Video: Using Juniper for the First Time | JunOS CLI 2024
Ağ kullanımını sınırlamak için yalnızca geçerli kullanıcılar için anahtarlar üzerinde ağ kabul kontrolü (NAC) ilkeleri kurmanız gerekir Başvuru kontrolü, ağa kimlerin erişebileceğini tam olarak kontrol etmenizi, izinsiz kullanıcıların giriş yapmasını ve ağ erişimine ilişkin ilkeleri zorlamanızı sağlar (bunu sağlamak gibi). yetkili kullanıcılar, PC'lerine ve dizüstü bilgisayarlarına en yeni antivirüs yazılımı ve işletim sistemi yamalarını kurdu.)
EX serisi anahtarlardaki Junos OS yazılımı, IEEE 802. 1X protokolünü (LAN'a başlangıçta bağlandıklarında tüm aygıtların kimlik doğrulamasını sağlamak için genellikle nokta-bir-ex olarak adlandırılır) Gerçek kimlik doğrulama, ayrı bir yazılım veya ayrı bir sunucu, genellikle bir RADIUS otantik LAN'ınızdaki anahtarlardan birine bağlı olan ation sunucusu.
Anahtar üzerindeki kabul denetimi ayarlamak için şu adımları izleyin:
-
RADIUS sunucularının adresini, RADIUS sunucusunun anahtarın isteklerini doğrulamak için kullandığı bir parola ile yapılandırın.
Bu örnek, 192 adresini kullanmaktadır. 168. 1. 2:
[düzenleme erişimi] user @ junos-switch # set radius-server 192. 168. 1. 2 gizli benim-parolam
Gizli anahtar kelime Bu komut, anahtarın RADIUS sunucusuna erişmek için kullandığı parolayı yapılandırır.
Anahtarın RADIUS sunucusuna erişebilecek birkaç arabirim olması durumunda, anahtarın RADIUS sunucusu ile olan tüm iletişimlerinde kullanabileceği bir IP adresi atayabilirsiniz. Bu örnekte 192 adresini seçersiniz. 168. 0 1:
[düzenle erişim] user @ junos-switch # set radius-server 192. 168. 1. 2 kaynak adresi 192. 168. 0. 1
-
Olmak için bir kimlik doğrulama profili ayarlayın. 802 tarafından kullanılır. 1X:
[düzenle erişim] user @ junos-switch # profil profilini ayarla kimlik doğrulama sırası yarıçapı [düzenle erişim] user @ junos-switch # profil profilini ayarla profilim yarıçapı kimlik doğrulama sunucusu 192. 168 1. 2
İlk komut, anahtarın kimlik doğrulama iletileri gönderirken bir RADIUS sunucusuna başvurmasını gerektirir. (Kullanılabilir diğer seçenekler LDAP sunucuları veya yerel parola kimlik doğrulamasıdır.) İkinci komut kimlik doğrulama sunucusunun adresini gösterir (önceki adımda yapılandırmış olduğunuz).
-
Geçiş arabirimlerindeki erişim izinlerini belirterek 802. 1X protokolünü kendisi yapılandırın:
Arayüzü aşağıdaki gibi arayüz ile yapabilirsiniz:
[protokolleri düzenle] user @ junos-switch # set dot1x authenticator authentication-profile-name profil profilim ge-0/0/1. 0 [düzenleme protokolleri] user @ junos-switch # set dot1x kimlik doğrulayıcısı authentication-profile-name profil profilim ge-0/0/2.0 supplicant single-secure
authentication-profile-name deyimi, bir önceki adımda kurulan kimlik doğrulama profilini bu arabirimle ilişkilendirir.
Fiziksel arabirim adını (ge-0/0/1) değil mantıksal arabirim adını (ge-0/0/1. 0) belirttiğinizi unutmayın.
Adım 3'te, istek sahibi anahtar kelimesi (kimlik doğrulama isteyen bir ağ aygıtı için 802.1X terimdir) LAN üzerindeki kimlik doğrulamasına yönelik yönetim modunu tanımlar:
-
Tekli mod: Yalnızca ilk aygıtın kimlik doğrulamasını yapar anahtarlı bağlantı noktasına bağlanır ve daha sonra başka kimlik doğrulaması yapılmaksızın aynı bağlantı noktasına bağlanan tüm cihazlara erişime izin verir. İlk kimliği doğrulanan cihaz günlüğe çıktığında diğer tüm cihazlar LAN dışına kilitlenir. Bu mod varsayılantır, bu nedenle yapılandırmaya dahil etmeniz gerekmez.
-
Tek güvenli mod: Her bağlantı noktası için yalnızca bir ağ aygıtını doğrular. Bu modda, daha sonra aynı bağlantı noktasına bağlanan ek aygıtların trafik almasına veya almasına izin verilmez ve kimlik doğrulaması yapılmasına izin verilmez.
-
Çoklu: Anahtar bağlantı noktasına tek tek bağlanan her aygıtı tek tek doğrulamaktadır. Bu modda, daha sonra aynı bağlantı noktasına bağlanan ek aygıtların kimlik doğrulamasına izin verilir ve başarılıysa trafik gönderip alabilir.
Tek mod kullanırken yalnızca ilk aygıt doğrulanır ve bu yapılandırma bir güvenlik açıklığı olarak kabul edilebilir. Sorunlar öngörüyorsanız, tekli güvence veya çoklu mod kullanın.
Kimlik doğrulama modu tüm anahtar portlarında aynı ise, 802. 1X parametrelerini bir arabirim adı yerine anahtar kelime all kullanarak tüm arabirimler için geçerli olacak şekilde yapılandırabilirsiniz:
[protokolleri düzenle] user @ junos-switch # set dot1x kimlik doğrulayıcı arayüzü tüm
