Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Обзор 802.1X для серия MX в режиме enhanced LAN

Начиная с Junos версии 14.2, IEEE 802.1X обеспечивает безопасность на границе сети, защищающую сети LANs ethernet от несанкционированного доступа пользователей. Поддержка реализована для управления доступом к сети через маршрутизатор серия MX посредством нескольких различных методов аутентификации, таких как 802.1X, MAC-RADIUS или Captive Portal.

Функциональность поддерживается на следующих маршрутизаторах MPC на MX240, MX480 и MX960 в улучшенном режиме LAN:

  • MPC4E с двумя 100-гигабитными Ethernet-портами и восемью 10-гигабитными ethernet портами

  • MPC4E с тридцатью 10-гигабитными портами Ethernet

  • MPC3E содержит 2-портовый 40-гигабитный MIC Ethernet с QSFP+

  • MPC1E с нежизне-гигабитными Ethernet-портами или двадцатью 1-гигабитными ethernet-портами

Необходимо перезапустить маршрутизатор при настройке или удалении улучшенного режима LAN на маршрутизаторе. При network-services lan настройке параметра предполагается, что система работает в улучшенном IP-режиме. При настройке устройства для работы в режиме MX-LAN на интерфейсе интерфейс командной строки отображаются только поддерживаемые конфигурируемые конфигурации и рабочие команды show, доступные для включения или просмотра в этом режиме. Если система содержит в файле конфигурации параметры, которые не поддерживаются в режиме MX-LAN, эти неподдержимые атрибуты не могут быть собячены. Необходимо удалить не поддерживаемые параметры и сфиксировать конфигурацию. После успешного интерфейс командной строки фиксации необходима перезагрузка системы для того, чтобы атрибуты были эффективны. Аналогичным образом, если удалить утверждение, система не будет работать в режиме network-services lan MX-LAN. Поэтому все настройки, которые поддерживаются вне режима MX-LAN, отображаются и доступны для определения в интерфейсе интерфейс командной строки интерфейса. Если файл конфигурации содержит параметры, которые поддерживаются только в режиме MX-LAN, необходимо удалить эти атрибуты до сфиксации конфигурации. После успешного интерфейс командной строки перезагрузки потребуется перезагрузка системы, чтобы интерфейс командной строки настройки вступили в силу. Настройки конфигурации layer 2 нового интерфейс командной строки поддерживаются в режиме MX-LAN. В результате стандартный формат серия MX конфигураций интерфейс командной строки в режиме MX-LAN может отличаться.

Эта функциональность поддерживается на серия MX Virtual Chassis, которая функционирует в режиме enhanced LAN (путем ввода утверждения на network-services lan[edit chassis] уровне иерархии). Контроль доступа к сети на основе порта поддерживается на MX240, MX480 и MX960 с MCS в режиме MX-LAN и в режиме не-MX-LAN (с другими поддерживаемами режимами сетевых сервисов на MCS на этих маршрутизаторах). Для настройки протокола IEEE 802.1x для управления сетевым доступом (PNAC) на интерфейсах Ethernet необходимо настроить утверждение на уровне authenticator[edit protocols authentication-access- control] иерархии. Можно также настроить аутентификацию Captive Portal на маршрутизаторе таким образом, чтобы пользователи, подключенные к коммутатору, были аутентификацией до получения доступа в сеть. Можно также настроить службу Junos Pulse Access Control в качестве политики доступа для аутентификации и авторизации пользователей, подключенных к коммутатору для доступа к сети, а также для доступа к защищенным сетевым ресурсам с помощью этого uac-policy утверждения.

Как работает аутентификация 802.1X

Аутентификация 802.1X работает с помощью объекта доступа к аутентификации порта (коммутатора) для блокирования всего трафика, впускаемого и от искомого устройства, на порт до тех пор, пока учетные данные необходимого устройства не будут представлены и не будут сопопросканированы на сервере аутентификации (RADIUS сервер). После аутентификации коммутатор прекращает блокирование трафика и открывает порт дляпроизводителя.

