configure > Edges).
  2. Κάντε κλικ στη σύνδεση προς ένα Edge ή κάντε κλικ στη σύνδεση Προβολή (View) στη στήλη Συσκευή (Device) του Edge. Οι επιλογές διαμόρφωσης για το επιλεγμένο Edge εμφανίζονται στην καρτέλα Συσκευή (Device).
  3. Στην κατηγορία Συνδεσιμότητα (Connectivity), κάντε κλικ στην επιλογή VLAN για να αναπτυχθεί.
  4. Η ενότητα VLAN εμφανίζει τα VLAN που έχουν διαμορφωθεί για το επιλεγμένο Edge.
  5. Κάντε κλικ στο VLAN για να επεξεργαστείτε το VLAN και διαμορφώστε το για έλεγχο ταυτότητας RADIUS.
  6. Στην οθόνη επεξεργασίας διασυνδέσεων επιβεβαιώστε ότι έχει διαμορφωθεί ο Έλεγχος ταυτότητας RADIUS (RADIUS Authentication) και, στη συνέχεια, επιλέξτε το πλαίσιο ελέγχου για Ενεργοποίηση MAB που βασίζεται RADIUS (παράκαμψη ελέγχου ταυτότητας Mac) [Enable RADIUS based MAB (MAC Address Authentication Bypass)].
  7. Κάντε κλικ στην επιλογή ΤΕΛΟΣ (DONE) και επιστρέψτε στη σελίδα Συσκευή (Device).
  8. Επιστρέψτε στην κατηγορία Συνδεσιμότητα (Connectivity) και κάντε κλικ στην επιλογή Διασυνδέσεις (Interfaces) για να αναπτυχθεί.
  9. Η ενότητα Διασυνδέσει (Interfaces) εμφανίζει τους διάφορους τύπους διασυνδέσεων που είναι διαθέσιμοι για το επιλεγμένο Edge.
  10. Κάντε κλικ στην επιλογή Διασύνδεση (Interface) για να επεξεργαστείτε την διασύνδεση μεταγωγής, ώστε να μπορείτε να αντιστοιχίσετε το VLAN που έχει διαμορφωθεί για RADIUS.
  11. Αφού προσθέσετε το VLAN, κάντε κλικ στην επιλογή ΑΠΟΘΗΚΕΥΣΗ (SAVE) και επιστρέψτε στη σελίδα Συσκευή (Device).
  12. κάντε κλικ στην Αποθήκευση αλλαγών (Save Changes) στην κάτω δεξιά γωνία για να εφαρμόσετε τη διαμόρφωσή σας.