Présentation du contrôle d’accès réseau basé sur les ports IEEE 802.1x
Les routeurs MX Series prennent en charge le protocole dot1x (Port-Based Network Access Control) IEEE 802.1x sur les interfaces Ethernet pour la validation des informations d’identification du client et de l’utilisateur afin d’empêcher tout accès non autorisé à un port de routeur spécifié. Une fois l’authentification terminée, seuls les paquets de contrôle 802.1x sont autorisés et transmis au plan de contrôle du routeur pour traitement. Tous les autres paquets sont abandonnés.
Les méthodes d’authentification utilisées doivent être conformes à la norme 802.1x. L’authentification à l’aide de serveurs RADIUS et Microsoft Active Directory est prise en charge. Les méthodes d’authentification utilisateur/client suivantes sont autorisées :
EAP-MD5 (RFC 3748)
EAP-TTLS nécessite un certificat de serveur (RFC 2716)
EAP-TLS nécessite un certificat client et serveur
PEAP ne nécessite qu’un certificat de serveur
Vous pouvez utiliser à la fois des certificats client et serveur dans tous les types d’authentification, à l’exception d’EAP-MD5.
Sur le routeur MX Series, la norme 802.1x peut être activée uniquement sur les ports pontés et non sur les ports routés.
Les modifications dynamiques apportées à une session utilisateur sont prises en charge pour permettre à l’administrateur du routeur de mettre fin à une session déjà authentifiée à l’aide du message « RADIUS disconnect » défini dans la RFC 3576.