Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation du 802.1X pour MX Series routeurs en mode LAN amélioré

Depuis la version 14.2 de Junos os, la IEEE 802.1X assure la sécurité en périphérie du réseau et protège les réseaux lan Ethernet des accès non autorisés des utilisateurs. La prise en charge est mise en œuvre pour contrôler l’accès à votre réseau par le biais d’un routeur MX Series en utilisant plusieurs méthodes d’authentification différentes, telles que 802.1X, MAC RADIUS ou un portail captif.

Cette fonctionnalité est prise en charge sur les MPC suivants sur les routeurs MX240, MX480 et MX960 en mode LAN amélioré:

  • MPC4E avec deux ports 100 Gigabit Ethernet et huit ports 10 Gigabit Ethernet

  • MPC4E avec trente-deux ports 10 Gigabit Ethernet

  • MPC3E avec MIC 40 Gigabit Ethernet 2 ports avec QSFP+

  • MPC1E avec 4 ports 1 Gigabit Ethernet ou 2 ports 1 Gigabit Ethernet

Vous devez redémarrer le routeur lorsque vous configurez ou supprimez le mode LAN amélioré sur celui-ci. La configuration de network-services lan l’option indique que le système s’exécute en mode IP amélioré. Lorsque vous configurez un équipement pour fonctionner en mode MX-LAN, seules les instructions de configuration prise en charge et les commandes d’affichage opérationnelles disponibles pour l’activation ou l’affichage de ce mode sont affichées dans l’interface CLI réseau. Si votre système contient des paramètres qui ne sont pas pris en charge en mode MX-LAN dans un fichier de configuration, vous ne pouvez pas valider ces attributs non pris en charge. Vous devez supprimer les paramètres non pris en charge, puis valider la configuration. Une fois la validation CLI réussie, un redémarrage du système est nécessaire pour que les attributs soient efficaces. De même, si vous supprimez l’instruction, le système ne s’exécute pas en network-services lan mode MX-LAN. Tous les paramètres pris en charge en dehors du mode MX-LAN sont donc affichés et sont disponibles pour définition dans l’interface CLI interface. Si votre fichier de configuration contient des paramètres uniquement pris en charge en mode MX-LAN, vous devez supprimer ces attributs avant de valider la configuration. Une fois la validation CLI réussie, un redémarrage du système sera requis pour que les paramètres d’CLI prennent effet. Les paramètres de configuration de couche 2 CLI nouvelle génération sont pris en charge en mode MX-LAN. En conséquence, le format type MX Series configurations d’CLI peut varier en mode MX-LAN.

Cette fonctionnalité est prise en charge par une MX Series Virtual Chassis qui fonctionne en mode LAN amélioré (en entrant l’énoncé au niveau network-services lan[edit chassis] de la hiérarchie). Le contrôle d’accès réseau basé sur les ports est pris en charge sur les routeurs MX240, MX480 et MX960 avec MPC dans le mode MX-LAN et le mode non-MX-LAN (avec d’autres modes de services réseau pris en charge sur ces routeurs). Pour configurer le protocole IEEE PNAC (Network Access Control) 802.1x basé sur des ports sur les interfaces Ethernet, vous devez configurer l’énoncé au niveau de authenticator[edit protocols authentication-access- control] la hiérarchie. Vous pouvez également configurer l’authentification sur un portail captif sur un routeur afin que les utilisateurs connectés au commutateur soient authentifiés avant d’être autorisés à accéder au réseau. Vous pouvez également configurer Contrôle des accès Junos Pulse Service comme stratégie d’accès pour authentifier et autoriser les utilisateurs connectés au commutateur pour admission sur le réseau et pour accès aux ressources réseau protégées en utilisant la uac-policy déclaration.

Fonctionnement de l’authentification 802.1X

L’authentification 802.1X fonctionne à l’aide d’une entité d’accès au port authentifiée (le commutateur) pour bloquer tout le trafic à l’entrée et à partir d’un demandeur (équipement final) au niveau du port, jusqu’à ce que les informations d’identification du demandeur soient présentées et correspondre sur le serveur d’authentification (serveur RADIUS). Une fois authentifié, le commutateur bloque le trafic et ouvre le port au demandeur.

L’équipement final est authentifié en mode unique,en mode unique sécurisé ou en mode multiple:

  • single— Authentifier uniquement le premier équipement final. Tous les autres équipements finaux qui se connectent ultérieurement au port sont autorisés à accéder intégralement sans aucune authentification supplémentaire. Ils « reroutent » efficacement l’authentification des équipements finaux.

