Video: The Choice is Ours (2016) Official Full Version 2024
Begrænsning af netbrug kun til gyldige brugere, skal du oprette politikker for adgang til adgangskontrol (NAC) på switcherne. Adgangskontrol giver dig mulighed for nøje at kontrollere, hvem der har adgang til netværket, og forhindrer uautoriserede brugere i at logge ind og håndhæve politikker for netværksadgang (som at sikre, at autoriserede brugere har de nyeste antivirusprogrammer og operativsystem patches installeret på deres pc'er og bærbare computere).
Junos OS-softwaren på EX-seriens switche kan bruge IEEE 802. 1X-protokollen (ofte kaldet dot-one-ex ) for at give autentificering af alle enheder, når de i første omgang opretter forbindelse til dit LAN. Den egentlige godkendelse udføres af separat software eller en separat server, generelt en RADIUS-autentisk atieserver, der er tilsluttet en af kontakterne på dit LAN.
Følg disse trin for at indstille adgangskontrollen på kontakten:
-
Konfigurer adressen på RADIUS-serverne sammen med et kodeord, som RADIUS-serveren bruger til at validere anmodninger fra omskifteren.
Dette eksempel bruger adressen 192. 168. 1. 2:
[rediger adgang] bruger @ junoswitch # set radius-server 192. 168. 1. 2 hemmeligt my-password
Det hemmelige søgeord I denne kommando konfigureres det kodeord, som kontakten bruger til at få adgang til RADIUS-serveren.
Hvis kontakten har flere grænseflader, der kan nå RADIUS-serveren, kan du tildele en IP-adresse, som kontakten kan bruge til al dens kommunikation med RADIUS-serveren. I dette eksempel vælger du adressen 192. 168. 0. 1:
[edit access] bruger @ junoswitch # set radius-server 192. 168. 1. 2 kilde-adresse 192. 168. 0. 1
-
Opret en godkendelsesprofil, der skal være brugt af 802. 1X:
[rediger adgang] bruger @ junoswitch # sæt profil min profil autentiseringsrækkefølge [rediger adgang] bruger @ junoswitch # set profil min profil radius godkendelsesserver 192. 168. 1. 2
Den første kommando kræver, at kontakten skal kontakte en RADIUS-server, når der sendes godkendelsesmeddelelser. (De andre tilgængelige indstillinger er LDAP-servere eller lokal adgangskode-godkendelse.) Den anden kommando viser adressen på godkendelsesserveren (som du lige har konfigureret i det foregående trin).
-
Konfigurer selv 802. 1X-protokollen, der angiver adgangstilladelser på grænsefladerne:
Du kan gøre denne grænseflade ved hjælp af grænsefladen som følger:
[edit protocols] user @ junoswitch # set dot1x authenticator autentificering-profilnavn min-profil grænseflade ge-0/0/1. 0 [rediger protokoller] bruger @ junos-switch # sæt dot1x autentifikator autentificering-profilnavn my-profile interface ge-0/0/2.0 supplicant single-secure
Erklæringen om godkendelsesprofilnavn associerer den godkendelsesprofil, der blev fastlagt i det foregående trin med denne grænseflade.
Bemærk, at du angiver det logiske interfacenavn (ge-0/0/1. 0), ikke det fysiske interfacenavn (ge-0/0/1).
I trin 3 defineres søgeordsmeddelelsen (som er 802. 1X termen for en netværksenhed, der søger godkendelse), den administrative tilstand til godkendelse på LAN'et:
-
Enkelt tilstand: Godkender kun den første enhed, der forbinder til switchporten og giver adgang til alle enheder, der senere forbinder til den samme port uden yderligere godkendelse. Når den første godkendte enhed logger ud, er alle andre enheder låst ud af LAN. Denne tilstand er standard, så du behøver ikke at medtage den i konfigurationen.
-
Single-secure mode: Godkender kun en netværksenhed pr. Port. I denne tilstand må flere enheder, der senere forbinder til samme port, ikke sende eller modtage trafik, og de må heller ikke godkende.
-
Flere: Autentificerer hver enhed, der tilsluttes omskifterporten individuelt. I denne tilstand tillades yderligere enheder, som senere forbinder til samme port, at autentificere og, hvis det lykkes, at sende og modtage trafik.
Ved brug af single mode er kun den første enhed autentificeret, og denne konfiguration kan betragtes som et sikkerhedshul. Hvis du forudser problemer, skal du bruge single-secure eller multiple mode.
Hvis autentificeringsfunktionen er den samme på alle switchporte, kan du konfigurere 802. 1X parametre til at gælde for alle grænseflader ved at bruge søgeordet alt i stedet for et interfacenavn:
[edit protocols] user @ junoswitch # sæt dot1x autentificeringsgrænseflade alle
