close

Configuración EX Conmutadores para autenticar y Asignar VLAN

El primer paso en la configuración del conmutador EX con la solución UAC (Control de Acceso Unificado) es determinar qué método de autenticación a utilizar. Interruptores EX admiten tres métodos: 802.1x EAP-MD5, EAP-PEAP y EAP-TTLS. Asimismo, el Controlador Infranet (IC) y su contraparte la Odisea de acceso de cliente se pueden configurar para apoyar cualquiera de estos métodos EAP. Si no está utilizando el controlador de Infranet o no está utilizando Odyssey Client Access y su sustitución por un servidor Radius o suplicante de 802.1x diferente (respectivamente). Usted tendrá que comprobar en qué servidor o cliente que soporta Si va a conectar dispositivos no administrados a su conmutador, tales como teléfonos IP, la mayoría de estos dispositivos sólo soportan EAP-MD5, que es un simple autenticación CHAP en el servidor RADIUS. Los dispositivos más nuevos y la mayoría de todos los ordenadores modernos pueden apoyar PEAP y / o TTLS. Tanto PEAP y TTLS son protocolos de túnel, lo que significa que un segundo método EAP será un túnel a través de un túnel creado por estos protocolos.

PEAP es el más restrictivo de los dos protocolos, sino que también se lleva a cabo con mayor frecuencia, por ejemplo el suplicante Microsoft (también llamado Windows Zero Config) utiliza PEAP como su autenticación principal. PAEP se limita a dos métodos internos: EAP-GTC, que es equivalente a hacer una autenticación PAP en el interior del túnel encriptado, y EAP-MS-CHAP-V2 que en sí mismo es una forma de túnel una transacción NTLMv2. TTLS es menos restrictivo en que así será túnel de otro paquete EAP en su totalidad sin el uso de "hacks" patentadas para el protocolo. Así que, esencialmente cualquier otro protocolo EAP puede utilizarse dentro de un túnel de EAP-TTLS sin modificación. La desventaja es que este método no se implementa como ampliamente, por ejemplo configuración rápida de Windows de Microsoft no es compatible con EAP-TTLS. Sin embargo, el Odyssey Client de acceso que es parte de la solución UAC admite este método (y lo utiliza de forma predeterminada).

Configuración del EX para hacer cumplir 802.1x

En primer lugar configurar el Switch EX para utilizar el controlador de Infranet (IC) como su servidor Radius:

En el conmutador EX entrar en el modo de configuración.

Configurar los parámetros del servidor RADIUS con el siguiente comando (recuerde la contraseña y la dirección de la interfaz de origen, ya que se utilizará durante la configuración de la IC):

Juniper acceso # set radio-servidor X.X.X.X secreto <contraseña> Juniper acceso # set radio-servidor X.X.X.X interfaz de origen X.X.X.X

A continuación, cree un perfil de radio para unirse a dot1x.

Juniper perfil de acceso # set <nombre> radio de autenticación de fin de enebro perfil de acceso # set <nombre> radio de autenticación de servidor X.X.X.X

Configurar 802.1X para un puerto del conmutador. Tenga en cuenta que la configuración de la interfaz utilizada en toda esta sección (802.1X) es IFL - que tiene la unidad 0. Hay 3 opciones en cuanto a lo que el modo de poner en el puerto.

  • El uso de "solicitante sencillo" indica que va a autenticar al primer solicitante para autenticar. Una vez que un solicitante ha autenticado, cualquier otro dispositivo conectado a este puerto también tendrán acceso. Juniper protocolos establecidos # dot1x autenticador autenticación de nombre perfil <nombre> interfaz ge-0/0/1 suplicante sola
  • Del mismo modo "solicitante de un solo seguro" va a autenticar sólo el primer solicitante sin embargo sólo se permitirá el tráfico enviado desde y hacia el suplicante que autenticar y ningún otro dispositivo de tráfico será permitido desde ese puerto. Juniper protocolos establecidos # dot1x autenticador autenticación de nombre perfil <nombre> interfaz ge-0/0/1 suplicante sola
  • A pesar de que es posible hacer una configuración de múltiples solicitante que restringe el uso de atributos RADIUS para asignar dinámicamente VLANs por lo que no será discutido aquí.

Configuración del Controlador de Infranet para autenticar usuarios EX

Inicia sesión en la consola de administración del controlador de Infranet: En el menú, en el lado izquierdo, busque en la sección de autenticación> Auth.Servers. Si es necesario crear un servidor de autenticación que va a autenticarse en el servidor deseado. Por simplicidad se añade un nombre de usuario para el servidor de autenticación local del sistema.

