Em interfaces routed, os clientes podem verificar os endereços MAC num servidor RADIUS para ignorar 802.1x em dispositivos LAN que não suportam a autenticação 802.1x. A opção MAB simplifica as operações de TI, poupa tempo e aumenta a escalabilidade e já não requer que os clientes configurem manualmente todos os endereços MAC que possam precisar de autenticação.
Pré-requisitos
- Deve ser configurado um servidor RADIUS e adicionado ao Edge. Veja Configurar os serviços de autenticação.
- O servidor RADIUS deve ter uma lista de endereços MAC que devem ser ignorados para tirar partido da funcionalidade MAB.
- A autenticação RADIUS tem de estar configurada na interface routed ou interface switched de um Edge via VLAN ao nível do perfil ou do Edge.
Nota: A partir da versão 5.2.0, o MAB baseado em RADIUS também é suportado para VLANs para utilização em portas switched. Esta funcionalidade tem a seguinte limitação quando utilizada com uma VLAN para uma porta switched:
- O tráfego L2 não acionará o MAB RADIUS.
- O tráfego L2 não será encaminhado em switches baseados em Linux até que o tráfego routed seja visível. Os switches de hardware já não filtram o tráfego L2 puro e essa limitação permanece inalterada.
- Se nenhum tráfego routed for observado e o MAB RADIUS expirar (a predefinição é de 30 minutos), o tráfego L2 será novamente bloqueado.
- Hooks adicionais para verificar o estado de 802.1x para pacotes autodestinados podem provocar uma degradação do desempenho quando o 802.1x está ativado.
- O tráfego destinado a si próprio e gerido inteiramente pelo Linux já não será filtrado antes da autenticação 802.1x (DHCP, DNS, ssh, etc.).
Ativar o MAB para interface routed
- No serviço SD-WAN do portal da empresa, clique em .
- Clique na ligação para um Edge ou clique na ligação Ver (View) na coluna Dispositivo (Device) do Edge. As opções de configuração do Edge selecionado são apresentadas no separador Dispositivo (Device).
- Na categoria Conetividade (Connectivity), clique e expanda Interfaces.
- A secção Interfaces apresenta os diferentes tipos de interfaces disponíveis para o Edge selecionado.
- Clique na Interface para editar a interface routed que está configurada para a autenticação RADIUS.
- No ecrã Editar (Edit) das interfaces, confirme se a Autenticação RADIUS (RADIUS Authentication) está configurada e, em seguida, selecione a caixa de verificação para Ativar MAB baseada em RADIUS (Ignorar autenticação do endereço MAC) (Enable RADIUS based MAB (MAC Address Authentication Bypass)).
- Clique em Guardar (Save) e regresse à página Dispositivo (Device).
- Clique em Guardar alterações (Save Changes) no canto inferior direito para aplicar a configuração.
Ativar o MAB para porta switched utilizando uma VLAN
- No serviço SD-WAN do portal da empresa, clique em .
- Clique na ligação para um Edge ou clique na ligação Ver (View) na coluna Dispositivo (Device) do Edge. As opções de configuração do Edge selecionado são apresentadas no separador Dispositivo (Device).
- Na categoria Conetividade (Connectivity), clique e expanda VLAN.
- A secção VLAN apresenta as VLANs configuradas para o Edge selecionado.
- Clique na VLAN para editar a VLAN e configurá-la para a autenticação RADIUS.
- No ecrã Editar (Edit) das interfaces, confirme se a Autenticação RADIUS (RADIUS Authentication) está configurada e, em seguida, selecione a caixa de verificação para Ativar MAB baseada em RADIUS (Ignorar autenticação do endereço MAC) (Enable RADIUS based MAB (MAC Address Authentication Bypass)).
- Clique em CONCLUÍDO (DONE) e regresse à página Dispositivo (Device).
- De volta à categoria Conetividade (Connectivity), clique e expanda Interfaces.
- A secção Interfaces apresenta os diferentes tipos de interfaces disponíveis para o Edge selecionado.
- Clique na Interface para editar a interface switched para que possa atribuir a VLAN configurada para RADIUS.
- Após adicionar a VLAN, clique em GUARDAR (SAVE) e regresse à página Dispositivo (Device).
- Clique em Guardar alterações (Save Changes) no canto inferior direito para aplicar a configuração.