Comment contrôler l'accès à des VLAN dans junos
Afin de limiter l'utilisation du réseau uniquement pour les utilisateurs valides, vous avez besoin de mettre en place des politiques Network Admission Control (NAC) sur les commutateurs. Le contrôle d'admission vous permet de contrôler strictement qui peuvent accéder au réseau, empêchant les utilisateurs non autorisés de se connecter et d'appliquer des politiques d'accès au réseau (comme assurer que les utilisateurs autorisés ont le dernier logiciel antivirus et le système d'exploitation correctifs installés sur leur PC et les ordinateurs portables).
Le logiciel Junos OS sur les commutateurs de la série EX peut utiliser le protocole IEEE 802.1X (souvent appelé dot-un-ex) Pour fournir l'authentification de tous les appareils lorsqu'ils se connectent à votre réseau local d'abord. L'authentification proprement dite est effectuée par un logiciel séparé ou sur un serveur distinct, généralement un serveur d'authentification RADIUS qui est connecté à l'un des commutateurs sur le réseau local.
Pour configurer le contrôle d'admission sur le commutateur, procédez comme suit:
Configurez l'adresse des serveurs RADIUS, avec un mot de passe que le serveur RADIUS utilise pour valider les demandes de l'interrupteur.
Cet exemple utilise l'adresse 192.168.1.2:
[accès edit] user @ junos-interrupteur # set radius-server 192.168.1.2 secrète mon mot de passe
La secret mot-clé dans cette commande configure le mot de passe que le commutateur utilise pour accéder au serveur RADIUS.
Dans le cas où le commutateur dispose de plusieurs interfaces qui peuvent atteindre le serveur RADIUS, vous pouvez attribuer une adresse IP que le commutateur peut utiliser pour toute sa communication avec le serveur RADIUS. Dans cet exemple, vous choisissez l'adresse 192.168.0.1:
[accès edit] user @ junos-interrupteur # set 192.168.1.2 radius-server source address192.168.0.1
Mise en place d'un profil d'authentification à utiliser par 802.1X:
[accès edit] user @ junos-switch # paramétrer le profil mon profil d'authentification afin rayon [d'accès modifier] user @ junos-switch # paramétrer le profil mon profil d'authentification RADIUS-server192.168.1.2
La première commande, le commutateur de contacter un serveur RADIUS lors de l'envoi des messages d'authentification. (Les autres options disponibles sont les serveurs LDAP ou l'authentification par mot de passe local.) La deuxième commande affiche l'adresse du serveur d'authentification (qui vous venez de configurer à l'étape précédente).
Configurez le protocole 802.1X lui-même, spécifiant les droits d'accès sur les interfaces de commutation:
Vous pouvez le faire par l'interface interface afin, comme suit:
[protocoles modifier] user @ junos-interrupteur # mis authentificateur dot1x authentification nom-profil-mon-profil d'interface ge-0/0 / 1.0 [protocoles modifier] user @ junos-interrupteur # set authentificateur dot1x authentification nom-profil-mon-profil l'interface ge-0/0 / 2.0 suppliant unique sécurisé
La authentification nom-profil- déclaration associe le profil d'authentification créé dans l'étape précédente avec cette interface.
Notez que vous spécifiez le nom d'interface logique (ge-0/0 / 1.0), Pas le nom de l'interface physique (ge-0/0/1).
Dans l'étape 3, le mot-clé suppliant (qui est le terme 802.1X pour un périphérique réseau à la recherche d'authentification) définit le mode administratif pour l'authentification sur le réseau local:
Mode simple: Authentifie que le premier dispositif qui se connecte au port de commutateur et permet l'accès à tous les périphériques qui se connectent plus tard sur le même port sans autre authentification. Lorsque le premier dispositif authentifié déconnecte, tous les autres appareils sont en lock-out de la LAN. Ce mode est la valeur par défaut, de sorte que vous ne devez pas l'inclure dans la configuration.
Mode mono-sécurisé: Authentifie un seul périphérique réseau par port. Dans ce mode, des dispositifs supplémentaires qui relient plus tard sur le même port ne sont pas autorisés à envoyer ou recevoir du trafic, ils ne sont pas autorisés à authentifier.
Multiple: Authentifie chaque dispositif qui se connecte au port de commutateur individuellement. Dans ce mode, des dispositifs supplémentaires qui relient plus tard sur le même port sont autorisés à authentifier et, en cas de succès, d'envoyer et de recevoir du trafic.
En mode unique, seul le premier dispositif est authentifié, et cette configuration peut être considérée comme un trou de sécurité. Si vous prévoyez des problèmes, utilisez le mode mono-sécurisé ou multiple.
