Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Vue d’ensemble de 802.1X pour les routeurs MX Series en mode LAN amélioré

À partir de la version 14.2 de Junos OS, la norme IEEE 802.1X assure la sécurité de la périphérie du réseau, protégeant les réseaux locaux Ethernet contre tout accès non autorisé des utilisateurs. La prise en charge est implémentée pour contrôler l’accès à votre réseau via un routeur MX Series à l’aide de plusieurs méthodes d’authentification différentes, telles que 802.1X, RADIUS MAC ou un portail captif.

Cette fonctionnalité est prise en charge sur les MPC suivants sur les routeurs MX240, MX480 et MX960 en mode LAN amélioré :

  • MPC4E avec deux ports 100 Gigabit Ethernet et huit ports 10 Gigabit Ethernet

  • MPC4E avec trente-deux ports 10 Gigabit Ethernet

  • MPC3E qui contient un MIC Ethernet 40 Gigabit à 2 ports avec QSFP+

  • MPC1E avec quarante ports 1 Gigabit Ethernet ou vingt ports 1 Gigabit Ethernet

Vous devez redémarrer le routeur lorsque vous configurez ou supprimez le mode LAN amélioré sur le routeur. La configuration de l’option network-services lan implique que le système fonctionne en mode IP amélioré. Lorsque vous configurez un périphérique pour qu’il fonctionne en mode MX-LAN, seules les instructions de configuration prises en charge et les commandes d’affichage opérationnel qui peuvent être activées ou visualisées dans ce mode s’affichent dans l’interface de ligne de commande. Si votre système contient des paramètres qui ne sont pas pris en charge en mode MX-LAN dans un fichier de configuration, vous ne pouvez pas valider ces attributs non pris en charge. Vous devez supprimer les paramètres qui ne sont pas pris en charge, puis valider la configuration. Une fois la validation CLI réussie, un redémarrage du système est nécessaire pour que les attributs soient effectifs. De même, si vous supprimez l’instruction network-services lan , le système ne fonctionne pas en mode MX-LAN. Par conséquent, tous les paramètres pris en charge en dehors du mode MX-LAN sont affichés et peuvent être définis dans l’interface CLI. Si votre fichier de configuration contient des paramètres qui ne sont pris en charge qu’en mode MX-LAN, vous devez supprimer ces attributs avant de valider la configuration. Une fois la validation CLI réussie, un redémarrage du système est nécessaire pour que les paramètres CLI prennent effet. Les paramètres de configuration de l’interface de ligne de commande nouvelle génération de couche 2 sont pris en charge en mode MX-LAN. Par conséquent, le format MX Series typique des configurations CLI peut différer en mode MX-LAN.

Cette fonctionnalité est prise en charge sur une combinaison de MX Series Virtual Chassis qui fonctionne en mode LAN amélioré (en entrant l’instruction network-services lan au niveau de la [edit chassis] hiérarchie). Le contrôle d’accès réseau basé sur les ports est pris en charge sur les routeurs MX240, MX480 et MX960 avec des MPC en mode MX-LAN et en mode non-MX-LAN (avec d’autres modes de services réseau pris en charge sur les MPC de ces routeurs). Pour configurer le protocole PNAC (Port-based Network Access Control) IEEE 802.1x sur des interfaces Ethernet, vous devez configurer l’instruction authenticator au niveau de la [edit protocols authentication-access- control] hiérarchie. Vous pouvez également configurer l’authentification du portail captif sur un routeur afin que les utilisateurs connectés au commutateur soient authentifiés avant d’être autorisés à accéder au réseau. Vous pouvez également configurer le service de contrôle d’accès Junos Pulse en tant que stratégie d’accès pour authentifier et autoriser les utilisateurs connectés au commutateur à accéder au réseau et aux ressources réseau protégées à l’aide de l’instruction uac-policy .

Fonctionnement de l’authentification 802.1X

L’authentification 802.1X fonctionne à l’aide d’un (le commutateur) pour bloquer tout le trafic à destination et en provenance d’un demandeur (périphérique final) au niveau du port jusqu’à ce que les informations d’identification Authenticator Port Access Entity du demandeur soient présentées et mises en correspondance sur le Authentication server (un serveur RADIUS). Une fois authentifié, le commutateur cesse de bloquer le trafic et ouvre le port au demandeur.

