Video: HP Switch - Password recovery 2024
Het gebruik van het netwerk beperken Alleen voor geldige gebruikers moet u netwerktoegangscontrolebeleid (NAC) op de switches instellen. Met toegangsbeheer kunt u strikt bepalen wie toegang heeft tot het netwerk, zodat onbevoegde gebruikers zich niet kunnen aanmelden en beleid voor netwerktoegang kunnen afdwingen (zoals ervoor zorgen dat bevoegde gebruikers hebben de nieuwste antivirussoftware en patches voor het besturingssysteem geïnstalleerd op hun pc's en laptops.
De Junos OS-software op EX-serie switches kan het IEEE 802. 1X-protocol gebruiken (vaak zojuist dot-one-ex genoemd) om authenticatie van alle apparaten te bieden wanneer ze in eerste instantie verbinding maken met uw LAN. De daadwerkelijke authenticatie gebeurt door afzonderlijke software of een aparte server, meestal een RADIUS-authentiek server die is verbonden met een van de switches op uw LAN.
Ga als volgt te werk om toegangsbeheer in te stellen voor de switch:
-
Configureer het adres van de RADIUS-servers, samen met een wachtwoord dat de RADIUS-server gebruikt om verzoeken van de switch te valideren.
In dit voorbeeld wordt het adres 192 gebruikt. 168. 1. 2:
[bewerkingsrechten] user @ junos-switch # set radius-server 192. 168. 1. 2 geheim wachtwoord
Het geheime sleutelwoord in deze opdracht configureert u het wachtwoord dat de switch gebruikt om toegang te krijgen tot de RADIUS-server.
Als de switch meerdere interfaces heeft die de RADIUS-server kunnen bereiken, kunt u een IP-adres toewijzen dat de switch kan gebruiken voor al zijn communicatie met de RADIUS-server. In dit voorbeeld kiest u het adres 192. 168. 0. 1:
[bewerkingsrechten] user @ junos-switch # set radius-server 192. 168. 1. 2 bron-adres 192. 168. 0. 1
-
Stel een authenticatieprofiel in dat moet zijn gebruikt door 802. 1X:
[bewerkingsrechten] user @ junos-switch # profiel instellen my-profile authenticatie-orderradius [bewerkingsrechten] gebruiker @ junos-switch # profiel instellen mijn-profiel radius authenticatie-server 192. 168 1. 2
De eerste opdracht vereist dat de switch contact maakt met een RADIUS-server bij het verzenden van authenticatieberichten. (De andere beschikbare opties zijn LDAP-servers of lokale wachtwoordverificatie.) De tweede opdracht toont het adres van de authenticatieserver (die u zojuist hebt geconfigureerd in de vorige stap).
-
Configureer het 802. 1X-protocol zelf en geef de toegangsrechten op de switchinterfaces op:
U kunt dit als volgt doen per interface:
[bewerkingsprotocollen] gebruiker @ junos-switch # set dot1x authenticator authenticatie-profiel-naam mijn- profielinterface ge-0/0/1. 0 [bewerkingsprotocollen] gebruiker @ junos-switch # set dot1x authenticator authenticatie-profiel-naam mijn-profiel interface ge-0/0/2.0 supplicant single-secure
Het authenticatie-profiel-naam statement koppelt het authenticatieprofiel dat in de vorige stap is vastgesteld aan deze interface.
Merk op dat u de logische interfacenaam (ge-0/0/1. 0) specificeert, niet de fysieke interfacenaam (ge-0/0/1).
In stap 3 definieert de keyword supplicant (de 802. 1X term voor een netwerkapparaat dat naar authenticatie zoekt) de administratieve modus voor authenticatie op het LAN:
-
Single mode: authenticeert alleen het eerste apparaat dat maakt verbinding met de switchpoort en geeft toegang tot alle apparaten die later verbinding maken met dezelfde poort zonder verdere authenticatie. Wanneer het eerste geverifieerde apparaat zich afmeldt, worden alle andere apparaten uitgesloten van het LAN. Deze modus is de standaard, dus u hoeft deze niet in de configuratie op te nemen.
-
Single-secure modus: Verifieert slechts één netwerkapparaat per poort. In deze modus mogen aanvullende apparaten die later verbinding maken met dezelfde poort geen verkeer verzenden of ontvangen, en mogen ze ook niet verifiëren.
-
Multiple: Verifieert elk apparaat dat afzonderlijk verbinding maakt met de switchpoort. In deze modus kunnen extra apparaten die later op dezelfde poort worden aangesloten, worden geverifieerd en, indien succesvol, om verkeer te verzenden en ontvangen.
Wanneer u de enkele modus gebruikt, wordt alleen het eerste apparaat geverifieerd en kan deze configuratie worden beschouwd als een beveiligingslek. Als u problemen ziet, gebruikt u de single-secure of multiple mode.
Als de authenticatiemodus hetzelfde is op alle switchpoorten, kunt u 802. 1X-parameters configureren om op alle interfaces toe te passen door het trefwoord all te gebruiken in plaats van een interfacenaam:
[bewerkingsprotocollen] user @ junos-switch # set dot1x authenticatorinterface all