Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS
Nos switches da Série EX, os filtros de firewall que você aplica às interfaces habilitadas para a autenticação do 802.1X ou MAC RADIUS são combinados dinamicamente com as políticas por usuário enviadas ao switch a partir do servidor RADIUS. O switch usa a lógica interna para combinar dinamicamente o filtro de firewall de interface com as políticas de usuário do servidor RADIUS e criar uma política individualizada para cada um dos múltiplos usuários ou hosts não responsáveis que são autenticados na interface.
Este exemplo descreve como os filtros dinâmicos de firewall são criados para vários suplicantes em uma interface habilitada para 802.1X (os mesmos princípios mostrados neste exemplo se aplicam a interfaces habilitadas para autenticação MAC RADIUS):
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Versão 9.5 ou posterior do Junos OS para switches da Série EX
Um switch da Série EX
Um servidor de autenticação RADIUS. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Antes de aplicar filtros de firewall em uma interface para uso com vários suplicantes, certifique-se de ter:
Configure uma conexão entre o switch e o servidor RADIUS. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
Autenticação configurada do 802.1X no switch, com o modo de autenticação para interface definida para .ge-0/0/2multiple Veja configuração das configurações da interface 802.1X (procedimento CLI) e exemplo:https://www.juniper.net/documentation/en_US/junos/topics/topic-map/802-1x-authentication-switching-devices.html Configuração do 802.1X para configurações de suplicante único ou múltiplo suplicante em um switch da Série EX.
Usuários configurados no servidor de autenticação RADIUS.
Visão geral e topologia
Topologia
Quando a configuração 802.1X em uma interface é definida para um modo suplicante múltiplo, o sistema combina dinamicamente o filtro de firewall de interface com as políticas de usuário enviadas para o switch do servidor RADIUS durante a autenticação e cria termos separados para cada usuário. Como existem termos separados para cada usuário autenticado na interface, você pode, como mostrado neste exemplo, usar contadores para visualizar as atividades de usuários individuais que são autenticados na mesma interface.
Quando um novo usuário (ou um host não responsável) é autenticado em uma interface, o sistema adiciona um termo ao filtro de firewall associado à interface, e o termo (política) para cada usuário está associado ao endereço MAC do usuário. O termo para cada usuário é baseado no conjunto de filtros específicos do usuário no servidor RADIUS e nos filtros configurados na interface. Por exemplo, como mostrado em , quando o Usuário1 é autenticado pelo switch da Série EX, o sistema cria o filtro de firewall.Figura 1dynamic-filter-example Quando o User2 é autenticado, outro termo é adicionado ao filtro de firewall e assim por diante.
Este é um modelo conceitual do processo interno — você não pode acessar ou visualizar o filtro dinâmico.
Se o filtro de firewall na interface for modificado após a autenticação do usuário (ou host não responsável), as modificações não se refletirão no filtro dinâmico a menos que o usuário seja reauthenticado.
Neste exemplo, você configura um filtro de firewall para contar as solicitações feitas por cada endpoint autenticado na interface para o servidor de arquivo, que está localizado na sub-rede, e definir definições de policiamento para limitar o tráfego, mostra a topologia da rede para este exemplo. ge-0/0/2192.0.2.16/28Figura 2
Configuração
Para configurar filtros de firewall para vários suplicantes em interfaces habilitadas para 802.1X:
Configuração de filtros de firewall em interfaces com vários suplicantes
Configuração rápida da CLI
Para configurar rapidamente os filtros de firewall para vários suplicantes em uma interface habilitada para 802.1X, copie os seguintes comandos e cole-os na janela terminal do switch:
[edit]
set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple
set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1Procedimento passo a passo
Para configurar filtros de firewall em uma interface habilitada para vários suplicantes:
Configure a interface para autenticação de modo suplicante múltiplo:ge-0/0/2
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
Definir a definição do policiador:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
Configure um filtro de firewall para contar pacotes de cada usuário e um policial que limita a taxa de tráfego. Como cada novo usuário é autenticado na interface de múltiplos suplicantes, este termo de filtro será incluído no termo criado dinamicamente para o usuário:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Resultados
Confira os resultados da configuração:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificação de filtros de firewall em interfaces com vários suplicantes
Propósito
Verifique se os filtros de firewall estão funcionando na interface com vários suplicantes.
Ação
Verifique os resultados com um usuário autenticado na interface. Neste caso, o usuário é autenticado em :ge-0/0/2
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Quando um segundo usuário, o Usuário2, é autenticado na mesma interface, você pode verificar se o filtro inclui os resultados para ambos os usuários autenticados na interface:ge-0/0/2
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Significado
Os resultados exibidos pela saída de comando refletem o filtro dinâmico criado com a autenticação de cada novo usuário.show dot1x firewall O User1 acessou o servidor de arquivo localizado no endereço de destino especificado 100 vezes, enquanto o User2 acessou o mesmo servidor de arquivo 400 vezes.