802.1X para roteadores da Série MX em visão geral aprimorada do modo LAN
Começando pelo Junos os Release 14.2, o IEEE 802.1X oferece segurança de borda de rede, protegendo as LANs Ethernet contra acesso de usuário não autorizado. O suporte é implementado para controlar o acesso à sua rede por meio de um roteador da Série MX usando vários métodos de autenticação diferentes, como 802.1X, MAC RADIUS ou um portal cativo.
Essa funcionalidade é suportada nos seguintes MPCs nos roteadores MX240, MX480 e MX960 em modo LAN aprimorado:
MPC4E com duas portas Ethernet de 100 Gigabit e oito portas Ethernet de 10 Gigabit
MPC4E com trinta e duas portas Ethernet de 10 Gigabit
MPC3E que contém um MIC Ethernet de 40 Gigabits de 2 portas com QSFP+
MPC1E com quarenta portas Ethernet de 1 Gigabit ou vinte portas Ethernet de 1 Gigabit
Você deve reiniciar o roteador quando configurar ou excluir o modo LAN aprimorado no roteador. Configurar a opção implica que o sistema está sendo executado no modo IP aprimorado.network-services lan Quando você configura um dispositivo para funcionar no modo MX-LAN, apenas as declarações de configuração suportadas e os comandos de exibição operacional que estão disponíveis para habilitação ou visualização neste modo são exibidos na interface CLI. Se o seu sistema contém parâmetros que não são suportados no modo MX-LAN em um arquivo de configuração, você não pode comprometer esses atributos sem suporte. Você deve remover as configurações que não são suportadas e então confirmar a configuração. Após o compromisso bem-sucedido da CLI, uma reinicialização do sistema é necessária para que os atributos sejam eficazes. Da mesma forma, se você remover a declaração, o sistema não funciona no modo MX-LAN.network-services lan Portanto, todas as configurações que são suportadas fora do modo MX-LAN são exibidas e estão disponíveis para definição na interface CLI. Se o seu arquivo de configuração contém configurações que são suportadas apenas no modo MX-LAN, você deve remover esses atributos antes de confirmar a configuração. Após o confirmação bem-sucedido da CLI, uma reinicialização do sistema será necessária para que as configurações da CLI entrem em vigor. As configurações de CLI de próxima geração da Camada 2 são suportadas no modo MX-LAN. Como resultado, o formato típico da Série MX de configurações CLI pode diferir no modo MX-LAN.
Essa funcionalidade é suportada em uma combinação de Virtual Chassis da Série MX que funciona no modo LAN aprimorado (digitando a declaração no nível hierárquica ).network-services lan[edit chassis] O controle de acesso à rede baseado em porta é suportado em roteadores MX240, MX480 e MX960 com MPCs no modo MX-LAN e no modo não MX-LAN (com outros modos de serviços de rede suportados em MPCs nesses roteadores). Para configurar o protocolo IEEE 802.1x de controle de acesso à rede (PNAC) baseado em porta em interfaces Ethernet, você deve configurar a declaração no nível de hierarquia.authenticator[edit protocols authentication-access- control] Você também pode configurar a autenticação cativa do portal em um roteador para que os usuários conectados ao switch sejam autenticados antes de terem permissão para acessar a rede. Você também pode configurar o Junos Pulse Access Control Service como a política de acesso para autenticar e autorizar usuários conectados ao switch para admissão na rede e acesso a recursos de rede protegidos usando a declaração.uac-policy
Como funciona a autenticação 802.1X
A autenticação 802.1X funciona usando um (o switch) para bloquear todo o tráfego de e para um suplicante (dispositivo final) na porta até que as credenciais do suplicante sejam apresentadas e combinadas no (um servidor RADIUS).Authenticator Port Access EntityAuthentication server Quando autenticado, o switch para de bloquear o tráfego e abre a porta para o suplicante.
