Hur att kontrollera åtkomsten till VLAN i Junos

March 5

För att begränsa användningen av nätet endast giltiga användare, måste du ställa in Network Admission Control (NAC) politik på växlarna. Antagning kontrollen kan du strikt kontrollera vem som kan komma åt nätverket, förhindrar obehöriga användare från att logga in och genomdriva politik för nätverksåtkomst (som att se till att behöriga användare har de senaste antivirusprogram och operativsystem patchar installerade på sina datorer och bärbara datorer).

Den Junos OS-programvaran på EX-serien switchar kan använda IEEE 802.1X-protokollet (ofta bara kallas dot-ett-ex) för att tillhandahålla autentisering av alla enheter när de ursprungligen ansluta till ditt LAN. Själva autentiseringen görs genom separat program eller en separat server, vanligtvis en RADIUS autentiseringsserver som är ansluten till en av omkopplarna på ditt LAN.

För att ställa in tillträdelsekontroU på switchen, så här:

  1. Konfigurera adressen för RADIUS-servrar, tillsammans med ett lösenord som RADIUS-servern använder för att validera förfrågningar från växeln.

    Detta exempel använder adressen 192.168.1.2:

    [Redigera åtkomst]
    användare @ Junos-switch # inställd radie-server 192.168.1.2 hemlighet my-lösenord

    Den hemliga nyckelord i detta kommando konfigurerar lösenord som switchen använder för att få åtkomst till RADIUS-servern.

    Om omkopplaren har flera gränssnitt som kan nå RADIUS-servern, kan du tilldela en IP-adress att strömbrytaren kan använda för all sin kommunikation med RADIUS-servern. I det här exemplet väljer du adressen 192.168.0.1:

    [Redigera åtkomst]
    användare @ Junos-switch # inställd radie-server 192.168.1.2 källadress
    192.168.0.1

  2. Inrätta en autentiseringsprofil som ska användas av 802.1X:

    [Redigera åtkomst]
    användare @ Junos-switch # inställd profilera min profil autentisering-beställning radie

    [Redigera åtkomst]
    användare @ Junos-switch # inställd profilera min profil radie autentisering-server
    192.168.1.2

    Den första kommandot kräver växeln att kontakta en RADIUS-server när du skickar autentiseringsmeddelanden. (De andra tillgängliga alternativen är LDAP-servrar eller lokal lösenordsautentisering.) Det andra kommandot visar adressen till autentiseringsservern (som du just konfigurerat i föregående steg).

  3. Konfigurera 802.1X-protokollet i sig, ange behörigheter på switchen gränssnitt:

    Du kan göra så samverka med gränssnitt, enligt följande:

    [Redigera protokoll]
    användare @ Junos-switch # inställd dot1x autentiseraren autentisering-profil-namn min-
    profilgränssnitt GE-0/0 / 1.0

    [Redigera protokoll]
    användare @ Junos-switch # inställd dot1x autentiseraren autentisering-profil-namn min-
    profilgränssnitt GE-0/0 / 2.0 supplikant singel-secure

    Autentiserings-profil-name uttalande associerar autentiseringsprofil som upprättats i föregående steg med detta gränssnitt.

    Observera att du anger det logiska gränssnittet namnet (GE-0/0 / 1.0), inte det fysiska gränssnittet namnet (GE-0/0/1).

I steg 3, nyckelordet supplikant (som är den 802.1X termen för en nätverksenhet söker autentisering) definierar den administrativa läget för autentisering på LAN:

  • Single-mode: Autentiserar bara den första enhet som ansluter till växelporten och ger tillgång till alla enheter som senare ansluter till samma hamn utan ytterligare autentisering. När den första autentiserad enheten loggar ut, är alla andra enheter utelåst från LAN. Detta läge är standard så du donâ € t behov av att inkludera det i konfigurationen.
  • Single-säkert läge: Autentiserar bara en nätverksenhet per port. I det här läget är ytterligare enheter som senare ansluter till samma port inte tillåtet att skicka eller ta emot trafik, inte heller är de tillåtet att autentisera.
  • Flera: Autentiserar varje enhet som ansluts till switchen porten individuellt. I det här läget är ytterligare enheter som senare ansluter till samma port tillåts att autentisera och, om det lyckas, för att skicka och ta emot trafik.

Vid användning av single-mode, endast den första enheten är verifierad, och denna konfiguration kan anses vara en säkerhetsrisk. Om du förutse problem, använd enda säkra eller multipel läget.

Om autentiseringsläge är samma på alla switchportar, kan du konfigurera 802.1X parametrar för att gälla för alla gränssnitt med hjälp av nyckelordet alla istället för en gränssnittsnamn:

[Redigera protokoll]
användare @ Junos-switch # inställd dot1x authenticator gränssnitt alla