Vidéo: HP OfficeConnect 1920S Switch Initial Routing Config for Beginners 2024
Le contrôle d'admission vous permet de contrôler strictement qui peut accéder au réseau, empêchant ainsi les utilisateurs non autorisés de se connecter et d'appliquer des stratégies d'accès au réseau (par exemple, en veillant à ce que les utilisateurs ne soient pas autorisés). les utilisateurs autorisés disposent des derniers correctifs de logiciels antivirus et de systèmes d'exploitation installés sur leurs PC et portables.
Le logiciel Junos OS sur les commutateurs de la gamme EX peut utiliser le protocole IEEE 802. 1X (souvent juste appelé dot-one-ex ) pour fournir l'authentification de tous les périphériques quand ils se connectent initialement à votre LAN L'authentification réelle est faite par un logiciel séparé ou un serveur séparé, généralement un RADIUS authentique serveur d'authentification connecté à l'un des commutateurs de votre réseau local.
Pour configurer le contrôle d'admission sur le commutateur, procédez comme suit:
-
Configurez l'adresse des serveurs RADIUS, ainsi qu'un mot de passe que le serveur RADIUS utilise pour valider les demandes provenant du commutateur.
Cet exemple utilise l'adresse 192. 168. 1. 2:
[modifier l'accès] user @ junos-switch # définir le rayon-serveur 192. 168. 1. 2 secret mon-mot de passe
Le mot-clé secret Cette commande configure le mot de passe que le commutateur utilise pour accéder au serveur RADIUS.
Dans le cas où le commutateur possède plusieurs interfaces pouvant atteindre le serveur RADIUS, vous pouvez attribuer une adresse IP que le commutateur peut utiliser pour toutes ses communications avec le serveur RADIUS. Dans cet exemple, vous choisissez l'adresse 192. 168. 0. 1:
[modifier l'accès] user @ junos-switch # définir le rayon-serveur 192. 168. 1. 2 adresse-source 192. 168. 0. 1
-
Configurer un profil d'authentification à utilisé par 802. 1X:
[modifier l'accès] user @ junos-switch # définir le profil mon-profil authentification-rayon de commande [modifier l'accès] user @ junos-switch # définir le profil my-profile rayon authentification-serveur 192. 168 1. 2
La première commande nécessite que le commutateur contacte un serveur RADIUS lors de l'envoi de messages d'authentification. (Les autres options disponibles sont les serveurs LDAP ou l'authentification par mot de passe local.) La deuxième commande affiche l'adresse du serveur d'authentification (que vous venez de configurer à l'étape précédente).
-
Configurez le protocole 802. 1X en spécifiant les permissions d'accès sur les interfaces de commutation:
Vous pouvez le faire interface par interface, comme suit:
[éditer les protocoles] user @ junos-switch # définir l'authentificateur dot1x authentication-profile-name mon-profile interface ge-0/0/1. 0 [éditer les protocoles] user @ junos-switch # définir dot1x authentificateur authentication-profile-name mon-profile interface ge-0/0/2.0 supplicant single-secure
L'instruction authentication-profile-name associe le profil d'authentification établi à l'étape précédente avec cette interface.
Notez que vous spécifiez le nom de l'interface logique (ge-0/0/1.0) et non le nom de l'interface physique (ge-0/0/1).
A l'étape 3, le mot-clé supplicant (qui est le terme 802. 1X pour un périphérique réseau cherchant l'authentification) définit le mode administratif d'authentification sur le LAN:
-
Mode simple: Authentifie uniquement le premier périphérique se connecte au port du commutateur et permet l'accès à tous les périphériques qui se connectent ultérieurement au même port sans autre authentification. Lorsque le premier périphérique authentifié se déconnecte, tous les autres périphériques sont verrouillés hors du réseau local. Ce mode est le mode par défaut, vous n'avez donc pas besoin de l'inclure dans la configuration.
-
Mode sécurisé unique: Authentifie un seul périphérique réseau par port. Dans ce mode, les périphériques supplémentaires qui se connectent ultérieurement au même port ne sont pas autorisés à envoyer ou à recevoir du trafic, et ils ne sont pas autorisés à s'authentifier.
-
Multiple: Authentifie chaque périphérique qui se connecte individuellement au port du commutateur. Dans ce mode, les périphériques supplémentaires qui se connectent ultérieurement au même port peuvent s'authentifier et, en cas de succès, envoyer et recevoir du trafic.
Lors de l'utilisation du mode unique, seul le premier périphérique est authentifié et cette configuration peut être considérée comme un trou de sécurité. Si vous prévoyez des problèmes, utilisez le mode sécurisé unique ou multiple.
Si le mode d'authentification est identique sur tous les ports du commutateur, vous pouvez configurer les paramètres 802. 1X à appliquer à toutes les interfaces en utilisant le mot-clé all au lieu du nom d'interface:
[edit protocols] user @ junos-switch # définir l'interface de l'authentificateur dot1x tous