O dispositivo final é autenticado em modo , modo ou modo:singlesingle-securemultiple
single— autentica apenas o primeiro dispositivo final. Todos os outros dispositivos finais que se conectam mais tarde à porta têm acesso total sem nenhuma autenticação adicional. Eles efetivamente "piggyback" na autenticação dos dispositivos finais.
single-secure— permite que apenas um dispositivo final se conecte à porta. Nenhum outro dispositivo final pode ser conectado até que o primeiro log seja excluído.
multiple— permite que vários dispositivos finais se conectem à porta. Cada dispositivo final será autenticado individualmente.
O acesso à rede pode ser definido ainda mais usando VLANs e filtros de firewall, que atuam como filtros para separar e combinar grupos de dispositivos finais com as áreas da LAN que eles exigem. Por exemplo, você pode configurar VLANs para lidar com diferentes categorias de falhas de autenticação, dependendo de:
Se o dispositivo final está ou não habilitado para o 802.1X.
Se a autenticação MAC RADIUS foi configurada ou não nas interfaces do switch às quais os hosts estão conectados.
Não importa se o servidor de autenticação RADIUS fica indisponível ou envia uma mensagem de rejeição de acesso RADIUS. Veja configuração da falha de falha do servidor RADIUS (procedimento CLI).Configuração do fail fallback do servidor RADIUS (procedimento CLI)
Visão geral dos recursos do 802.1X
Os recursos 802.1X disponíveis nos roteadores da Série MX dependem de qual switch você está usando.
Os recursos do 802.1X nos roteadores da Série MX da Juniper Networks são:
VLAN convidado — oferece acesso limitado a uma LAN, normalmente apenas para a Internet, para dispositivos finais não responsáveis que não estão habilitados para 802.1X quando a autenticação MAC RADIUS não foi configurada nas interfaces de switch às quais os hosts estão conectados. Além disso, um VLAN convidado pode ser usado para fornecer acesso limitado a uma LAN para usuários convidados. Normalmente, o VLAN convidado oferece acesso apenas à Internet e aos dispositivos finais de outros hóspedes.
VLAN com rejeição de servidor — oferece acesso limitado a uma LAN, normalmente apenas para a Internet, para dispositivos finais responsivos habilitados para 802.1X, mas que enviaram as credenciais erradas.
VLAN com falha no servidor — oferece acesso limitado a uma LAN, normalmente apenas para a Internet, para dispositivos finais 802.1X durante um intervalo de servidor RADIUS.
VLAN dinâmico — permite que um dispositivo final, após a autenticação, seja um membro de uma VLAN dinamicamente.
VLAN privada — permite a configuração da autenticação 802.1X em interfaces que são membros de VLANs privadas (PVLANs).
Mudanças dinâmicas em uma sessão de usuário — permite que o administrador do switch encerre uma sessão já autenticada. Esse recurso é baseado no suporte da Mensagem de desconexão RADIUS definida no RFC 3576.
Contabilidade RADIUS — envia informações contábeis para o servidor de contabilidade RADIUS. As informações contábeis são enviadas ao servidor sempre que um assinante faz login ou faz login e sempre que um assinante ativa ou desativa uma assinatura.
Recursos suportados relacionados à autenticação 802.1X
O 802.1X não substitui outras tecnologias de segurança. O 802.1X trabalha em conjunto com recursos de segurança de porta, como espionagem DHCP, inspeção dinâmica de ARP (DAI) e limitação de MAC, para se proteger contra spoofing.
Os recursos suportados relacionados à autenticação incluem:
Bypass MAC estático — fornece um mecanismo de bypass para autenticar dispositivos que não são habilitados para 802.1X (como impressoras). O bypass MAC estático conecta esses dispositivos a portas habilitadas para 802.1X, ignorando a autenticação 802.1X.
Autenticação MAC RADIUS — fornece um meio de habilitar ou desabilitar a autenticação MAC independentemente de a autenticação 802.1X estar habilitada.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.