客戶可以在路由介面上,根據 RADIUS 伺服器來檢查 MAC 位址,以針對不支援 802.1x 驗證的 LAN 裝置略過 802.1x。MAB 不再要求客戶手動設定可能需要驗證的每個 MAC 位址,從而簡化 IT 作業、節省時間並增強延展性。

必要條件

  • 必須設定 RADIUS 伺服器並將其新增至 Edge。請參閱設定驗證服務
  • RADIUS 伺服器必須具有一份要略過的 MAC 位址清單,才能利用 MAB 功能。
  • 必須在 Edge 的路由介面或交換式介面上透過 VLAN 設定 RADIUS 驗證,可以在設定檔或 Edge 層級設定。
備註: 從 5.2.0 版開始,在交換連接埠上使用的 VLAN 也支援以 RADIUS 為基礎的 MAB。當與交換連接埠的 VLAN 搭配使用時,此功能有以下的限制:
  • L2 流量將不會觸發 RADIUS MAB。
  • 在看到路由流量之前,不會在 Linux 型交換器上轉送 L2 流量。硬體交換器已經不篩選純 L2 流量,而且此限制保持不變。
  • 如果未觀察到路由流量,且 RADIUS MAB 逾時 (預設值為 30 分鐘),L2 流量將再次遭到封鎖。
  • 啟用 802.1x 時,用於檢查發到自身之封包的 802.1x 狀態的其他勾點可能會導致效能降低。
  • 在進行 802.1x 驗證 (DHCP、DNS、SSH 等) 之前,將不再篩選發到自身且完全由 Linux 管理的流量。

為路由介面啟用 MAB

  1. 在企業入口網站的 SD-WAN 服務中,按一下設定 (Configure) > Edge
  2. 按一下 Edge 的連結,或按一下 Edge 的裝置 (Device) 資料行中的檢視 (View) 連結。所選 Edge 的組態選項會顯示在裝置 (Device) 索引標籤中。
  3. 連線 (Connectivity) 類別中,按一下並展開介面 (Interfaces)
  4. 介面 (Interfaces) 區段會顯示不同類型的介面來用於所選的 Edge。
  5. 按一下介面 (Interface),編輯設定了 RADIUS 驗證的路由介面。
  6. 在介面 [編輯 (Edit)] 畫面上,確認已設定 RADIUS 驗證 (RADIUS Authentication),然後選取啟用 RADIUS 型 MAB (Mac 位址驗證繞過) (Enable RADIUS based MAB (MAC Address Authentication Bypass)) 核取方塊。
  7. 按一下儲存 (Save),並回到裝置 (Device) 頁面。
  8. 按一下右下角的儲存變更 (Save Changes),以套用您的組態。

為使用 VLAN 的交換連接埠啟用 MAB

  1. 在企業入口網站的 SD-WAN 服務中,按一下設定 (Configure) > Edge
  2. 按一下 Edge 的連結,或按一下 Edge 的裝置 (Device) 資料行中的檢視 (View) 連結。所選 Edge 的組態選項會顯示在裝置 (Device) 索引標籤中。
  3. 連線 (Connectivity) 類別中,按一下並展開 VLAN
  4. VLAN 區段會顯示設定給所選 Edge 的 VLAN。
  5. 按一下 VLAN 以編輯 VLAN,並設定 RADIUS 驗證。
  6. 在介面 [編輯 (Edit)] 畫面上,確認已設定 RADIUS 驗證 (RADIUS Authentication),然後選取啟用 RADIUS 型 MAB (Mac 位址驗證繞過) (Enable RADIUS based MAB (MAC Address Authentication Bypass)) 核取方塊。
  7. 按一下完成 (DONE),並回到裝置 (Device) 頁面。
  8. 回到連線 (Connectivity) 類別,按一下並展開介面 (Interfaces)
  9. 介面 (Interfaces) 區段會顯示不同類型的介面來用於所選的 Edge。
  10. 按一下介面 (Interface) 以編輯交換式介面,以便您可以指派設定給 RADIUS 的 VLAN。
  11. 新增 VLAN 後,按一下儲存 (SAVE),並回到裝置 (Device) 頁面。
  12. 按一下右下角的儲存變更 (Save Changes),以套用您的組態。