Βίντεο: Λύσεις Δικτύων 2016 2024
μόνο σε έγκυρους χρήστες, πρέπει να ρυθμίσετε τις πολιτικές ελέγχου πρόσβασης δικτύου (NAC) στους διακόπτες.Ο έλεγχος εισαγωγής σάς επιτρέπει να ελέγχετε αυστηρά τον χρήστη που μπορεί να αποκτήσει πρόσβαση στο δίκτυο, εμποδίζοντας μη εξουσιοδοτημένους χρήστες να συνδεθούν και να εφαρμόσουν πολιτικές πρόσβασης στο δίκτυο οι εξουσιοδοτημένοι χρήστες διαθέτουν το πιο πρόσφατο λογισμικό προστασίας από ιούς και ενημερώσεις κώδικα λειτουργικού συστήματος που είναι εγκατεστημένα στους υπολογιστές και τους φορητούς υπολογιστές τους).
Το λογισμικό JUS OS στους διακόπτες σειράς EX μπορεί να χρησιμοποιήσει το πρωτόκολλο IEEE 802. 1X συχνά αποκαλούμενη dot-one-ex ) για την παροχή ελέγχου ταυτότητας όλων των συσκευών όταν αρχικά συνδέονται στο τοπικό σας δίκτυο.Ο πραγματικός έλεγχος ταυτότητας πραγματοποιείται από χωριστό λογισμικό ή ξεχωριστό διακομιστή, που είναι συνδεδεμένος σε έναν από τους διακόπτες του τοπικού σας δικτύου.
Για να ρυθμίσετε τον έλεγχο εισαγωγής στο διακόπτη, ακολουθήστε τα εξής βήματα:
-
Ρυθμίστε τη διεύθυνση των διακομιστών RADIUS, μαζί με έναν κωδικό πρόσβασης που χρησιμοποιεί ο διακομιστής RADIUS για την επικύρωση των αιτημάτων από τον διακόπτη.
Αυτό το παράδειγμα χρησιμοποιεί τη διεύθυνση 192. 168. 1. 2:
[edit access] user @ junos-switch # set ακτίνα-server 192. 168. 1. 2 μυστικός κωδικός μου
σε αυτήν την εντολή ρυθμίζει τον κωδικό πρόσβασης που χρησιμοποιεί ο διακόπτης για πρόσβαση στον διακομιστή RADIUS.
Σε περίπτωση που ο διακόπτης έχει αρκετές διεπαφές που μπορούν να φτάσουν στο διακομιστή RADIUS, μπορείτε να αντιστοιχίσετε μια διεύθυνση IP που μπορεί να χρησιμοποιήσει ο διακόπτης για όλη την επικοινωνία του με το διακομιστή RADIUS. Σε αυτό το παράδειγμα, επιλέγετε τη διεύθυνση 192. 168. 0. 1:
[επεξεργασία πρόσβασης] user @ junos-switch # set ακτίνα-διακομιστής 192. 168. 1. 2 διεύθυνση προέλευσης 192. 168. 0. 1
-
που χρησιμοποιείται από το 802. 1X:
[edit access] user @ junos-switch # ορίσετε το προφίλ μου my-profile authentication-order ακτίνα [edit access] 1. 2.
Η πρώτη εντολή απαιτεί από το διακόπτη να επικοινωνήσει με ένα διακομιστή RADIUS κατά την αποστολή μηνυμάτων επαλήθευσης. (Οι άλλες διαθέσιμες επιλογές είναι διακομιστές LDAP ή τοπικός έλεγχος ταυτότητας με κωδικό πρόσβασης.) Η δεύτερη εντολή εμφανίζει τη διεύθυνση του διακομιστή ελέγχου ταυτότητας (ο οποίος μόλις διαμορφώσατε στο προηγούμενο βήμα).
-
Διαμορφώστε το ίδιο το πρωτόκολλο 802. 1X, καθορίζοντας τα δικαιώματα πρόσβασης στις διεπαφές διακόπτη:
Μπορείτε να κάνετε διεπαφή με διεπαφή ως εξής:
[επεξεργασία πρωτοκόλλων] user @ junos-switch # set dot1x authenticator όνομα χρήστη-προφίλ-όνομα my-profile interface ge-0/0/1. 0 [επεξεργαστείτε πρωτόκολλα] user @ junos-switch # ορίσετε dot1x έλεγχο ταυτότητας-όνομα προφίλ-my-profile διεπαφή ge-0/0/2.0 υποψήφιος μόνο-ασφαλής
Η δήλωση ταυτότητας-προφίλ-ονόματος συσχετίζει το προφίλ ελέγχου ταυτότητας που έχει καθοριστεί στο προηγούμενο βήμα με αυτήν τη διασύνδεση.
Σημειώστε ότι ορίζετε το όνομα της λογικής διεπαφής (ge-0/0/1. 0) και όχι το όνομα της φυσικής διεπαφής (ge-0/0/1).
Στο βήμα 3, ο υποψήφιος λέξη-κλειδί (ο οποίος είναι ο όρος 802. 1X για μια συσκευή δικτύου που αναζητά έλεγχο ταυτότητας) ορίζει τη μέθοδο διαχειριστή για έλεγχο ταυτότητας στο τοπικό δίκτυο:
-
Ενιαία λειτουργία: Επαληθεύει μόνο την πρώτη συσκευή συνδέεται στη θύρα του διακόπτη και επιτρέπει την πρόσβαση σε οποιαδήποτε συσκευή που αργότερα συνδέεται στην ίδια θύρα χωρίς περαιτέρω έλεγχο ταυτότητας. Όταν αποσυνδεθεί η πρώτη συσκευή ελέγχου ταυτότητας, όλες οι άλλες συσκευές κλειδώνονται από το τοπικό δίκτυο. Αυτή η λειτουργία είναι η προεπιλογή, επομένως δεν χρειάζεται να την συμπεριλάβετε στη διαμόρφωση.
-
Μία λειτουργία ασφαλείας: Επαληθεύει μόνο μία συσκευή δικτύου ανά θύρα. Σε αυτήν τη λειτουργία, οι επιπρόσθετες συσκευές που αργότερα συνδέονται στην ίδια θύρα δεν επιτρέπεται να στέλνουν ή να λαμβάνουν επισκεψιμότητα, ούτε επιτρέπεται να επαληθεύουν την ταυτότητά τους.
-
Πολλαπλές: Επαληθεύει κάθε συσκευή που συνδέεται στη θύρα του διακόπτη ξεχωριστά. Σε αυτή τη λειτουργία, οι επιπρόσθετες συσκευές που συνδέονται αργότερα στην ίδια θύρα επιτρέπεται να πιστοποιήσουν την ταυτότητά τους και, εάν είναι επιτυχείς, να αποστείλουν και να λάβουν επισκεψιμότητα.
Όταν χρησιμοποιείτε μονή λειτουργία, ελέγχεται μόνο η πρώτη συσκευή και αυτή η διαμόρφωση μπορεί να θεωρηθεί ως τρύπα ασφαλείας. Εάν προβλέπετε προβλήματα, χρησιμοποιήστε τη λειτουργία μονής ασφάλισης ή πολλαπλών λειτουργιών.
Εάν η λειτουργία ελέγχου ταυτότητας είναι η ίδια σε όλες τις θύρες μεταγωγής, μπορείτε να ρυθμίσετε τις παραμέτρους 802. 1X για όλες τις διεπαφές χρησιμοποιώντας τη λέξη κλειδί όλα αντί για όνομα διεπαφής:
[edit protocols] user @ junos-switch # set dot1x διεπαφή ταυτότητας όλων