Аутентификация о конечном устройстве может быть обеспечена либо в одном, одиночном, так и в нескольких режимах:

  • single— Аутентификация только первого о конце устройства. Всем другим конечным устройствам, которые подключаются к порту позже, разрешен полный доступ без дальнейшей аутентификации. Фактически они "перемыкают" аутентификацию конечных устройств.

  • single-secure—Позволяет подключаться к порту только одному конечному устройству. Подключаться к другому о конечному устройству не разрешается до тех пор, пока не завершится выход первого устройства.

  • multiple- Позволяет нескольким конечным устройствам подключаться к порту. Каждое конечное устройство будет аутентификацией по отдельности.

Сетевой доступ можно дополнительно определить с помощью сетей VLANs и фильтров межсетевых экранов, которые действуют как фильтры для раздельного и совпадают групп конечных устройств в областях требуемой LAN. Например, можно настроить VLANs для обработки различных категорий сбоев аутентификации в зависимости от:

Обзор возможностей 802.1X

Прим.:

Функции 802.1X, доступные на серия MX, зависят от используемой коммутатора.

Функции 802.1X на Juniper Networks серия MX на маршрутизаторах:

  • Гостевая VLAN предоставляет ограниченный доступ к локальной сети (обычно только к Интернету) для нереактивных конечных устройств, которые не имеют возможности 802.1X, если аутентификация MAC RADIUS не была настроена на интерфейсах коммутатора, к которым подключены хосты. Кроме того, гостевую VLAN можно использовать для предоставления ограниченного доступа к локальной сети для гостевых пользователей. Как правило, гостевая VLAN предоставляет доступ в Интернет и к конечным устройствам других гостей.

  • Server-reject VLAN — предоставляет ограниченный доступ к локальной сети (обычно только к Интернету) для адаптивных конечных устройств с поддержкой 802.1X и отправленных неверных учетных данных.

  • Server-fail VLAN — предоставляет ограниченный доступ к локальной сети (обычно только к Интернету) для конечных устройств 802.1X во время RADIUS времени RADIUS серверов.

  • Динамическая VLAN — позволяет конечному устройству после аутентификации быть членом сети VLAN в динамическом виде.

  • Частная VLAN — включает настройку аутентификации 802.1X на интерфейсах, которые являются участниками частных VLAN (PVLAN).

  • Динамические изменения пользовательского сеанса — позволяет администратору коммутатора завершить сеанс, уже аутентификацию. Данная функция основана на поддержке сообщения RADIUS Disconnect Message, определенного в RFC 3576.

  • RADIUS учета – отправляет учетные данные на RADIUS учета. Учетные данные отправляются на сервер всякий раз, когда абонент входит в систему или выходит из системы, и всякий раз, когда абонент включает или деактивирует подписку.

Поддерживаемые функции, связанные с аутентификацией 802.1X

802.1X не заменяет другие технологии безопасности. 802.1X совместно работает с функциями безопасности порта, такими как функции контроля DHCP, динамическая проверка ARP (DAI) и ограничение MAC-адресов, для защиты от спуфинга.

Поддерживаемые функции, связанные с аутентификацией:

  • Обход статического MAC-пути — предоставляет механизм обхода для проверки подлинности устройств, не с поддержкой 802.1X (например, принтеров). Обход статического MAC соединяет эти устройства с портами с поддержкой 802.1X, минуя аутентификацию 802.1X.

  • Аутентификация MAC RADIUS — предоставляет средства для включения или отключения аутентификации MAC независимо от того, включена ли аутентификация 802.1X.

Таблица истории выпусков
Версия
Описание
14.2
Начиная с Junos версии 14.2, IEEE 802.1X обеспечивает безопасность на границе сети, защищающую сети LANs ethernet от несанкционированного доступа пользователей. Поддержка реализована для управления доступом к сети через маршрутизатор серия MX посредством нескольких различных методов аутентификации, таких как 802.1X, MAC-RADIUS или Captive Portal.