Comment contrôler l'accès à des VLAN dans junos

Afin de limiter l'utilisation du réseau uniquement pour les utilisateurs valides, vous avez besoin de mettre en place des politiques Network Admission Control (NAC) sur les commutateurs. Le contrôle d'admission vous permet de contrôler strictement qui peuvent accéder au réseau, empêchant les utilisateurs non autorisés de se connecter et d'appliquer des politiques d'accès au réseau (comme assurer que les utilisateurs autorisés ont le dernier logiciel antivirus et le système d'exploitation correctifs installés sur leur PC et les ordinateurs portables).

Le logiciel Junos OS sur les commutateurs de la série EX peut utiliser le protocole IEEE 802.1X (souvent appelé dot-un-ex) Pour fournir l'authentification de tous les appareils lorsqu'ils se connectent à votre réseau local d'abord. L'authentification proprement dite est effectuée par un logiciel séparé ou sur un serveur distinct, généralement un serveur d'authentification RADIUS qui est connecté à l'un des commutateurs sur le réseau local.

Pour configurer le contrôle d'admission sur le commutateur, procédez comme suit:

  1. Configurez l'adresse des serveurs RADIUS, avec un mot de passe que le serveur RADIUS utilise pour valider les demandes de l'interrupteur.

    Cet exemple utilise l'adresse 192.168.1.2:

    [accès edit] user @ junos-interrupteur # set radius-server 192.168.1.2 secrète mon mot de passe

    La secret mot-clé dans cette commande configure le mot de passe que le commutateur utilise pour accéder au serveur RADIUS.

    Dans le cas où le commutateur dispose de plusieurs interfaces qui peuvent atteindre le serveur RADIUS, vous pouvez attribuer une adresse IP que le commutateur peut utiliser pour toute sa communication avec le serveur RADIUS. Dans cet exemple, vous choisissez l'adresse 192.168.0.1:

    [accès edit] user @ junos-interrupteur # set 192.168.1.2 radius-server source address192.168.0.1
  2. Mise en place d'un profil d'authentification à utiliser par 802.1X:

    [accès edit] user @ junos-switch # paramétrer le profil mon profil d'authentification afin rayon [d'accès modifier] user @ junos-switch # paramétrer le profil mon profil d'authentification RADIUS-server192.168.1.2

    La première commande, le commutateur de contacter un serveur RADIUS lors de l'envoi des messages d'authentification. (Les autres options disponibles sont les serveurs LDAP ou l'authentification par mot de passe local.) La deuxième commande affiche l'adresse du serveur d'authentification (qui vous venez de configurer à l'étape précédente).

  3. Configurez le protocole 802.1X lui-même, spécifiant les droits d'accès sur les interfaces de commutation:

    Vous pouvez le faire par l'interface interface afin, comme suit:

    [protocoles modifier] user @ junos-interrupteur # mis authentificateur dot1x authentification nom-profil-mon-profil d'interface ge-0/0 / 1.0 [protocoles modifier] user @ junos-interrupteur # set authentificateur dot1x authentification nom-profil-mon-profil l'interface ge-0/0 / 2.0 suppliant unique sécurisé

    La authentification nom-profil- déclaration associe le profil d'authentification créé dans l'étape précédente avec cette interface.


    Notez que vous spécifiez le nom d'interface logique (ge-0/0 / 1.0), Pas le nom de l'interface physique (ge-0/0/1).

Dans l'étape 3, le mot-clé suppliant (qui est le terme 802.1X pour un périphérique réseau à la recherche d'authentification) définit le mode administratif pour l'authentification sur le réseau local:

  • Mode simple: Authentifie que le premier dispositif qui se connecte au port de commutateur et permet l'accès à tous les périphériques qui se connectent plus tard sur le même port sans autre authentification. Lorsque le premier dispositif authentifié déconnecte, tous les autres appareils sont en lock-out de la LAN. Ce mode est la valeur par défaut, de sorte que vous ne devez pas l'inclure dans la configuration.

  • Mode mono-sécurisé: Authentifie un seul périphérique réseau par port. Dans ce mode, des dispositifs supplémentaires qui relient plus tard sur le même port ne sont pas autorisés à envoyer ou recevoir du trafic, ils ne sont pas autorisés à authentifier.

  • Multiple: Authentifie chaque dispositif qui se connecte au port de commutateur individuellement. Dans ce mode, des dispositifs supplémentaires qui relient plus tard sur le même port sont autorisés à authentifier et, en cas de succès, d'envoyer et de recevoir du trafic.

En mode unique, seul le premier dispositif est authentifié, et cette configuration peut être considérée comme un trou de sécurité. Si vous prévoyez des problèmes, utilisez le mode mono-sécurisé ou multiple.

Si le mode d'authentification est la même sur tous les ports de commutation, vous pouvez configurer les paramètres 802.1X à appliquer à toutes les interfaces en utilisant le mot-clé tous au lieu d'un nom d'interface:

[protocoles modifier] user @ junos-interrupteur # mis dot1x interface authentificateur tous

» » » » Comment contrôler l'accès à des VLAN dans junos