- play_arrow Aulas de login e configurações de login
- play_arrow Contas de usuário
- play_arrow Senhas para acesso ao usuário
- play_arrow Módulo de plataforma confiável
- play_arrow Autenticação do usuário
- play_arrow Gerenciamento de acesso remoto
- Visão geral do acesso remoto
- Modems USB para gerenciamento remoto de dispositivos de segurança
- Acesso seguro à Web para gerenciamento remoto
- Exemplo: Controle de acesso ao gerenciamento em dispositivos de rede da Juniper
- Diretrizes de configuração para proteger o acesso à porta do console
- Configuração do tipo de porta do console (procedimento CLI)
- play_arrow Controle de acesso
- Métodos de autenticação de controle de acesso
- Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot
- Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot
- Configuração do servidor RADIUS para autenticação
- RADIUS over TLS (RADSEC)
- Autenticação 802.1X
- Autenticação MAC RADIUS
- Contabilidade 802.1X e RADIUS
- Exemplo: Configuração do 802.1X para configurações de suplicante único ou múltiplo suplicante em um switch da Série EX
- Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um switch da Série EX
- Interfaces habilitadas para autenticação 802.1X ou MAC RADIUS
- Bypass MAC estático de autenticação MAC 802.1X e MAC RADIUS
- Configuração do PEAP para autenticação MAC RADIUS
- Autenticação de portal cativo
- Ordem de autenticação flexível nos switches da Série EX
- Falha no fallback e autenticação do servidor
- Tempo limite da sessão de autenticação
- Autenticação central da Web
- Atribuição dinâmica de VLAN para portas incolores
- VoIP nos switches da Série EX
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x
- play_arrow Descoberta de dispositivos
- play_arrow Segurança de nomes de domínio
- Visão geral do DNSSEC
- Configuração do valor de TTL para caching de servidor DNS
- Exemplo: Configuração do DNSSEC
- Exemplo: Configuração de domínios seguros e chaves confiáveis para DNSSEC
- Exemplo: Configuração de chaves para DNSSEC
- Visão geral do proxy de DNS
- Configurando o dispositivo como um proxy de DNS
- play_arrow Bandeiras de permissão
- acesso
- controle de acesso
- admin
- controle de administração
- todo
- claro
- configurar
- Controle
- campo
- firewall
- controle de firewall
- disquete
- flow-tap
- controle de fluxo de tap
- operação flow-tap
- operação de idp-profiler
- interface
- controle de interface
- manutenção
- rede
- espelhamento de sessão pgcp
- pgcp-session-mirroring-control
- repor
- reversão
- roteamento
- controle de roteamento
- segredo
- controle secreto
- segurança
- controle de segurança
- concha
- Snmp
- controle de snmp
- sistema
- controle do sistema
- traço
- trace-control
- vista
- configuração de visualização
- play_arrow Declarações de configuração e comandos operacionais
Exemplo: Conectando um servidor RADIUS para 802.1X a um roteador da Série MX
802.1X é o padrão IEEE para controle de acesso à rede baseado em porta (PNAC). Você usa o 802.1X para controlar o acesso à rede. Apenas usuários e dispositivos que fornecem credenciais verificadas em um banco de dados de usuários têm acesso à rede. Começando pelo Junos OS Release 14.2, você pode usar um servidor RADIUS como banco de dados de usuário para autenticação 802.1X, bem como para autenticação MAC RADIUS.
Este exemplo descreve como conectar um servidor RADIUS a um roteador da Série MX e configurá-lo para 802.1X:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Junos OS Release 14.2 ou posterior para roteadores MX240, MX480 ou MX960 em execução no modo LAN aprimorado e Junos OS Release 14.2R3 para todos os outros roteadores.
Um roteador atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Um servidor de autenticação RADIUS que oferece suporte ao 802.1X. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Antes de conectar o servidor ao roteador, certifique-se de ter:
Modo LAN aprimorado configurado no roteador.
Realizou a ponte básica e a configuração de VLAN no roteador.
Usuários configurados no servidor de autenticação RADIUS.
Visão geral e topologia
O roteador da Série MX atua como uma Entidade de Acesso de Porta (PAE) autenticadora. Ele bloqueia todo o tráfego e funciona como um portão de controle até que o suplicante (cliente) seja autenticado pelo servidor. Todos os outros usuários e dispositivos estão impedidos de acessar.
Considere um roteador da Série MX que funciona como uma porta autenticadora. Ele está conectado usando a interface, ge-0/0/10, pela rede IP a um servidor RADIUS. O roteador também está vinculado a uma sala de conferência usando a interface, ge-0/0/1, a uma impressora usando a interface, ge-0/0/20, para um hub usando a interface, ge-0/0/8, e para dois suplicantes ou clientes em interfaces, ge-0/0/2 e ge-0/0/9, respectivamente.
Propriedade | Configurações |
---|---|
Hardware do roteador | Roteador da Série MX |
Nome da VLAN | default |
Um servidor RADIUS | Banco de dados de back-end com um endereço conectado 10.0.0.100 ao switch na porta ge-0/0/10 |
Neste exemplo, conecte o servidor RADIUS à porta ge-0/0/10 de acesso no roteador da Série MX. O switch atua como autenticador e encaminha credenciais do suplicante para o banco de dados do usuário no servidor RADIUS. Você deve configurar a conectividade entre o roteador da Série MX e o servidor RADIUS especificando o endereço do servidor e configurando a senha secreta. Essas informações estão configuradas em um perfil de acesso no switch.
Configuração
Procedimento
Configuração rápida da CLI
Para conectar rapidamente o servidor RADIUS ao switch, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Procedimento passo a passo
Para conectar o servidor RADIUS ao switch:
Defina o endereço dos servidores e configure a senha secreta. A senha secreta do switch deve combinar com a senha secreta do servidor:
content_copy zoom_out_map[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
Configure a ordem de autenticação, fazendo o primeiro método de autenticação:radius
content_copy zoom_out_map[edit] user@switch# set access profile profile1 authentication-order radius
Configure uma lista de endereços IP de servidor a serem testados para autenticar o suplicante:
content_copy zoom_out_map[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Resultados
Exibir os resultados da configuração:
user@switch> show configuration access radius-server { 10.0.0.100 port 1812; secret "$9$qPT3ApBSrv69rvWLVb.P5"; ## SECRET-DATA } } profile profile1{ authentication-order radius; radius { authentication-server 10.0.0.100 10.0.0.200; } } }
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verifique se o switch e o servidor RADIUS estão devidamente conectados
Propósito
Verifique se o servidor RADIUS está conectado ao switch na porta especificada.
Ação
Ping no servidor RADIUS para verificar a conexão entre o switch e o servidor:
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms
Significado
Os pacotes de solicitação de eco do ICMP são enviados do switch para o servidor-alvo em 10.0.0.100 para testar se ele é acessível em toda a rede IP. As respostas de eco do ICMP estão sendo devolvidas do servidor, verificando se o switch e o servidor estão conectados.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.