Configurez vos points d’accès en tant que demandeurs IEEE 802.1X

Pour plus de sécurité, cette fonctionnalité permet de bloquer le trafic vers un point d’accès (AP) jusqu’à ce que ses informations d’identification soient vérifiées.

Certains modèles de points d’accès Juniper Mist peuvent s’authentifier auprès de leur commutateur filaire de liaison montante à l’aide de l’authentification IEEE 802.1X. Lorsque l’authentification 802.1X est implémentée, le commutateur bloque le trafic vers le point d’accès au niveau du port jusqu’à ce que ses informations d’identification soient présentées et mises en correspondance sur le serveur d’authentification (un serveur RADIUS). Lorsque le point d’accès est authentifié, le commutateur cesse de bloquer le trafic.

Pour que la fonctionnalité de demande 802.1X fonctionne sur vos points d’accès Juniper Mist™ pris en charge, assurez-vous que ces derniers disposent du micrologiciel requis, activez le profil de port de commutateur et le profil de périphérique 802.1X, et ajoutez le certificat d’autorité de certification Juniper Mist à votre serveur RADIUS.

Considérations relatives au déploiement

Pour déployer vos points d’accès Juniper Mist avec le protocole 802.1X en périphérie, vous pouvez utiliser un VLAN invité côté commutateur. Lorsqu’un VLAN invité est complètement verrouillé, à l’exception de l’accès au cloud Mist, le point d’accès peut se connecter au cloud, recevoir sa configuration et télécharger la version correcte du firmware du point d’accès (si nécessaire). Une fois la configuration du demandeur établie, le point d’accès tente de s’authentifier auprès du réseau.

Exigences: La version 0.14.x ou ultérieure du firmware du point d’accès est requise. Pour vous assurer que tous les points d’accès répondent à cette exigence, les processus ci-dessous incluent l’activation de la mise à niveau automatique dans les paramètres du site. De cette façon, tous les points d’accès obtiennent automatiquement le firmware requis pour prendre en charge cette fonctionnalité.

Note:

Les points d’accès suivants ne prennent pas en charge les demandeurs 802.1x : AP21, AP41, AP61 et BT11.

Activer la mise à jour automatique vers la version 0.14.x ou supérieure

La norme 802.1X est prise en charge dans Juniper Mist version 0.14.x ou ultérieure du firmware des points d’accès. Pour vous assurer que tous les points d’accès répondent à cette exigence, activez la mise à niveau automatique dans les paramètres du site. De cette façon, tous les points d’accès obtiennent automatiquement le firmware requis pour prendre en charge cette fonctionnalité.

Dans le menu de gauche du portail Juniper Mist, sélectionnez Organisation >Admin > Configuration du site.
Sélectionnez un site.
Sous Mise à niveau du micrologiciel de l’AP, sélectionnez Activer la mise à jour automatique.
Sous Mettre à niveau la version, sélectionnez Mise à niveau automatique du micrologiciel de production pour obtenir le dernier micrologiciel.
Sélectionnez l’heure de la journée et le jour de la semaine où vous souhaitez que la mise à niveau automatique s’exécute.
Attendez au moins 2 heures pour que les nouveaux paramètres prennent effet. Par exemple, si vous configurez ces paramètres à 14 h et que vous souhaitez mettre à jour vos points d’accès aujourd’hui, définissez l’heure sur 16 h ou plus tard.
Cliquez sur Enregistrer dans le coin supérieur droit de la page Configuration du site.

Activer 802.1X dans le profil de port du commutateur

Sur votre commutateur, activez l’authentification 802.1X pour les ports auxquels vos points d’accès se connectent. Nous vous recommandons d’utiliser un VLAN invité, un VLAN de rejet de serveur ou une solution de secours d’authentification MAC avec un VLAN par défaut qui permet aux points d’accès de se connecter au Mist Cloud, au moins pour le déploiement initial du site. De cette façon, les points d’accès peuvent se connecter en toute sécurité au cloud pour recevoir la configuration initiale et le micrologiciel des points d’accès.

Pour configurer 802.1X dans le profil de port :

Sélectionnez Organisation > modèles de commutateur, puis cliquez sur le modèle de commutateur que vous souhaitez configurer.
Dans la section Serveurs d’authentification, ajoutez vos serveurs RADIUS.
Dans la section Shared Elements (Éléments partagés), activez l’authentification 802.1X et l’authentification MAC ou le réseau invité.
- 802.1X avec authentification MAC : cette option permet à votre serveur RADIUS de bénéficier d’une visibilité et d’un contrôle complets. Lorsqu’un AP se connecte, le commutateur procède à l’authentification MAC. RADIUS doit renvoyer un VLAN d’équipement par défaut/inconnu ayant accès à Mist Cloud. Ensuite, le point d’accès se connecte au cloud, télécharge le firmware si nécessaire et reçoit la configuration du demandeur. Ensuite, le point d’accès demande l’authentification RADIUS. Lorsque l’AP est authentifié, le commutateur le place dans le(s) VLAN(s) spécifié(s).
- 802.1X avec réseau invité : cette méthode vous permet d’utiliser un VLAN invité pour fournir un accès limité aux nouveaux points d’accès jusqu’à ce qu’ils se connectent au cloud Mist et obtiennent leur configuration. Lorsqu’un AP se connecte, il est placé sur le VLAN invité. Ensuite, il se connecte au cloud, télécharge le micrologiciel si nécessaire et reçoit la configuration du demandeur. Ensuite, le point d’accès demande l’authentification RADIUS. Lorsque l’AP est authentifié, le commutateur le place dans le(s) VLAN(s) spécifié(s).
Note:
Identifiez également le VLAN dans le profil de port afin que les points d’accès soient affectés au(x) VLAN(s) souhaité(s). Vous pouvez également attribuer des VLAN via RADIUS. Reportez-vous à la section Affectation de VLAN via RADIUS (le cas échéant).

