Video: REMOTE MIKROTIK DARI LUAR JARINGAN 2024
Untuk mengehadkan penggunaan rangkaian hanya kepada pengguna yang sah, anda perlu menetapkan dasar pengendalian rangkaian (NAC) pada suis. Kawalan kemasukan membolehkan anda mengendalikan dengan ketat siapa yang boleh mengakses rangkaian, mencegah pengguna yang tidak dibenarkan masuk dan menguatkuasakan dasar untuk akses rangkaian (seperti memastikan bahawa pengguna yang diberi kuasa mempunyai perisian antivirus dan patch sistem operasi terkini yang dipasang pada komputer dan komputer riba mereka.
Perisian OS Junos pada suis siri EX boleh menggunakan protokol IEEE 802. 1X seringkali hanya dipanggil dot-one-ex ) untuk menyediakan pengesahan semua peranti apabila mereka mula-mula menyambung ke LAN anda. Pengesahan sebenar dilakukan oleh perisian berasingan atau pelayan berasingan, secara amnya otentik RADIUS pelayan ation yang disambungkan ke salah satu suis pada LAN anda.
Untuk menetapkan kawalan masuk pada suis, ikuti langkah berikut:
-
Konfigurasikan alamat pelayan RADIUS, bersama dengan kata laluan yang digunakan oleh pelayan RADIUS untuk mengesahkan permintaan dari suis.
Contoh ini menggunakan alamat 192. 168. 1. 2:
[edit access] user @ junos-switch # set radius-server 192. 168. 1. 2 secret password-password
Kata kunci rahasia dalam perintah ini, mengkonfigurasi kata laluan yang menggunakan suis untuk mengakses pelayan RADIUS.
Sekiranya suis mempunyai beberapa antara muka yang boleh mencapai pelayan RADIUS, anda boleh memberikan alamat IP yang boleh digunakan oleh suis untuk semua komunikasinya dengan pelayan RADIUS. Dalam contoh ini, anda memilih alamat 192. 168. 0. 1:
[sunting akses] pengguna @ junos-switch # set radius-server 192. 168. 1. 2 sumber-alamat 192. 168. 0. 1
-
Sediakan profil pengesahan untuk digunakan oleh 802. 1X:
[edit access] user @ junos-switch # set profile my-profile authentication-radius radius [access edit] user @ junos-switch # set profile my-profile radius authentication-server 192. 168 1. 2
Perintah pertama memerlukan suis untuk menghubungi pelayan RADIUS semasa menghantar mesej pengesahan. (Pilihan lain yang tersedia adalah pelayan LDAP atau pengesahan kata laluan setempat.) Perintah kedua menunjukkan alamat pelayan pengesahan (yang anda baru saja dikonfigurasi pada langkah sebelumnya).
-
Konfigurasikan protokol 802.XX sendiri, menyatakan kebenaran akses pada antara suis suis:
Anda boleh melakukannya antara muka dengan antara muka, seperti berikut:
[edit protokol] pengguna @ junos-switch # set authenticator dot1x pengesahan-profile-nama antara muka profil saya ge-0/0/1. 0 [edit protokol] user @ junos-switch # set dot1x authenticator authentication-profile-name my-interface interface ge-0/0/2.0 penyokong tunggal-selamat
Kenyataan nama profil pengesahan mengaitkan profil pengesahan yang ditetapkan dalam langkah sebelumnya dengan antara muka ini.
Perhatikan bahawa anda menentukan nama antara muka logik (ge-0/0/1 0), bukan nama antara muka fizikal (ge-0/0/1).
Dalam Langkah 3, permintaan kata kunci (yang merupakan istilah 802. 1X untuk peranti rangkaian mencari pengesahan) mendefinisikan mod pentadbiran untuk pengesahan di LAN:
-
Mod Single: Mengesahkan peranti pertama yang menghubungkan ke port suis dan membolehkan akses ke mana-mana peranti yang kemudiannya menyambung ke port yang sama tanpa pengesahan lanjut. Apabila peranti yang disahkan pertama log keluar, semua peranti lain dikunci daripada LAN. Mod ini adalah lalai, jadi anda tidak perlu menyertakannya dalam konfigurasi.
-
Single-secure mode: Mengesahkan hanya satu peranti rangkaian per port. Dalam mod ini, peranti tambahan yang kemudiannya menyambung ke port yang sama tidak dibenarkan menghantar atau menerima trafik, dan tidak dibenarkan untuk mengesahkannya.
-
Pelbagai: Mengesahkan setiap peranti yang bersambung dengan port suis secara individu. Dalam mod ini, peranti tambahan yang kemudiannya menyambung ke port yang sama dibenarkan untuk mengesahkan dan, jika berjaya, menghantar dan menerima trafik.
Apabila menggunakan mod tunggal, hanya peranti pertama yang disahkan, dan konfigurasi ini boleh dianggap sebagai lubang keselamatan. Jika anda meramalkan masalah, gunakan mod tunggal yang selamat atau berbilang.
Jika mod pengesahan adalah sama pada semua port suis, anda boleh mengkonfigurasi 802. Parameter 1X untuk memohon kepada semua antara muka dengan menggunakan kata kunci semua bukan nama antara muka:
[edit protokol] pengguna @ junos-switch # set antara muka pengesah dot1x semua