  • single-secure— Permet de connecter uniquement un équipement final au port. Aucun autre terminal n’est autorisé à se connecter tant que le premier ne s’est pas déconnecté.

  • multiple— Permet à plusieurs équipements finaux de se connecter au port. Chaque terminal s’authentifiera individuellement.

L’accès réseau peut être davantage défini à l’aide de VLANs et de filtres de pare-feu, qui agissent tous deux comme des filtres pour séparer et assortir les groupes de terminaux aux zones du réseau local qu’ils nécessitent. Par exemple, vous pouvez configurer des VLAN pour gérer différentes catégories de défaillances d’authentification selon:

  • Que l’équipement final soit ou non activé en 802.1X.

  • Que l’authentification MAC RADIUS a été configurée sur les interfaces de commuter à laquelle les hôtes sont connectés.

  • Que le serveur RADIUS d’authentification ne soit plus disponible ou qu’il envoie RADIUS un message de refus d’accès. Voir Configurer la RADIUS échec d’un serveur (CLI).

Présentation des fonctionnalités du 802.1X

Remarque :

Les fonctionnalités 802.1X disponibles sur les routeurs MX Series dépendent du commutateur que vous utilisez.

Les fonctionnalités du 802.1X sur Juniper Networks MX Series routeurs sont:

  • VLAN invité: fournit un accès limité à un réseau lan, généralement uniquement via Internet, pour les équipements finaux non réponsibles qui ne sont pas activés en 802.1X lorsque l’authentification MAC RADIUS n’a pas été configurée sur les interfaces de commuter à laquelle les hôtes sont connectés. En outre, un VLAN invité peut être utilisé pour fournir un accès limité à un réseau lan pour les utilisateurs invités. En règle générale, le VLAN invité fournit un accès à Internet et aux terminaux des autres invités.

  • Rejeter le serveur VLAN: fournit un accès limité à un réseau lan, généralement uniquement via Internet, pour les équipements finaux réactifs qui sont 802.1X et qui ont envoyé les données d’identification erronées.

  • VLAN à échec serveur: fournit un accès limité à un réseau lan, généralement uniquement via Internet, pour les équipements finaux 802.1X lors d’RADIUS d’un serveur.

  • VLAN dynamique: permet à l’équipement final, après l’authentification, d’être membre d’un VLAN de manière dynamique.

  • VLAN privé: permet la configuration de l’authentification 802.1X sur les interfaces membres de VLAN privés (PVLAN).

  • Modifications dynamiques d’une session utilisateur: permet à l’administrateur du commutateur de mettre fin à une session déjà authentifiée. Cette fonctionnalité est basée sur la prise en charge du message RADIUS Déconnexion défini dans le RFC 3576.

  • RADIUS comptabilisation: envoie des informations de comptabilisation au RADIUS de comptabilité. Les informations de comptabilisation sont envoyées au serveur dès qu’un abonné se connecte ou se déconnecte, et lorsqu’un abonné active ou désactive un abonnement.

Fonctionnalités prise en charge relatives à l’authentification 802.1X

La technologie 802.1X ne remplace pas les autres technologies de sécurité. 802.1X fonctionne de concert avec les fonctionnalités de sécurité des ports, telles que la surveillance DHCP, l’inspection du protocole ARP dynamique (DAI) et la limitation MAC, afin de se prémunir contre toute usurpation.

Les fonctionnalités d’authentification prise en charge sont les suivantes:

  • Dérivation MAC statique: fournit un mécanisme de dérivation pour authentifier les équipements non 802.1X (comme les imprimantes). La dérivation MAC statique connecte ces équipements aux ports 802.1X, contournant ainsi l’authentification 802.1X.

  • Authentification RADIUS MAC: permet d’activer ou de désactiver l’authentification MAC indépendamment de l’authentification 802.1X.

Tableau de l'historique des versions
Version
Description
14.2
Depuis la version 14.2 de Junos os, la IEEE 802.1X assure la sécurité en périphérie du réseau et protège les réseaux lan Ethernet des accès non autorisés des utilisateurs. La prise en charge est mise en œuvre pour contrôler l’accès à votre réseau par le biais d’un routeur MX Series en utilisant plusieurs méthodes d’authentification différentes, telles que 802.1X, MAC RADIUS ou un portail captif.