Video: Connectrix: How to Configure Dell EMC Call Home on SANnav Management Software 2024
Endast för giltiga användare måste du konfigurera NAC-policy (NAC) på växlarna. Admissionskontroll gör det möjligt att strikt kontrollera vilka som kan komma åt nätverket, förhindra obehöriga användare från att logga in och tillämpa policy för nätverksåtkomst (som att se till att behöriga användare har de senaste antivirusprogrammen och operativsystemens patchar installerade på sina datorer och bärbara datorer).
Junos OS-programvaran på EX-seriens växlar kan använda IEEE 802. 1X-protokollet (ofta kallade dot-one-ex ) för att ge autentisering av alla enheter när de ursprungligen ansluter till ditt LAN. Den faktiska autentiseringen görs av separat programvara eller en separat server, i allmänhet en RADIUS-autentisk atieserver som är ansluten till en av omkopplarna på ditt LAN.
Gör följande för att ställa in behörighetskontrollen på strömbrytaren:
-
Konfigurera adressen till RADIUS-servrarna, tillsammans med ett lösenord som RADIUS-servern använder för att validera önskemål från omkopplaren.
Detta exempel använder adressen 192. 168. 1. 2:
[edit access] user @ junoswitch # set radius-server 192. 168. 1. 2 hemligt mitt lösenord
Det hemliga sökordet I det här kommandot konfigurerar du det lösenord som växeln använder för att komma åt RADIUS-servern.
Om omkopplaren har flera gränssnitt som kan nå RADIUS-servern kan du tilldela en IP-adress som omkopplaren kan använda för all kommunikation med RADIUS-servern. I det här exemplet väljer du adressen 192. 168. 0. 1:
[edit access] user @ junos-switch # set radius-server 192. 168. 1. 2 källadress 192. 168. 0. 1
-
Ställ in en autentiseringsprofil som ska vara används av 802. 1X:
[edit access] user @ junos-switch # set profil min profil autentiserings-radien [redigera åtkomst] användare @ junos-switch # set profil min profil radius autentiseringsserver 192. 168. 1. 2
Det första kommandot kräver att omkopplaren kontaktar en RADIUS-server vid sändning av autentiseringsmeddelanden. (De andra tillgängliga alternativen är LDAP-servrar eller lokal lösenordsautentisering.) Det andra kommandot visar adressen på autentiseringsservern (som du just konfigurerat i föregående steg).
-
Konfigurera själva 802. 1X-protokollet, specificera åtkomstbehörigheterna på växlingsgränssnittet:
Du kan göra det här gränssnittet genom gränssnitt, enligt följande:
[edit protocols] user @ junoswitch # set dot1x authenticator autentiseringsprofilnamn mittprofilgränssnitt ge-0/0/1. 0 [redigera protokoll] användare @ junos-switch # set dot1x autentiseringsautentiseringsprofilnamn mittprofilgränssnitt ge-0/0/2.0 supplicant single-secure
Verifieringsprofilnamnsförklaringen associerar autentiseringsprofilen som fastställdes i föregående steg med detta gränssnitt.
Observera att du anger det logiska gränssnittsnamnet (ge-0/0/1. 0), inte det fysiska gränssnittsnamnet (ge-0/0/1).
I steg 3 definieras sökordsmeddelandet (vilket är 802. 1X-termen för en nätverksenhet som söker autentisering) administrativt läge för autentisering på LAN:
-
Enkelt läge: Bekräftar endast den första enheten som ansluts till växelporten och ger åtkomst till alla enheter som senare ansluter till samma port utan ytterligare autentisering. När den första autentiserade enheten loggar ut, låses alla andra enheter ut från LAN. Det här läget är standard, så du behöver inte inkludera det i konfigurationen.
-
Enkelskyddsläge: Verifierar endast en nätverksenhet per port. I det här läget tillåts inte ytterligare enheter som senare ansluter till samma port att skicka eller ta emot trafik, och de får inte autentisera.
-
Multiple: Verifierar varje enhet som kopplar till växelporten individuellt. I det här läget tillåts ytterligare enheter som senare ansluter till samma port, att verifiera och, om det lyckas, att skicka och ta emot trafik.
När du använder ett enkelt läge, är endast den första enheten autentiserad, och denna konfiguration kan anses vara ett säkerhetshål. Om du förutser problem använder du ett-säkert eller flera lägen.
Om autentiseringsläget är detsamma på alla växlingsportar kan du konfigurera 802. 1X parametrar som ska tillämpas på alla gränssnitt genom att använda sökordet i stället för ett gränssnittsnamn:
[edit protocols] user @ junos switch # Ange dot1x autentiseringsgränssnittet alla