视频: juniper 1防火墙基础应用-概念和SSG.rmvb 2024
限制网络使用只有对于有效的用户,您需要在交换机上设置网络准入控制(NAC)策略,允许您严格控制谁可以访问网络,防止未经授权的用户登录并执行网络访问策略(如确保授权用户在其个人电脑和笔记本电脑上安装了最新的防病毒软件和操作系统修补程序)
<! - 1 - >EX系列交换机上的Junos OS软件可以使用IEEE 802. 1X协议通常称为 dot-one-ex ),以便在初始连接到您的LAN时提供所有设备的身份验证。实际身份验证由单独的软件或单独的服务器完成,通常是RADIUS身份验证服务器连接到LAN上的其中一个交换机。
要在交换机上设置准入控制,请执行以下步骤:
-
配置RADIUS服务器的地址以及RADIUS服务器验证来自交换机的请求的密码。
这个例子使用地址192. 168. 1. 2:
[edit access] user @ junos-switch#set radius-server 192. 168. 1. 2 secret my-password
secret secret在该命令中配置交换机用来访问RADIUS服务器的密码。
如果交换机有多个接口可以到达RADIUS服务器,则可以分配交换机可用于与RADIUS服务器进行所有通信的IP地址。在这个例子中,你选择地址192. 168. 0. 1:
[edit access] user @ junos-switch#set radius-server 192. 168. 1. 2 source-address 192. 168. 0. 1
-
设置认证配置文件为用于802.1X:
[edit access] user @ junos-switch#set profile my-profile authentication-order radius [edit access] user @ junos-switch#set profile my-profile radius authentication-server 192. 168 。1. 2
第一条命令要求交换机在发送验证消息时联系RADIUS服务器。 (其他可用的选项是LDAP服务器或本地密码认证。)第二个命令显示认证服务器的地址(刚在上一步中配置)。
-
配置802. 1X协议本身,在交换机接口上指定访问权限:
可以通过接口进行如下操作:
[编辑协议] user @ junos-switch#set dot1x authenticator authentication-profile-name my-profile interface ge-0/0/1。 0 [edit protocols] user @ junos-switch#set dot1x authenticator authentication-profile-name my- profile interface ge-0/0/2。0 supplicant single-secure
authentication-profile-name语句将上一步中建立的认证配置文件与此接口相关联。
请注意,您指定逻辑接口名称(ge-0/0 / 1.0),而不是物理接口名称(ge-0/0/1)。
在步骤3中,关键字请求者(用于寻求认证的网络设备的802.1X术语)定义了局域网中认证的管理模式:
-
单一模式: 仅验证第一个设备连接到交换机端口,并允许访问任何后来连接到相同端口的设备,而无需进一步的身份验证。当第一个通过身份验证的设备注销时,所有其他设备都将被锁定在LAN外。这种模式是默认的,所以你不需要在配置中包含它。
-
单一安全模式: 每个端口仅验证一个网络设备。在此模式下,以后连接到同一端口的其他设备不允许发送或接收流量,也不允许进行身份验证。
-
多个: 单独验证连接到交换机端口的每个设备。在此模式下,稍后连接到相同端口的其他设备将被允许进行身份验证,并且如果成功,则可以发送和接收流量。
使用单一模式时,只有第一个设备被认证,这个配置可以被认为是一个安全漏洞。如果您预见到问题,请使用单安全模式或多模式。
如果所有交换机端口的认证模式都相同,则可以使用关键字all而不是接口名称来配置802. 1X参数以应用于所有接口:
[编辑协议] user @ junos-switch #set dot1x authenticator interface all
