Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

802.1X für Router der MX-Serie im erweiterten LAN-Modus Übersicht

Ab Junos OS Version 14.2 bietet IEEE 802.1X Netzwerk-Edge-Sicherheit und schützt Ethernet-LANs vor unbefugtem Benutzerzugriff. Die Steuerung des Zugriffs auf Ihr Netzwerk über einen Router der MX-Serie mithilfe verschiedener Authentifizierungsmethoden, z. B. 802.1X, MAC RADIUS oder eines Captive Portals, wird unterstützt.

Diese Funktionalität wird auf den folgenden MPCs auf MX240-, MX480- und MX960-Routern im erweiterten LAN-Modus unterstützt:

  • MPC4E mit zwei 100-Gigabit-Ethernet-Ports und acht 10-Gigabit-Ethernet-Ports

  • MPC4E mit zweiunddreißig 10-Gigabit-Ethernet-Ports

  • MPC3E mit einem 40-Gigabit-Ethernet-MIC mit 2 Ports und QSFP+

  • MPC1E mit vierzig 1-Gigabit-Ethernet-Ports oder zwanzig 1-Gigabit-Ethernet-Ports

Sie müssen den Router neu starten, wenn Sie den erweiterten LAN-Modus auf dem Router konfigurieren oder löschen. Die Konfiguration der network-services lan Option impliziert, dass das System im erweiterten IP-Modus ausgeführt wird. Wenn Sie ein Gerät für den Betrieb im MX-LAN-Modus konfigurieren, werden in der CLI-Schnittstelle nur die unterstützten Konfigurationsanweisungen und operativen show-Befehle angezeigt, die in diesem Modus aktiviert oder angezeigt werden können. Wenn Ihr System in einer Konfigurationsdatei Parameter enthält, die im MX-LAN-Modus nicht unterstützt werden, können Sie diese nicht unterstützten Attribute nicht bestätigen. Sie müssen die Einstellungen entfernen, die nicht unterstützt werden, und dann die Konfiguration bestätigen. Nach dem erfolgreichen CLI-Commit ist ein Neustart des Systems erforderlich, damit die Attribute wirksam werden. Wenn Sie die network-services lan Anweisung entfernen, wird das System nicht im MX-LAN-Modus ausgeführt. Daher werden alle Einstellungen angezeigt, die außerhalb des MX-LAN-Modus unterstützt werden und in der CLI-Schnittstelle definiert werden können. Wenn Ihre Konfigurationsdatei Einstellungen enthält, die nur im MX-LAN-Modus unterstützt werden, müssen Sie diese Attribute entfernen, bevor Sie die Konfiguration bestätigen. Nach dem erfolgreichen CLI-Commit ist ein Neustart des Systems erforderlich, damit die CLI-Einstellungen wirksam werden. Die Layer 2 Next-Generation CLI-Konfigurationseinstellungen werden im MX-LAN-Modus unterstützt. Daher kann das typische MX-Serie-Format von CLI-Konfigurationen im MX-LAN-Modus abweichen.

Diese Funktionalität wird für eine Virtual Chassis-Kombination der MX-Serie unterstützt, die im erweiterten LAN-Modus funktioniert (durch Eingabe der network-services lan Anweisung auf Hierarchieebene [edit chassis] ). Die Port-basierte Netzwerkzugriffssteuerung wird auf MX240-, MX480- und MX960-Routern mit MPCs sowohl im MX-LAN-Modus als auch im Nicht-MX-LAN-Modus unterstützt (mit anderen unterstützten Netzwerkdienstmodi auf MPCs dieser Router). Um das IEEE 802.1x-PNAC-Protokoll (port-based Network Access Control) auf Ethernet-Schnittstellen zu konfigurieren, müssen Sie die authenticator Anweisung auf Hierarchieebene [edit protocols authentication-access- control] konfigurieren. Sie können auch die Captive Portal-Authentifizierung auf einem Router so konfigurieren, dass Benutzer, die mit dem Switch verbunden sind, authentifiziert werden, bevor sie auf das Netzwerk zugreifen dürfen. Sie können auch den Junos Pulse Access Control Service als Zugriffsrichtlinie konfigurieren, um mit der Anweisung verbundene Benutzer für den Zugriff auf das Netzwerk und den Zugriff auf geschützte Netzwerkressourcen uac-policy zu authentifizieren und zu autorisieren.

Funktionsweise der 802.1X-Authentifizierung

Bei der 802.1X-Authentifizierung wird der Authenticator Port Access Entity gesamte Datenverkehr zu und von einem Supplicant (Endgerät) am Port blockiert, bis die Anmeldeinformationen des Supplicants auf dem Authentication server (einem RADIUS-Server) angezeigt und abgeglichen werden. Nach der Authentifizierung blockiert der Switch den Datenverkehr nicht mehr und öffnet den Port für den Supplicant.

Die Authentifizierung des Endgeräts erfolgt entweder im Modus, single-secure im Modus oder multiple im singleModus:

  • single– Authentifiziert nur das erste Endgerät. Alle anderen Endgeräte, die sich später mit dem Port verbinden, erhalten ohne weitere Authentifizierung vollen Zugriff. Sie "huckepacken" quasi die Authentifizierung der Endgeräte.

