Video: UniFi Gastnetzwerk, Captive Portal, Zeitsteuerung, Geschwindigkeit | iDomiX 2024
Nur für gültige Benutzer müssen Sie Netzwerkzugangskontrollrichtlinien (NAC) auf den Switches einrichten. Mit der Zugangskontrolle können Sie streng steuern, wer auf das Netzwerk zugreifen darf, um zu verhindern, dass unberechtigte Benutzer sich anmelden und Richtlinien für den Netzwerkzugriff erzwingen. autorisierte Benutzer haben die neueste Antivirus-Software und Betriebssystem-Patches auf ihren PCs und Laptops installiert.
Die Junos OS-Software auf EX-Serie-Switches kann das IEEE 802. 1X-Protokoll verwenden (oft nur dot-one-ex genannt, um die Authentifizierung aller Geräte zu ermöglichen, wenn sie sich zum ersten Mal mit Ihrem LAN verbinden. Die eigentliche Authentifizierung erfolgt durch eine separate Software oder einen separaten Server, in der Regel ein RADIUS-authentisch. Server, der mit einem der Switches in Ihrem LAN verbunden ist.
Gehen Sie wie folgt vor, um die Zugangskontrolle für den Switch einzurichten:
-
Konfigurieren Sie die Adresse der RADIUS-Server zusammen mit einem Kennwort, das der RADIUS-Server verwendet, um Anforderungen vom Switch zu überprüfen.
Dieses Beispiel verwendet die Adresse 192. 168. 1. 2:
[edit access] user @ junos-switch # set radius-server 192. 168. 1. 2 secret my-password
Das geheime Schlüsselwort In diesem Befehl wird das Kennwort konfiguriert, mit dem der Switch auf den RADIUS-Server zugreift.
Falls der Switch über mehrere Schnittstellen verfügt, die den RADIUS-Server erreichen können, können Sie eine IP-Adresse zuweisen, die der Switch für die gesamte Kommunikation mit dem RADIUS-Server verwenden kann. In diesem Beispiel wählen Sie die Adresse 192. 168. 0. 1:
[editiere Zugriff] user @ junos-switch # set radius-server 192. 168. 1. 2 Quelladresse 192. 168. 0. 1
-
Richten Sie ein Authentifizierungsprofil ein von 802 verwendet. 1X:
[editierter Zugriff] user @ junos-switch # Profil setzen my-profile authentication-order radius [editierter Zugang] user @ junos-switch # Profil setzen my-profile radius authentication-server 192. 168 1. 2
Beim ersten Befehl muss der Switch einen RADIUS-Server kontaktieren, wenn er Authentifizierungsnachrichten sendet. (Die anderen verfügbaren Optionen sind LDAP-Server oder lokale Kennwortauthentifizierung.) Der zweite Befehl zeigt die Adresse des Authentifizierungsservers an (den Sie gerade im vorherigen Schritt konfiguriert haben).
-
Konfigurieren Sie das 802. 1X-Protokoll selbst und geben Sie die Zugriffsberechtigungen für die Switch-Schnittstellen an:
Sie können dies wie folgt tun:
[Edit-Protokolle] user @ junos-switch # set dot1x authenticator authentication-profilname my- Profilschnittstelle ge-0/0/1. 0 [Protokolle bearbeiten] user @ junos-switch # set dot1x Authentifikator Authentifizierung-Profilname my- Profilschnittstelle ge-0/0/2.0 supplicant single-secure
Die Anweisung authentication-profile-name ordnet das Authentifizierungsprofil, das im vorherigen Schritt erstellt wurde, dieser Schnittstelle zu.
Beachten Sie, dass Sie den Namen der logischen Schnittstelle (ge-0/0/1. 0) angeben und nicht den Namen der physischen Schnittstelle (ge-0/0/1).
In Schritt 3 definiert das Schlüsselwort supplicant (der 802. 1X-Begriff für ein Netzwerkgerät, das die Authentifizierung sucht) den Verwaltungsmodus für die Authentifizierung im LAN:
-
Einzelmodus: Authentifiziert nur das erste Gerät, das stellt eine Verbindung zum Switch-Port her und ermöglicht den Zugriff auf alle Geräte, die später ohne weitere Authentifizierung mit demselben Port verbunden werden. Wenn sich das erste authentifizierte Gerät abmeldet, werden alle anderen Geräte aus dem LAN gesperrt. Dieser Modus ist die Standardeinstellung, sodass Sie ihn nicht in die Konfiguration aufnehmen müssen.
-
Single-Secure-Modus: Authentifiziert nur ein Netzwerkgerät pro Port. In diesem Modus dürfen zusätzliche Geräte, die später mit demselben Port verbunden werden, weder Daten senden noch empfangen, noch dürfen sie sich authentifizieren.
-
Mehrfach: Authentifiziert jedes Gerät, das einzeln mit dem Switch-Port verbunden ist. In diesem Modus können sich zusätzliche Geräte, die sich später mit demselben Port verbinden, authentifizieren und im Erfolgsfall den Datenverkehr senden und empfangen.
Bei der Verwendung des Einzelmodus wird nur das erste Gerät authentifiziert, und diese Konfiguration kann als Sicherheitslücke betrachtet werden. Wenn Sie Probleme vorhersehen, verwenden Sie den Single-Secure- oder Multiple-Modus.
Wenn der Authentifizierungsmodus für alle Switchports identisch ist, können Sie 802. 1X-Parameter so konfigurieren, dass sie auf alle Schnittstellen angewendet werden, indem Sie das Schlüsselwort all anstelle eines Schnittstellennamens verwenden:
[edit protocols] user @ junos-switch # set dot1x Authentifikator Schnittstelle alle