Attribution de VLAN via RADIUS (le cas échéant)

Si vous utilisez Mist Edge et que vous tunnelisez tous vos WLAN, il est probable qu’un point d’accès se connectant à un port de commutation configuré comme accès suffise. Toutefois, si vous n’utilisez pas Mist Edge ou si le trafic local des WLAN est interrompu, le port de commutation doit probablement être une liaison trunk. La plupart des systèmes d’exploitation de commutateur vous permettent de renvoyer plusieurs VLAN à partir de RADIUS.

Pour Junos, vous pouvez renvoyer plusieurs Egress-VLANID ou Egress-VLAN-Name.

Exemple pour Egress-VLAN-Name :

1 = étiqueté
2 = non étiqueté
vlan-2 et vlan-3 sont les noms VLAN sur le commutateur

Dans l’exemple ci-dessous, le VLAN 1vlan-2 est balisé et le VLAN 2vlan-3 l’est non :

Note:

Pour obtenir de l’aide sur la configuration, reportez-vous à la documentation de Junos OS.

Activez l’option 802.1X supplicant dans le profil de l’appareil

Pour configurer rapidement plusieurs points d’accès à la fois, configurez un profil d’équipement en activant cette fonctionnalité. Vous appliquerez ensuite le profil de l'appareil aux points d'accès. Lorsque le point d’accès se connecte au cloud pour la première fois, il reçoit immédiatement la configuration du demandeur.

Sélectionnez Profils d’organisation > d’appareil dans le menu de gauche du portail Juniper Mist.
Cliquez sur un profil existant ou sur Créer un profil.
Dans la section Ethernet Properties (Propriétés Ethernet) du profil de périphérique, recherchez l’option 802.1X Supplicant (Demandeur 802.1X), puis cliquez sur Enable (Activer).
Configurez tous les autres paramètres souhaités pour ce profil d’appareil.
Cliquez sur Enregistrer dans le coin supérieur droit de la page Profil de l’appareil.

Application du profil d’équipement à vos points d’accès

Lorsque vous revendiquez vos points d’accès dans votre organisation, appliquez le profil de l’appareil et identifiez le site. De cette façon, lorsque vous mettez vos points d'accès en ligne, ils obtiendront le firmware via les paramètres de mise à niveau automatique de la configuration du site, et ils obtiendront la configuration des points d'accès à partir du profil de l'appareil.

Sélectionnez Points d’accès dans le menu de gauche du portail Juniper Mist.
Cliquez sur Claim APs (Revendiquer les points d’accès) dans le coin supérieur droit de la page Access Points (Points d’accès).
Dans la fenêtre contextuelle, saisissez les codes d’activation ou les codes d’enregistrement, sélectionnez le site, puis sélectionnez le profil de l’appareil.
Cliquez sur Réclamer.

Configuration d’Access Assurance

Si vous êtes un client Juniper Mist Access Assurance, la configuration est extrêmement simple. Il vous suffit de créer une étiquette et une stratégie pour les authentifications des points d’accès et, si vous le souhaitez, de renvoyer la configuration au commutateur. Juniper Mist Access Assurance connaît automatiquement l'autorité de certification de l'organisation et n'a pas besoin d'être ajoutée manuellement dans le magasin de certificats.

Étiquette de stratégie d’authentification
Étiquette d’authentification
Validation

Étiquette de stratégie d’authentification

Voici un exemple d’étiquette correspondant aux authentifications des points d’accès. Le type d’étiquette est Attribut de certificat avec la valeur définie sur Émetteur. La valeur est l’ID de votre organisation.

Certificate Attribute Label Name, Type, and Value

Étiquette d’authentification

Une fois que vous avez créé votre étiquette correspondante, vous pouvez créer votre stratégie. Dans cet exemple, la règle consiste à faire correspondre le certificat du point d’accès, l’authentification filaire et EAP-TLS. Une fois l’authentification réussie, une configuration VLAN trunk est renvoyée au commutateur.

Validation

Si tout se passe bien, votre AP sera authentifié.

Importation de votre certificat sur votre serveur RADIUS

Juniper Mist génère un certificat d’autorité de certification unique pour votre organisation. Vous devez importer ce certificat sur votre serveur RADIUS afin que celui-ci puisse authentifier vos points d’accès.

Vous trouverez votre certificat Mist sur la page Paramètres de > de l’organisation.

Mist Certificate Link on the Organization Settings Page