Überlebensfähigkeit des Standorts
Mit Access Assurance Site Survivability (NAC Edge) können Benutzer und Geräte lokal authentifiziert werden, auch wenn die WAN-Verbindung des Standorts zur Mist Access Assurance Cloud ausgefallen ist.
Übersicht über die Überlebensfähigkeit von Standorten
Mist Access Assurance ist eine Cloud-basierte Lösung, die eine hohe Verfügbarkeit für Authentifizierungs-Services gewährleistet. Es gibt jedoch Situationen, in denen Standorte weiterhin Benutzer und Geräte authentifizieren müssen, selbst wenn ihre WAN-Verbindungen ausgefallen sind. Access Assurance Site Survivability (NAC Edge) erfüllt diese Anforderung, indem es Kontinuität vor Ort bietet und sicherstellt, dass Benutzer und Geräte weiterhin eine sichere Verbindung zum Netzwerk herstellen können.
Im Site Survivability-Modus wird ein leichtgewichtiger Access Assurance-Service (NAC Edge-Service) auf der/den lokalen Juniper Mist Edge-Appliance(s) ausgeführt. Dieser Dienst verarbeitet RadSec-Anforderungen (RADIUS over TLS) mithilfe eines sicheren lokalen Caches zuvor authentifizierter Clients. Die Access Points (APs) und Switches von Mist Systems bauen einen sekundären RadSec-Tunnel zur lokalen Juniper Mist Edge auf, während Clients von Drittanbietern eine Verbindung mit demselben Juniper Mist Edge herstellen, der als RADIUS-Server fungiert. Wenn die WAN-Verbindung unterbrochen wird, führt der Proxy-Service automatisch ein Failover zum NAC Edge-Service durch, der auf dem lokalen Juniper Mist Edge ausgeführt wird, wodurch kontinuierliche Authentifizierungsservices gewährleistet sind. Wenn die WAN-Verbindung wiederhergestellt ist, geht der Authentifizierungsdatenverkehr nahtlos zurück zur Cloud-basierten Access Assurance.
- So funktioniert Site Survivability
- Was im Überlebensmodus für Standorte unterstützt wird
- Was im Überlebensmodus für Standorte nicht unterstützt wird
So funktioniert Site Survivability
Hier finden Sie einen allgemeinen Überblick darüber, wie Site Survivability funktioniert:
-
Normaler Betrieb (WAN-Verbindung ist verfügbar):
-
APs, Switches und Mist Systems Edges richten einen RadSec-Tunnel zur Cloud Network Access Control (NAC) ein.
-
Die Cloud-NAC verarbeitet die Client-Authentifizierungsanfragen über diesen RadSec-Tunnel.
-
Der NAC Edge-Service auf Standortebene von Juniper Mist Edge synchronisiert in regelmäßigen Abständen (alle 30 Minuten) einen lokalen Cache der kürzlich authentifizierten Clients und konfigurierten Serverzertifikate aus der Cloud . Beachten Sie, dass der NAC Edge RADIUS-Service Client-Authentifizierungsanfragen nur dann verarbeitet, wenn die Access Assurance-Cloud vom Juniper Mist Edge aus nicht erreichbar ist.
-
-
Ausfall (WAN-Verbindung ist ausgefallen):
-
Wenn die Verbindung zur Cloud-NAC unterbrochen wird, schalten Netzwerkgeräte automatisch auf den NAC-Edge um, der als Backup-RadSec-Server konfiguriert ist.
-
Der NAC Edge validiert Client-Zertifikate (für EAP-TLS) mithilfe Ihrer vertrauenswürdigen Zertifizierungsstelle (Organization Certificate Authority, CA), überprüft den lokalen Cache für den Client und stellt die zwischengespeicherten Autorisierungsattribute wie VLAN-Informationen bereit.
-
Clients, die nicht im Cache gefunden werden, werden einem benutzerdefinierten Standard-VLAN zugewiesen.
-
-
Wiederherstellung (WAN-Verbindung ist wiederhergestellt):
-
Geräte wechseln basierend auf ihrem integrierten Failback-Verhalten zurück zur Cloud-NAC.
-
Juniper Mist Edge stellt die primären RadSec-Sitzungen wieder her.
-
Client-Authentifizierungsanforderungen werden von der Cloud-NAC verarbeitet.
-
Was im Überlebensmodus für Standorte unterstützt wird
-
Authentifizierungsmethoden (wenn die WAN-Verbindung unterbrochen ist):
802.1X EAP-TLS und MAC Authentication Bypass (MAB) mit zwischengespeicherten Einträgen
-
Ermächtigung:
-
Das System gibt zwischengespeicherte Attribute für erkannte Clients zurück, z. B. VLAN- und RADIUS-AVPs.
-
Bei unbekannten MAB-Clients wird bei Cache-Fehlern das vom Kunden konfigurierte Standard-VLAN verwendet.
-
Für 802.1X-Clients, die die EAP-TLS-Validierung erfolgreich bestanden haben, aber nicht erkannt werden, wird bei Cache-Fehlern das Standard-VLAN verwendet.
-
-
Cache-Verhalten:
-
Konfigurierbare Time-To-Live (TTL) von 1 bis 30 Tagen, mit einer Standardeinstellung von 7 Tagen
-
Persistenter Cache auch bei Neustarts von Edge-Geräten
-
Automatische Bereinigung von Client-Einträgen nach Ablauf der TTL
-
Was im Überlebensmodus für Standorte nicht unterstützt wird
Wenn die WAN-Verbindung ausfällt, verlässt sich NAC Edge ausschließlich auf die lokal zwischengespeicherten Informationen und kann keine Verbindung zu externen Systemen herstellen. Das bedeutet:
-
EAP-TTLS und Device-Auth-Authentifizierung werden nicht unterstützt. Beispielsweise wird die kennwortbasierte Authentifizierung nicht unterstützt.
-
Externe Identitätsanbieter (IdPs) sind nicht verfügbar, sodass keine Cloud-Verzeichnis- oder IdP-Abfragen erfolgen.
-
Auf MDM-Anbietern basierende Richtlinien können nicht erzwungen werden.
-
Eine Echtzeitbewertung von Cloud-Richtlinien ist nicht möglich.
-
Neue Geräte ohne Cache-Einträge können keine dynamischen Richtlinien abrufen und erhalten das von Ihnen konfigurierte Standard-VLAN.
Konfigurieren der Einstellungen für die Überlebensfähigkeit von Standorten
-
Ein Abonnement für die Überlebensfähigkeit von Websites von Mist Access Assurance (S-CLIENT-SS-1/3/5) ist erforderlich.
-
Der Standort sollte mindestens eine Juniper Mist Edge zugewiesen sein.
-
Endgeräte (Laptops, Mobiltelefone und IoT-Geräte) sollten authentifiziert und für Ihr Unternehmensnetzwerk autorisiert sein.
So konfigurieren Sie Access Assurance Site Survivability:
-
Organisations-CA-Zertifikat (zur Validierung von EAP-TLS-Clientzertifikaten)
-
Serverzertifikat und Schlüssel für den lokalen RadSec-Listener
- Aktivieren Sie das Kontrollkästchen Aktiviert auf der Kachel Access Assurance-Site-Überlebensfähigkeit.
