Cómo controlar el acceso a las VLAN en Junos
Para limitar el uso de la red sólo para usuarios válidos, es necesario establecer políticas de control de admisión a la red (NAC) en los interruptores. El control de admisión permite controlar estrictamente quién puede acceder a la red, lo que impide que usuarios no autorizados de entrar y hacer cumplir las políticas de acceso a la red (como garantizar que los usuarios autorizados tienen los últimos parches de software antivirus y sistema operativo instalado en sus PCs y portátiles).
El software Junos OS en switches de la serie EX puede utilizar el protocolo IEEE 802.1X (a menudo llamado simplemente dot-one-ex) Para proporcionar la autenticación de todos los dispositivos cuando inicialmente se conectan a la red LAN. La autenticación real se realiza por software separado o un servidor independiente, generalmente un servidor de autenticación RADIUS que está conectado a uno de los conmutadores de la LAN.
Para configurar el control de admisión en el interruptor, siga estos pasos:
Configure la dirección de los servidores RADIUS, junto con una contraseña que el servidor RADIUS utiliza para validar las solicitudes del interruptor.
En este ejemplo se utiliza la dirección 192.168.1.2:
[Acceso editar] usuario @ junos-switch # set radius-server 192.168.1.2 secreto mi contraseña
los secreto palabra clave en este comando configura la contraseña que utiliza el interruptor para acceder al servidor RADIUS.
En caso de que el interruptor tiene varias interfaces que pueden alcanzar el servidor RADIUS, puede asignar una dirección IP que el conmutador puede utilizar para toda su comunicación con el servidor RADIUS. En este ejemplo, se elige la dirección 192.168.0.1:
[Acceso editar] usuario @ junos-switch # set 192.168.1.2 radio-servidor de origen-address192.168.0.1
Configurar un perfil de autenticación para ser utilizado por 802.1X:
[Acceso editar] usuario @ junos-switch # fijó el perfil my-profile radio de autenticación de orden [Acceso editar] usuario @ junos-switch # establecen el perfil my-profile radio de autenticación de server192.168.1.2
El primer comando requiere el cambio a ponerse en contacto con un servidor RADIUS al enviar mensajes de autenticación. (Las otras opciones disponibles son servidores LDAP o autenticación de contraseña local.) El segundo comando muestra la dirección del servidor de autenticación (que acaba de configurar en el paso anterior).
Configurar el protocolo 802.1X misma, especificando los permisos de acceso en las interfaces del switch:
Puede hacerlo interfaz por interfaz, de la siguiente manera:
[protocolos editar] usuario @ junos-switch # establece autenticador dot1x autenticación de nombre-perfil-mi-perfil interfaz ge-0/0 / 1.0 [protocolos editar] usuario @ junos-switch # set autenticador dot1x autenticación de nombre-perfil-mi-perfil interfaz ge-0/0 / 2.0 suplicante único seguro
los autenticación de nombre-perfil- declaración asocia el perfil de autenticación establecido en el paso anterior con esta interfaz.
Tenga en cuenta que se especifica el nombre de la interfaz lógica (ge-0/0 / 1.0), No el nombre de la interfaz física (ge-0/0/1).
En el paso 3, la palabra clave suplicante (que es el término 802.1X para un dispositivo de red que busca la autenticación) define el modo de administración para la autenticación en la red LAN:
Modo singular: Autentica sólo el primer dispositivo que se conecta al puerto del switch y permite el acceso a todos los dispositivos que más tarde se conectan al mismo puerto sin más autenticación. Cuando el dispositivo primero autenticado cierra la sesión, todos los demás dispositivos están bloqueados fuera de la LAN. Este modo es el predeterminado, por lo que no es necesario incluirlo en la configuración.
Modo de un solo seguro: Autentica único dispositivo de red por puerto. En este modo, los dispositivos adicionales que luego se conectan al mismo puerto no se les permite enviar o recibir tráfico, ni se les permite autenticar.
Múltiple: Autentica cada dispositivo que se conecta al puerto del switch de forma individual. En este modo, los dispositivos adicionales que luego se conectan al mismo puerto se les permite autenticar y, si tiene éxito, para enviar y recibir tráfico.
Cuando se utiliza un solo modo, sólo el primer dispositivo está autenticado, y esta configuración puede ser considerado como un agujero de seguridad. Si se prevé problemas, utilice el modo de un solo seguro o múltiple.
Si el modo de autenticación es el mismo en todos los puertos del switch, puede configurar los parámetros de 802.1X que se aplican a todas las interfaces mediante el uso de la palabra clave todas en lugar de un nombre de la interfaz:
[protocolos editar] usuario @ junos-switch # establece dot1x interfaz autenticador todo