Wie Zugang zu VLANs in Junos Steuerung
Um die Netznutzung nur auf gültige Benutzer beschränken, müssen Sie Network Admission Control (NAC) Richtlinien auf den Schalter einzurichten. Admission Control ermöglicht es Ihnen, genau zu kontrollieren, wer auf das Netzwerk zugreifen können, verhindert nicht autorisierte Benutzer sich anmelden und Richtlinien für den Netzzugang Durchsetzung (wie sichergestellt wird, dass autorisierte Benutzer haben die neuesten Antiviren-Software und Betriebssystem-Patches installiert auf ihren PCs und Laptops).
Die JUNOS-Software auf EX Switches der Serie können die IEEE 802.1X-Protokoll (oft verwenden nur genannt dot-one-ex) Authentifizierung aller Geräte zur Verfügung zu stellen, wenn sie zunächst mit Ihrem LAN verbinden. Die eigentliche Authentifizierung wird durch separate Software oder einem separaten Server, in der Regel einem RADIUS-Authentifizierungsserver durchgeführt, die zu einer der Schalter auf dem LAN verbunden ist.
So richten Sie die Zugangssteuerung auf den Schalter, gehen Sie folgendermaßen vor:
Konfigurieren Sie die Adresse der RADIUS-Server, zusammen mit einem Kennwort, das der RADIUS-Server zur Validierung der Anforderungen aus dem Switch verwendet.
In diesem Beispiel wird die Adresse 192.168.1.2:
[Bearbeiten Zugriff] user @ junos-Schalter # gesetzt Radius-Server 192.168.1.2 Geheimnis my-Passwort
Das Geheimnis Stichwort in diesem Befehl konfiguriert das Passwort, das der Switch den RADIUS-Server zugreift.
Falls der Schalter mehrere Schnittstellen besitzt, die den RADIUS-Server erreichen können, können Sie eine IP-Adresse zuweisen, die der Switch für alle seine Kommunikation mit dem RADIUS-Server verwenden können. In diesem Beispiel wählen Sie die Adresse 192.168.0.1:
[Bearbeiten Zugriff] user @ junos-Schalter # gesetzt Radius-Server 192.168.1.2 Quelle-address192.168.0.1
Legen Sie ein Authentifizierungsprofil bis von 802.1X verwendet werden:
[Bearbeiten Zugriff] user @ junos-Schalter # gesetzt my-Profil-Authentifizierung Ordnung Radius [bearbeiten Zugriff] Benutzerprofil @ junos-Schalter # my-Profil Radius-Authentifizierung-server192.168.1.2 Profil einstellen
Der erste Befehl erfordert den Schalter einen RADIUS-Server zu kontaktieren, wenn die Authentifizierung Senden von Nachrichten. (Die anderen verfügbaren Optionen sind LDAP-Servern oder lokalen Passwort-Authentifizierung.) Der zweite Befehl zeigt die Adresse des Authentifizierungsservers (die Sie gerade im vorherigen Schritt konfiguriert).
Konfigurieren Sie das 802.1X-Protokoll selbst unter Angabe der Zugriffsberechtigungen auf den Switch-Schnittstellen:
Sie können eine Schnittstelle tun, indem Schnittstelle, wie folgt:
[Bearbeiten Protokolle] user @ junos-Schalter # set dot1x Authenticator-Authentifizierung-profile-name my-Profil my-Profil-Schnittstelle ge-0/0 / 1.0 [Bearbeiten Protokolle] user @ junos-Schalter # set dot1x Authenticator-Authentifizierung-profile-name Schnittstelle ge-0/0 / 2.0 Supplicant Einzel sichere
Das Authentifizierung-profile-Name Anweisung ordnet den Authentifizierungsprofil mit dieser Schnittstelle in dem vorhergehenden Schritt hergestellt.
Beachten Sie, dass Sie die logische Schnittstelle Namen angeben (ge-0/0 / 1.0), Nicht die physikalische Schnittstelle Name (ge-0/0/1).
In Schritt 3 wird das Schlüsselwort Bittsteller (Das ist der 802.1X Begriff für eine Netzwerk-Gerät sucht Authentifizierung) definiert den Verwaltungsmodus für die Authentifizierung auf dem LAN:
Einspielermodus: Authentifiziert nur das erste Gerät, das mit dem Switch-Port verbindet und ermöglicht den Zugriff auf alle Geräte, die später ohne weitere Authentifizierung an den gleichen Port angeschlossen werden. Wenn der erste authentifizierte Gerät abmeldet, alle anderen Geräte werden aus dem LAN verriegelt. Dieser Modus ist die Standardeinstellung, so brauchen Sie nicht es in der Konfiguration enthalten.
Einzel-sicheren Modus: Authentifiziert nur ein Netzwerkgerät pro Port. In diesem Modus können zusätzliche Geräte, die später mit dem gleichen Port verbinden, sind nicht für den Verkehr zu senden oder zu empfangen erlaubt, noch sind sie zu authentifizieren erlaubt.
Mehrere: Authentifiziert jedes Gerät, das individuell an den Switch-Port verbindet. In diesem Modus können zusätzliche Geräte, die später mit dem gleichen Port anschließen dürfen zu authentifizieren und dann erfolgreich, wenn, Verkehr zu senden und zu empfangen.
Bei Single-Mode verwenden, wird nur das erste Gerät authentifiziert ist, und diese Konfiguration in Betracht gezogen werden kann ein Sicherheitsloch zu sein. Wenn Sie Probleme voraussehen, verwenden Sie die Single-sicheren oder mehrere Modus.
Wenn der Authentifizierungsmodus die gleiche auf allen Switch-Ports, können Sie 802.1X-Parameter konfigurieren, indem Sie mit dem Schlüsselwort auf alle Schnittstellen zu bewerben alle anstelle einer Schnittstelle Name:
[Bearbeiten Protokolle] user @ junos-Schalter # set dot1x Authenticator Schnittstelle alle