  • single-secure– Ermöglicht nur die Verbindung eines Endgeräts mit dem Port. Kein anderes Endgerät darf sich verbinden, bis sich das erste abmeldet.

  • multiple—Ermöglicht die Verbindung mehrerer Endgeräte mit dem Port. Jedes Endgerät wird einzeln authentifiziert.

Der Netzwerkzugriff kann mithilfe von VLANs und Firewall-Filtern weiter definiert werden, die beide als Filter fungieren, um Gruppen von Endgeräten zu trennen und den gewünschten Bereichen des LANs zuzuordnen. Sie können VLANs beispielsweise so konfigurieren, dass sie verschiedene Kategorien von Authentifizierungsfehlern behandeln, abhängig von:

  • Gibt an, ob das Endgerät 802.1X-fähig ist oder nicht.

  • Gibt an, ob die MAC RADIUS-Authentifizierung auf den Switch-Schnittstellen, mit denen die Hosts verbunden sind, konfiguriert wurde.

  • Gibt an, ob der RADIUS-Authentifizierungsserver nicht mehr verfügbar ist oder eine RADIUS-Zugriffsverweigerungsnachricht sendet. Weitere Informationen finden Sie unter Konfigurieren des RADIUS-Serverausfall-Fallbacks (CLI-Verfahren).

802.1X-Funktionen im Überblick

HINWEIS:

Welche 802.1X-Funktionen auf den Routern der MX-Serie verfügbar sind, hängt davon ab, welchen Switch Sie verwenden.

Die Router der MX-Serie von Juniper Networks verfügen über folgende 802.1X-Funktionen:

  • Gast-VLAN: Bietet eingeschränkten Zugriff auf ein LAN, in der Regel nur auf das Internet, für nicht reagierende Endgeräte, die nicht 802.1X-fähig sind, wenn die MAC RADIUS-Authentifizierung auf den Switch-Schnittstellen, mit denen die Hosts verbunden sind, nicht konfiguriert wurde. Außerdem kann ein Gast-VLAN verwendet werden, um Gastbenutzern eingeschränkten Zugriff auf ein LAN zu gewähren. In der Regel bietet das Gast-VLAN nur Zugriff auf das Internet und auf die Endgeräte anderer Gäste.

  • VLAN mit Serverablehnung: Bietet eingeschränkten Zugriff auf ein LAN, in der Regel nur auf das Internet, für reaktionsschnelle Endgeräte, die 802.1X-fähig sind, aber die falschen Anmeldeinformationen gesendet haben.

  • Server-fail VLAN: Bietet eingeschränkten Zugriff auf ein LAN, in der Regel nur auf das Internet, für 802.1X-Endgeräte während eines RADIUS-Server-Timeouts.

  • Dynamisches VLAN: Ermöglicht es einem Endgerät, nach der Authentifizierung dynamisch Mitglied eines VLANs zu sein.

  • Privates VLAN - Ermöglicht die Konfiguration der 802.1X-Authentifizierung auf Schnittstellen, die Mitglieder privater VLANs (PVLANs) sind.

  • Dynamische Änderungen an einer Benutzersitzung: Ermöglicht es dem Switch-Administrator, eine bereits authentifizierte Sitzung zu beenden. Diese Funktion basiert auf der Unterstützung der in RFC 3576 definierten RADIUS-Verbindungsnachricht.

  • RADIUS-Accounting: Sendet Accounting-Informationen an den RADIUS-Accounting-Server. Abrechnungsinformationen werden an den Server gesendet, wenn sich ein Abonnent an- oder abmeldet und wenn ein Abonnent ein Abonnement aktiviert oder deaktiviert.

Unterstützte Funktionen im Zusammenhang mit der 802.1X-Authentifizierung

802.1X ersetzt keine anderen Sicherheitstechnologien. 802.1X arbeitet mit Port-Sicherheitsfunktionen wie DHCP-Snooping, dynamischer ARP-Inspektion (DAI) und MAC-Begrenzung zusammen, um vor Spoofing zu schützen.

Zu den unterstützten Funktionen im Zusammenhang mit der Authentifizierung gehören:

  • Statische MAC-Umgehung: Bietet einen Umgehungsmechanismus zur Authentifizierung von Geräten, die nicht 802.1X-fähig sind (z. B. Drucker). Die statische MAC-Umgehung verbindet diese Geräte mit 802.1X-fähigen Ports und umgeht so die 802.1X-Authentifizierung.

  • MAC RADIUS-Authentifizierung: Bietet eine Möglichkeit, die MAC-Authentifizierung zu aktivieren oder zu deaktivieren, unabhängig davon, ob die 802.1X-Authentifizierung aktiviert ist.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
14.2
Ab Junos OS Version 14.2 bietet IEEE 802.1X Netzwerk-Edge-Sicherheit und schützt Ethernet-LANs vor unbefugtem Benutzerzugriff. Die Steuerung des Zugriffs auf Ihr Netzwerk über einen Router der MX-Serie mithilfe verschiedener Authentifizierungsmethoden, z. B. 802.1X, MAC RADIUS oder eines Captive Portals, wird unterstützt.