Le terminal est authentifié en mode, single-secure en mode ou multiple en single mode :

  • single: authentifie uniquement le premier périphérique final. Tous les autres terminaux qui se connectent ultérieurement au port sont autorisés à accéder à l’intégralité du port sans autre authentification. Ils « se greffent » en fait sur l’authentification des terminaux.

  • single-secure: n’autorise qu’un seul terminal à se connecter au port. Aucun autre terminal n’est autorisé à se connecter tant que le premier utilisateur n’a pas été déconnecté.

  • multiple: permet à plusieurs terminaux de se connecter au port. Chaque terminal sera authentifié individuellement.

L’accès réseau peut être défini plus en détail à l’aide de VLAN et de filtres de pare-feu, qui agissent tous deux comme des filtres pour séparer et faire correspondre les groupes d’équipements finaux aux zones du LAN dont ils ont besoin. Par exemple, vous pouvez configurer les VLAN pour qu’ils gèrent différentes catégories d’échecs d’authentification en fonction des éléments suivants :

Présentation des fonctionnalités 802.1X

REMARQUE :

Les fonctionnalités 802.1X disponibles sur les routeurs MX Series dépendent du commutateur que vous utilisez.

Les fonctionnalités 802.1X des routeurs Juniper Networks MX Series sont les suivantes :

  • VLAN invité : fournit un accès limité à un réseau local, généralement uniquement à Internet, pour les périphériques finaux qui ne répondent pas et qui ne sont pas compatibles 802.1X lorsque l’authentification MAC RADIUS n’a pas été configurée sur les interfaces de commutateur auxquelles les hôtes sont connectés. En outre, un VLAN invité peut être utilisé pour fournir un accès limité à un LAN pour les utilisateurs invités. En règle générale, le VLAN invité permet d’accéder uniquement à Internet et aux terminaux des autres invités.

  • VLAN à rejet de serveur : fournit un accès limité à un réseau local, généralement uniquement à Internet, pour les terminaux réactifs qui sont compatibles 802.1X, mais qui ont envoyé des informations d’identification incorrectes.

  • VLAN en cas d’échec du serveur : fournit un accès limité à un réseau local, généralement uniquement à Internet, pour les périphériques finaux 802.1X pendant un délai d’expiration du serveur RADIUS.

  • VLAN dynamique : permet à un équipement final, après authentification, d’être membre dynamique d’un VLAN.

  • VLAN privé : permet de configurer l’authentification 802.1X sur les interfaces membres de VLAN privés (PVLAN).

  • Modifications dynamiques d’une session utilisateur : permet à l’administrateur du commutateur de mettre fin à une session déjà authentifiée. Cette fonctionnalité est basée sur la prise en charge du message de déconnexion RADIUS défini dans la RFC 3576.

  • Comptabilité RADIUS : envoie les informations comptables au serveur de comptabilité RADIUS. Les informations comptables sont envoyées au serveur chaque fois qu’un abonné se connecte ou se déconnecte et chaque fois qu’un abonné active ou désactive un abonnement.

Fonctionnalités prises en charge liées à l’authentification 802.1X

La norme 802.1X ne remplace pas les autres technologies de sécurité. Le protocole 802.1X fonctionne de pair avec des fonctionnalités de sécurité des ports, telles que la surveillance DHCP, l’inspection ARP dynamique (DAI) et la limitation MAC, pour se prémunir contre l’usurpation d’identité.

Les fonctionnalités d’authentification prises en charge sont les suivantes :

  • Contournement MAC statique : fournit un mécanisme de contournement pour authentifier les périphériques qui ne sont pas compatibles 802.1X (tels que les imprimantes). Le contournement MAC statique connecte ces périphériques aux ports compatibles 802.1X, en contournant l’authentification 802.1X.

  • Authentification MAC RADIUS : permet d’activer ou de désactiver l’authentification MAC, indépendamment de l’activation ou non de l’authentification 802.1X.

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
14.2
À partir de la version 14.2 de Junos OS, la norme IEEE 802.1X assure la sécurité de la périphérie du réseau, protégeant les réseaux locaux Ethernet contre tout accès non autorisé des utilisateurs. La prise en charge est implémentée pour contrôler l’accès à votre réseau via un routeur MX Series à l’aide de plusieurs méthodes d’authentification différentes, telles que 802.1X, RADIUS MAC ou un portail captif.