Si le mode d'authentification est la même sur tous les ports de commutation, vous pouvez configurer les paramètres 802.1X à appliquer à toutes les interfaces en utilisant le mot-clé tous au lieu d'un nom d'interface:
[protocoles modifier] user @ junos-interrupteur # mis dot1x interface authentificateur tous
-
Configurer les interfaces de gestion et de bouclage - Ssh de contrôle et l'accès Telnet aux routeurs Junos
- Comment accéder aux périphériques Junos avec Telnet
- Comment configurer une bannière de connexion sur les appareils Junos
- Comment configurer plusieurs VLAN sur les commutateurs Junos
- Comment configurer le VLAN par défaut sur les commutateurs Junos
Comment configurer des comptes utilisateur dans junos Il ya deux façons que vous pouvez configurer des comptes utilisateur dans Junos - manuellement sur chaque appareil ou en utilisant un serveur d'authentification. Si vous avez un petit nombre de dispositifs et que vous ne modifiez pas souvent, la…
Comment protéger les Junos moteur de routage Bien que toutes les interfaces sont importantes, le bouclage (lo0) Interface est peut-être le plus important car il est le lien vers le moteur de routage, qui gère et surveille tous les protocoles de routage. Cet article fournit le squelette d'un…
Comment faire pour exécuter RIPv2 sur les appareils Junos Routing Information Protocol version 2 (RIPv2) est un protocole de routage à vecteur de distance et utilise la distance, mesurée dans le houblon, pour déterminer la meilleure route vers une destination. (Un protocole de routage à vecteur de…
Comment sécuriser les protocoles de routage Junos Une façon de protéger les protocoles de routage est de permettre l'authentification de sorte que les protocoles acceptent uniquement le trafic des routeurs connus de vous. Cette approche garantit que les routeurs de confiance uniquement…
Comment régler l'heure et le fuseau horaire sur les périphériques Junos Pour connaître avec précision ce que (et quand) les événements se produisent sur un seul appareil, il doit avoir l'heure exacte et le fuseau horaire. Sur tout un réseau, tous les appareils doivent avoir le même temps, surtout quand vous…
Comment tronc ensemble des VLAN sur les commutateurs Junos Ports d'accès sont tout simplement ports qui se connectent aux périphériques réseau. Par défaut, tous les ports du commutateur sont en mode d'accès, de sorte que vous ne devez spécifier ce mode dans la configuration. Lorsque vous vous…
Comment utiliser un commutateur junos comme un routeur Commutateurs de la série Juniper EX soutiennent la plupart des protocoles de routage standards Junos OS, y compris le routage statique, RIP, OSPF, IS-IS, et BGP, ainsi que des fonctionnalités telles que VRRP. Pour permettre la communication…
Juniper traducteurs pour faciliter la conversion à junos Un ensemble de traducteurs sont disponibles pour convertir des configurations à partir d'autres systèmes d'exploitation à Junos. Utilisateurs coller leur configuration existante dans l'un des traducteurs, qui se traduit par la configuration et…
Cisco Wireless LAN Controller (WLC) dispose Cisco Wireless LAN Controller (WLC) les composants du module, quel que soit le dispositif, il est présent dans, vous permet de gérer de manière centralisée et de configurer un certain nombre de points d'accès (AP) de manière simplifiée. La…
La création de réseaux locaux virtuels (VLAN) Pour créer un réseau local virtuel (VLAN) sur votre commutateur, vous pouvez taper une seule commande en mode de configuration globale: ensemble vlan VID, qui met le commutateur en mode de configuration VLAN. Cependant, en général, vous tapez…
Authentification des utilisateurs d'appareils mobiles de l'entreprise VPN Avant d'autoriser l'accès au réseau d'entreprise à partir de n'importe quel appareil mobile, vous devez d'abord identifier l'utilisateur. Un type de validation d'identité d'utilisateur est l'authentification. L'authentification des utilisateurs…
Comment LDAP est utilisé pour l'authentification et l'autorisation dans le serveur de lion Dans la plupart des répertoires de réseau modernes tels que Mac OS X Lion Server, LDAP (Lightweight Directory Access Protocol) définit la façon dont les clients communiquent avec le répertoire sur les réseaux TCP / IP. Les ordinateurs…
Comment authentifier Mac OS X dans le serveur de lion Dans Mac OS X Lion Server, services d'annuaire fournissent également l'authentification qui permet aux utilisateurs d'accéder à d'autres services. Les squelettes d'authentification communs de nombreux répertoires répandues sont Lightweight…
Comment configurer l'authentification unique pour les clients Mac en serveur de lion Après avoir réussi à lier le serveur Lion au domaine Active Directory, envisager d'appliquer Kerberos sur le serveur pour fournir la capacité unique d'authentification de vos utilisateurs. La suppression de la nécessité de multiples mots de…