Nelle interfacce instradate i clienti possono controllare gli indirizzi MAC in un server RADIUS per ignorare l'autenticazione 802.1x per i dispositivi LAN che non la supportano. Il bypass dell'indirizzo MAC semplifica le operazioni IT, consente di risparmiare tempo e migliora la scalabilità perché i clienti non devono più configurare manualmente ogni indirizzo MAC che può richiedere l'autenticazione.
Prerequisiti
- È necessario configurare un server RADIUS e aggiungerlo all'Edge. Vedere Configurazione dei servizi di autenticazione.
- Il server RADIUS deve disporre di un elenco di indirizzi MAC da bypassare per sfruttare la funzionalità MAB.
- L'autenticazione RADIUS deve essere configurata nell'interfaccia instradata o commutata di un Edge tramite VLAN a livello di profilo o di Edge.
Nota: A partire dalla versione 5.2.0 è supportato anche il MAB basato su RADIUS per le VLAN da utilizzare sulle porte commutate. Quando viene utilizzata con una VLAN per una porta commutata, la funzionalità ha la seguente limitazione:
- Il traffico L2 non attiva MAB RADIUS.
- Il traffico L2 non verrà inoltrato ai commutatori basati su Linux finché non viene visualizzato il traffico instradato. I commutatori hardware non filtrano già il traffico L2 puro e questa limitazione rimane invariata.
- Se non viene osservato il traffico instradato e il MAB RADIUS scade (l'impostazione predefinita è 30 minuti), il traffico L2 viene nuovamente bloccato.
- Gli hook aggiuntivi per controllare lo stato 802.1x per i pacchetti auto-destinati possono causare il peggioramento delle prestazioni quando 802.1x è abilitato.
- Il traffico destinato a essere autonomo e gestito in Linux da Linux non verrà più filtrato prima dell'autenticazione 802.1x (DHCP, DNS, ssh e così via).
Attivazione di MAB per l'interfaccia instradata
- Nel servizio SD-WAN del portale dell'azienda, fare clic su .
- Fare clic sul link di un Edge o sul link Visualizzazione (View) nella colonna Dispositivo (Device) dell'Edge. Le opzioni di configurazione per l'Edge selezionato vengono visualizzate nella scheda Dispositivo (Device).
- Nella categoria Connettività (Connectivity) fare clic ed espandere Interfacce (Interfaces).
- La sezione Interfacce (Interfaces) visualizza i diversi tipi di interfacce disponibili per l'Edge selezionato.
- Fare clic su Interfaccia (Interface) per modificare l'interfaccia instradata configurata per l'autenticazione RADIUS.
- Nella schermata di modifica delle interfacce verificare che sia configurata Autenticazione RADIUS (RADIUS Authentication) quindi selezionare la casella di controllo Abilità MAB (bypass autenticazione indirizzo MAC) basato su RADIUS (Enable RADIUS based MAB (MAC Address Authentication Bypass)).
- Fare clic su Salva (Save) e tornare alla pagina Dispositivo (Device).
- Fare clic su Salva modifiche (Save Changes) nell'angolo in basso a destra per applicare la configurazione.
Attivazione della funzionalità MAB per la porta commutata tramite una VLAN
- Nel servizio SD-WAN del portale dell'azienda, fare clic su .
- Fare clic sul link di un Edge o sul link Visualizzazione (View) nella colonna Dispositivo (Device) dell'Edge. Le opzioni di configurazione per l'Edge selezionato vengono visualizzate nella scheda Dispositivo (Device).
- Nella categoria Connettività (Connectivity) fare clic ed espandere VLAN.
- La sezione VLAN include le VLAN configurate per l'Edge selezionato.
- Fare clic su VLAN per modificare la VLAN e configurare per l'autenticazione RADIUS.
- Nella schermata di modifica delle interfacce verificare che sia configurata Autenticazione RADIUS (RADIUS Authentication) quindi selezionare la casella di controllo Abilità MAB (bypass autenticazione indirizzo MAC) basato su RADIUS (Enable RADIUS based MAB (MAC Address Authentication Bypass)).
- Fare clic su FINE (DONE) e tornare alla pagina Dispositivo (Device).
- Tornare alla categoria Connettività (Connectivity), fare clic ed espandere Interfacce (Interfaces).
- La sezione Interfacce (Interfaces) visualizza i diversi tipi di interfacce disponibili per l'Edge selezionato.
- Fare clic su Interfaccia (Interface) per modificare l'Interfaccia commutata in modo da poter assegnare la VLAN configurata per RADIUS.
- Dopo aver aggiunto la VLAN, fare clic su SALVA (SAVE) e tornare alla pagina Dispositivo (Device).
- Fare clic su Salva modifiche (Save Changes) nell'angolo in basso a destra per applicare la configurazione.