Exemple : Connexion d’un serveur RADIUS pour 802.1X à un routeur MX Series
802.1X est la norme IEEE pour le contrôle d’accès réseau basé sur les ports (PNAC). La norme 802.1X vous permet de contrôler l’accès au réseau. Seuls les utilisateurs et les appareils fournissant des informations d’identification vérifiées par rapport à une base de données d’utilisateurs sont autorisés à accéder au réseau. À partir de Junos OS version 14.2, vous pouvez utiliser un serveur RADIUS comme base de données utilisateur pour l’authentification 802.1X, ainsi que pour l’authentification MAC RADIUS.
Cet exemple décrit comment connecter un serveur RADIUS à un routeur MX Series et le configurer pour 802.1X :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 14.2 ou ultérieure pour les routeurs MX240, MX480 ou MX960 s’exécutant en mode LAN amélioré et Junos OS version 14.2R3 pour tous les autres routeurs.
Un routeur faisant office d’entité d’accès au port d’authentification (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Un serveur d’authentification RADIUS compatible 802.1X. Le serveur d’authentification fait office de base de données principale et contient les informations d’identification des hôtes (demandeurs) autorisés à se connecter au réseau.
Avant de connecter le serveur au routeur, assurez-vous d’avoir :
Configurez le mode LAN amélioré sur le routeur - effectué.
Effectuez le pontage de base et la configuration VLAN sur le routeur - effectué.
Utilisateurs configurés sur le serveur d’authentification RADIUS.
Vue d’ensemble et topologie
Le routeur MX Series agit comme une entité d’accès au port (PAE) d’authentification. Il bloque tout le trafic et agit comme une porte de contrôle jusqu’à ce que le demandeur (client) soit authentifié par le serveur. L’accès est refusé à tous les autres utilisateurs et appareils.
Considérons un routeur MX Series qui fonctionne comme un port d’authentification. Il est connecté via l’interface ge-0/0/10 via le réseau IP à un serveur RADIUS. Le routeur est également relié à une salle de conférence à l’aide de l’interface ge-0/0/1, à une imprimante à l’aide de l’interface ge-0/0/20, à un concentrateur à l’aide de l’interface ge-0/0/8 et à deux suppliants ou clients via des interfaces, ge-0/0/2 et ge-0/0/9 respectivement.
| Propriété | Paramètres |
|---|---|
Matériel du routeur |
Routeur MX Series |
Nom du VLAN |
default |
Un serveur RADIUS |
Base de données principale avec l’adresse de 10.0.0.100 connecté au commutateur sur le port ge-0/0/10 |
Dans cet exemple, connectez le serveur RADIUS au port ge-0/0/10 d’accès sur le routeur MX Series. Le commutateur agit en tant qu’authentificateur et transmet les informations d’identification du demandeur à la base de données des utilisateurs sur le serveur RADIUS. Vous devez configurer la connectivité entre le routeur MX Series et le serveur RADIUS en spécifiant l’adresse du serveur et en configurant le mot de passe secret. Ces informations sont configurées dans un profil d’accès sur le commutateur.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour connecter rapidement le serveur RADIUS au commutateur, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Procédure étape par étape
Pour connecter le serveur RADIUS au commutateur :
Définissez l’adresse des serveurs et configurez le mot de passe secret. Le mot de passe secret sur le commutateur doit correspondre au mot de passe secret sur le serveur :
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
Configurez l’ordre d’authentification, en faisant radius de la première méthode d’authentification :
[edit] user@switch# set access profile profile1 authentication-order radius
Configurez une liste d’adresses IP de serveur à essayer afin d’authentifier le demandeur :
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Résultats
Affichez les résultats de la configuration :
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$9$qPT3ApBSrv69rvWLVb.P5"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérifiez que le commutateur et le serveur RADIUS sont correctement connectés.
But
Vérifiez que le serveur RADIUS est connecté au commutateur sur le port spécifié.
Action
Envoyez une requête ping au serveur RADIUS pour vérifier la connexion entre le commutateur et le serveur :
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 msSens
Les paquets de requête d’écho ICMP sont envoyés du commutateur au serveur cible à l’adresse 10.0.0.100 pour vérifier s’il est accessible sur le réseau IP. Les réponses d’écho ICMP sont renvoyées par le serveur, ce qui permet de vérifier que le commutateur et le serveur sont connectés.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.