Ir a Endpoint Security> Host Checker. Crear un nuevo host Política del inspector; en este ejemplo se llama el bloc de notas. Crear la directiva del inspector de host para que compruebe lo que se necesita. Por simplicidad, el ejemplo es el control para el proceso de Bloc de notas. Si el bloc de notas se está ejecutando este cheque pasará. En Usuarios> Roles de usuario y crear un nuevo papel. (El papel ejemplo es el llamado "anfitrión del inspector (RoHS)"). No se preocupe por la configuración de otros en este punto ya que esta función sólo es un marcador de posición en este momento, pero permitirá más tarde para asignar dinámicamente una VLAN. Repita el paso 5, pero esta vez el papel se llamará "Anfitrión del inspector (remediación)". De nuevo, esto se utiliza para asignar una VLAN de radiación más tarde. A continuación, vaya a Usuarios> Reinos del usuario. Si es necesario crear un nuevo reino. En este ejemplo se va a utilizar el reino usuarios que ya se proporciona. Establecer el servidor de autenticación al servidor correspondiente (en este caso "sistema local"). Guarde los cambios y seleccione la pestaña Correlación de roles. Crear una nueva regla; seleccionarexpresión personalizada en el menú desplegable y haga clic en Actualizar. Haga clic en Agregar expresiones para crear una nueva expresión que requiere el Host Checker para haber pasado: Después se añade la expresión que está disponible en la página de asignación de funciones. Configurar esta similar a la siguiente imagen. En el ejemplo, hemos especificado si sólo se cumple asignar esta función; esto es por razones de simplicidad y por lo general no es un requisito. A continuación, cree una segunda regla de asignación de papel que es un cajón de sastre. En otras palabras, si nombre de usuario y la contraseña de un usuario son válidas van a recibir este papel. Dado que en el ejemplo sólo hay dos reglas de alguien que no está atrapado por la regla anterior no cumple con los requisitos del anfitrión Checker. A partir de la navegación de la izquierda, seleccione Autenticación> Inicio de sesión en> Establece el Protocolo de autenticación. Suponiendo que no se han hecho modificaciones a esta sección, los métodos que el apoyo EX ya están configurados. Para las autenticaciones internas, PEAP y TTLS han sido pre-configurado para el valor por defecto de Windows ZeroConfig Suplicante, así como el acceso Odyssey Client. La configuración por defecto se muestra a continuación: Ir a la autenticación> Inicio de sesión en> Inicio de sesión en las políticas. Asociar el reino con un signo en la política. Especificar qué protocolo establecido para utilizar. El ejemplo está configurado para utilizar la política de inicio de sesión predeterminado, aunque es posible que la creación de un nuevo inicio de sesión en la política pueden satisfacer sus necesidades mejor. Crear un grupo de ubicación. Esto será utilizado poco para dirigir un cliente RADIUS a la política adecuada de inicio de sesión. Seleccionar UAC>> Acceso a la Red localidad Grupos y crear un nuevo grupo de Localización. Especifique un nombre y qué política de inicio de sesión para usar. Por último, seleccione UAC> Red de Acceso> cliente RADIUS y crear un nuevo cliente RADIUS. Para obtener la dirección IP entrar en la interfaz de origen especificado en la primera sección. Para el secreto compartido introducir la contraseña utilizada en el EX durante el mismo paso. Marca Modelo debe establecerse en Juniper Networks Inc (JUNOS), y por último el grupo de ubicación se debe establecer en el grupo ubicación justo utilizado. Ajustehasta VLAN en el switch EX antes de indicar al controlador de Infranet para asignar VLAN a los usuarios a definir en el interruptor. En primer lugar crear la VLAN invitada que se asignará al usuario si bien no realizan 802.1x o si no superen la autenticación 802.1x. Copiar los comandos siguientes y pegarlos en la ventana de terminal interruptor para crear el invitado VLAN: VLAN conjunto de invitados-VLAN VLAN-ID 300 Siguiente dicen el interruptor EX para asignar a los usuarios no autenticados a esta VLAN protocolos establecidos dot1x interfaz autenticador todos los huéspedes-VLAN Ahora que la VLAN de visitantes se ha establecido la creación de dos VLAN de la que el controlador Infranet asignará dinámicamente. Configuración del Controlador de Infranet para asignar VLAN En el caso de que nombre de usuario y la contraseña de un usuario se autentica, asignar una VLAN basada en si pasan el Verificador de host. Para adaptarse a este, por el ejemplo que hemos creado dos papeles, uno que se asigna si la política del inspector de host se pasa y uno que se asigna si no se pasa. ahora creey asociar una directiva de atributo RADIUS con estos roles y asignar cualquiera de una VLAN de acceso o una remediación de VLAN en consecuencia. Ir a la UAC> Red de Acceso> Atributos RADIUS. Crear una nueva política atributo de radio. Configurar los siguientes tres elementos. En primer lugar dar a la política de un nombre (es decir, "El acceso de VLAN"). En segundo lugar bajo la sección Atributos de RADIUS en esta página especificar el ID de VLAN (en este caso "1"). Por último especifica esta política se debe aplicar sólo a los roles seleccionados y especificar el papel compatible: Repita este proceso pero con la información de la VLAN de remediación. Comparte esto: Relacionados

Previous Post     Next Post

TAGS

CATEGORIES

.