Como controlar o acesso a VLANs no Junos

Para limitar o uso da rede apenas para usuários válidos, você precisa configurar políticas Network Admission Control (NAC) nos interruptores. controle de admissão permite um controlo rigoroso que pode acessar a rede, impedindo que usuários não autorizados login e aplicação de políticas de acesso à rede (como assegurar que os usuários autorizados tenham os mais recentes patches de software antivírus e sistema operacional instalado em seus PCs e laptops).

O software Junos OS em switches da série EX pode usar o protocolo IEEE 802.1X (muitas vezes chamado apenas dot-ona-ex) Para fornecer autenticação de todos os dispositivos quando eles inicialmente se conectar à sua rede local. A autenticação real é feito por software separado ou um servidor separado, geralmente um servidor de autenticação RADIUS que está ligado a um dos interruptores em sua LAN.

Para configurar o controle de admissão na chave, siga estes passos:

  1. Configurar o endereço dos servidores RADIUS, juntamente com uma senha que o servidor RADIUS usa para validar os pedidos do switch.

    Este exemplo usa o endereço 192.168.1.2:

    [Editar acesso] user @ junos-switch # definir raio-servidor 192.168.1.2 segredo minha palavra-passe

    o segredo palavra-chave neste comando configura a senha que o interruptor utiliza para acessar o servidor RADIUS.

    No caso de o switch tem várias interfaces que podem alcançar o servidor RADIUS, é possível atribuir um endereço IP que o interruptor pode usar de toda a sua comunicação com o servidor RADIUS. Neste exemplo, você escolhe o endereço 192.168.0.1:

    [Editar acesso] user @ junos-switch # definir raio-servidor 192.168.1.2 source-address192.168.0.1
  2. Definir um perfil de autenticação a ser usado por 802.1X:

    [Editar acesso] user @ junos-switch # conjunto de perfis meu perfil autenticação de ordem raio [editar acesso] user @ junos-switch # conjunto de perfis meu perfil raio de autenticação de server192.168.1.2

    O primeiro comando requer a mudança para contatar um servidor RADIUS quando o envio de mensagens de autenticação. (As outras opções disponíveis são servidores LDAP ou autenticação de senha local.) O segundo comando mostra o endereço do servidor de autenticação (que você acabou de configurar na etapa anterior).

  3. Configurar o protocolo 802.1X em si, especificando as permissões de acesso sobre as interfaces de switch:

    Você pode fazê-lo a interface de interface, como segue:

    [Editar protocolos] user @ junos-switch # definir autenticador dot1x autenticação-profile-nome do meu perfil de interface ge-0/0 / 1,0 [editar protocolos] user @ junos-switch # definir autenticador dot1x autenticação-profile-nome do meu perfil interface de ge-0/0 / 2,0 suplicante single-seguro

    o autenticação de nome-perfil declaração associa o perfil de autenticação estabelecida na etapa anterior com esta interface.

    Note-se que você especificar o nome de interface lógica (ge-0/0 / 1,0), E não o nome da interface física (ge-0/0/1).

No Passo 3, a palavra-chave suplicante (Que é o termo 802.1x para um dispositivo de rede que procuram autenticação) define o modo de administração para a autenticação na LAN:

  • modo single: Autentica apenas o primeiro dispositivo que se conecta à porta do switch e permite o acesso a todos os dispositivos que mais tarde se conectam à mesma porta sem autenticação adicional. Quando o primeiro dispositivo autenticado fizer fora, todos os outros dispositivos estão bloqueados fora da LAN. Este modo é o padrão, então você não precisa incluí-lo na configuração.

  • modo single-seguro: Autentica apenas um dispositivo de rede por porta. Neste modo, os dispositivos adicionais que mais tarde se conectam à mesma porta não tem permissão para enviar ou receber tráfego, nem são autorizados a autenticar.

  • Múltiplo: Autentica cada dispositivo que se conecta à porta do switch individualmente. Neste modo, os dispositivos adicionais que mais tarde se conectam à mesma porta estão autorizados a autenticar e, se bem sucedida, para enviar e receber tráfego.

Ao utilizar o modo único, apenas o primeiro dispositivo é autenticado, e esta configuração pode ser considerada como uma falha de segurança. Se você prever problemas, use o modo single-seguro ou múltipla.

Se o modo de autenticação é o mesmo em todas as portas de switch, você pode configurar os parâmetros 802.1X para aplicar a todas as interfaces usando a palavra-chave todos em vez de um nome de interface:

[Editar protocolos] user @ junos-switch # definir dot1x interface de autenticador tudo

menu